A Redbelt Security reuniu recentemente 100 líderes das áreas de negócios, cibersegurança, TI e TA (Tecnologia da Informação e de Automação) para discutir a preocupante evolução dos ciberataques e os principais desafios e tendências de segurança cibernética no Brasil, na 3ª edição de seu evento próprio – o Expand.
Ao abrir o evento, Eduardo Lopes, CEO da Redbelt Security, destacou o fato de, no passado, a segurança da informação se restringir à necessidade de proteger o próprio perímetro e hoje ter se transformado em um dos maiores desafios corporativos cotidianos.
“A sofisticação e maior complexidade das ameaças, bem como a evolução constante dos riscos em função da transformação digital de empresas de todos os setores têm tornado a cibersegurança uma pauta importante para os conselhos de administração, que precisam contemplar investimentos na área em suas estratégias e planos de negócios”, alertou o executivo.
Outro aspecto a ser considerado é que as novas tecnologias de proteção têm um ciclo de vida mais curto para combater ameaças mais silenciosas e cada vez mais destrutivas. “Esta nova realidade exige que CISOs e gestores de TI sejam cada vez mais proativos e promovam investigações em escala, correções em massa e segurança em várias camadas, atuando como facilitadores de inovação e de negócios. Isto só é possível com priorização e gestão de riscos, contemplando infraestruturas de TI e TA, que estão cada vez mais integradas. Eles precisam também ter uma visão objetiva dos impactos dos riscos nos negócios a fim de conquistar o respeito das demais áreas e de promover uma cultura empresarial que priorize a cibersegurança”, enfatizou Lopes.
Priorização de gestão de risco com SLA na Cielo
A palestra seguinte abordou o desafio de descobrir qual é a forma mais produtiva de implementar soluções que realmente lidem com o que é mais crítico em tempo hábil em ambientes cujas variáveis são muitas e a superfície de ataque é orgânica, dinâmica e, em geral, pouco compreendida. Na apresentação “Mudando da probabilidade para priorização na gestão de riscos cibernético”, Glauco Sampaio, CISO da Cielo, enfatizou uma realidade diária das equipes de segurança: o tempo de correção das vulnerabilidades é sempre maior do que o de exploração dela pelos hackers.
“Para superar esse gap, é necessário compor todo um ecossistema de informações para ver onde estão os riscos, o que exige também tempo e foco para preparar uma apresentação para o board da empresa e solicitar os investimentos de defesa necessários”, explicou Sampaio.
Diante deste contexto, é preciso definir prioridades e estabelecer um Protection Level Agreement (PLA) que enderece o nível de risco aceitável para cada ativo da empresa, incluindo requisitos, padrões e tempos viáveis para recuperar cada um. “Desta forma se baliza a política para ficar factível e gerenciável”, detalha Glauco. Ele citou exemplos que colocou em prática em empresas, para estabelecer este PLA e ter uma política de segurança eficiente, fazendo a classificação específica e definindo prioridades para atuação das equipes.
“Primeiro, avaliamos qual é o produto/serviço. Em seguida, nível de exposição e as possibilidades de a vulnerabilidade ser efetivamente explorada. Por último, analisamos se o risco efetivo é alto, médio ou baixo. Depois disso também é importante levar em consideração fatores tecnológicos que podem mitigar automaticamente o impacto dessas fragilidades. Isto é essencial porque é mais fácil resolver poucas vulnerabilidades realmente prioritárias do que muitas sem o devido critério, pois as demais fragilidades podem ser resolvidas ao longo do tempo, sem expor nossa empresa a grandes riscos”, detalhou o CISO da Cielo.
Glauco Sampaio contou ainda que, para motivar a cultura de cibersegurança, é importante beneficiar as equipes que seguem os padrões requeridos de cibersegurança. “Um caminho é trabalhar da seguinte forma: procurar parceiros nas áreas de TI e negócios; ter um painel vivo e integrado para uma visão ampla dos problemas, com varreduras, pentestes, etc.; contar com ferramentas SIEM e SOC bem estruturadas, com ferramentas analíticas e PLA para produtos/serviços.
Deste modo, aquele time que foi parceiro do time de segurança e implementou os requisitos/tecnologias corretamente conseguem trabalhar com mais liberdade, enquanto ajudamos a empresa a reduzir seu nível de exposição a vulnerabilidades devidamente priorizada”, concluiu o CISO da empresa de cartões de crédito.
O desafio de integrar e proteger TI e TO
Quando decide atacar uma empresa, o hacker faz primeiro uma sondagem para localizar qual é a melhor vulnerabilidade a ser explorada. Para ele, não importa se o ambiente é de Tecnologia Operacional (TO) ou de Tecnologia da Informação (TI), mas sim como entrar e roubar dados críticos. Já para as equipes de cibersegurança na defesa em TO, essa diferença importa e muito. Isto porque a profundidade dos danos e o impacto de parar uma fábrica é mais caro, pode afetar diretamente a produção, colocar vidas em risco e tem a retomada das operações muito mais demorada.
A espinha dorsal da indústria é a estabilidade e a disponibilidade, o que significa que uma solução, por mais tecnológica que seja, não servirá de nada em um ambiente industrial se ameaçar a continuidade operacional. As particularidades e especificações na arquitetura de segurança em OT foram o tema do painel “Desafios reais e cotidianos de segurança em OT”, mediado por Nycholas Szucko, diretor regional de Vendas na Nozomi Networks, com participação de Paulo Macedo, diretor de TI e Transformação Digital na BP Bunge, Vitor Sena, CISO da Gerdau, e Juliano Gomes, CISO da VLI Logística.
A Indústria tem traumas por conta de momentos nos quais toda a produção foi parada devido a um ataque cibernético. “Nestes momentos, durante estas interrupções abruptas não ocorriam conversas, as pessoas demoravam para entender o que estava acontecendo e para compreender qual era a dor do outro, ou seja, qual era a origem do problema, a vulnerabilidade que abriu a porta para o ataque e como estancar os danos. Estas ocorrências geraram a necessidade de diálogo entre áreas, que antes trabalhavam isoladamente e que, atualmente, na Era Digital, precisam aprender a entender os diferentes universos e falar a mesma língua”, afirmou Szucko.
“De fato, com o avanço da Transformação Digital, nós entendemos que precisávamos trabalhar em parceria e conquistar a confiança e a colaboração da equipe de TO. Fizemos isso mostrando que era necessário disseminar a cibersegurança diante da adoção de novas tecnologias nas indústrias”, comentou Macedo, da BP Bunge, ao iniciar a conversa.
Como despertar atenção dos conselhos de administração para cibersegurança
A maioria das grandes decisões nas organizações vem da sala de reuniões. E, com a expectativa de que o custo global do crime cibernético atinja US$ 10,5 trilhões até 2025, as questões de segurança passaram a ser assunto da diretoria e do conselho de administração. Mas há ruídos na comunicação entre o board e as equipes de segurança. No Brasil, a Kaspersky conduziu, em 2023, um estudo para entender melhor a comunicação entre os altos executivos e a liderança de segurança, no qual ouviu 2.300 líderes em empresas com mais de 50 funcionários.
O resultado foi que um em cada 10 desses executivos nunca ouviu falar da palavra ransomware e outros 18% já tinham ouvido os termos phishing e malware, mas não sabiam explicá-los. Além disso, 21% dos executivos brasileiros disseram não se sentir à vontade para sinalizar que não entenderam algo durante reuniões com as áreas de segurança. Embora a maioria deles tenha dúvidas sobre o assunto, 38% não fazem perguntas adicionais porque não acreditam que a equipe de cibersegurança seja capaz de explicar de forma clara.
Os dados criam uma espécie de foto de uma dor, mas também levantam uma provocação: como conversar melhor com o board? Ou seja, um dos grandes desafios dos CISOs e gestores de tecnologia é mostrar os riscos cibernéticos para os negócios e seus possíveis impactos nos negócios das empresas, porque disto dependem os investimentos em novos recursos e tecnologias. Com este objetivo é necessário mostrar dados assertivos, convincentes, claros e objetivos em uma linguagem de negócios para a alta direção.
“Para ajudar os participantes a entenderem como fazer isto, nós reunimos três mulheres que integram importantes conselhos administrativos para explicarem que tipo de informações interessa para os integrantes e de que modo estes dados devem ser apresentados para despertar interesse e engajamento dos gestores de negócios”, informou Eduardo Lopes, CEO da Redbelt Security.
