Conforme diversas organizações atentas ao tema de Cibersegurança ressaltaram, a identidade é um dos vetores de maior risco de exposição dos ambientes ao cibercrime. Nesse sentido, Leonel Conti e seu Sócio, Thiago de Marco, criaram a startup OwlID, com o objetivo de orientar as organizações nas primeiras ações para promover uma gestão de acesso e de identidades mais eficiente, que abra caminho para uma jornada sólida para o universo do Zero Trust.
Em entrevista à Security Report, o CISO, CEO e Fundador da OwlID, conta sobre sua trajetória em organizações de diferentes verticais de negócio e como proteger e lidar com o risco gerado por credenciais pouco protegidas. Na visão dele, a melhor forma de encarar esse desafio é trilhar um caminho de implementação de Zero Trust que comece no mapeamento dos acessos e privilégios, para depois planejar os controles e riscos e, logo em seguida, aplicar soluções adequadas à estrutura da empresa.
Cenário de risco da identidade
Security Report: Analisando o cenário de ameaças no Brasil, qual você apontaria como o maior risco?
Leonel Conti: Na minha visão, o grande desafio da Segurança está na gestão das identidades e ainda ressalto: a falta de governança delas está na raiz de muitos incidentes de SI. Hoje, manter as credenciais sob controle é o passo mais crítico entre qualquer outra demanda dos CISOs.
Isso porque, quando se implementa soluções como SOC, por exemplo, a capacidade de monitoramento delas vai até certo ponto. A visibilidade dessas estruturas se torna ineficiente quando um usuário privilegiado é comprometido, pois, para todos os efeitos, aquele agente está autenticado com verificação de senha e outras confirmações. Com isso, a quase totalidade dos ataques cibernéticos tem, no seu início, um problema de credenciais.
SR: O desafio maior seria então nos controles e processos?
LC: Antes de tudo, o gargalo está na construção de um mapeamento de identidades realmente detalhado. São poucas as empresas, atualmente, que contam com esse recurso muito bem estabelecido internamente. Além disso, os CISOs sempre precisam trabalhar com o conceito de risco residual: a união do risco inerente, risco estratégico, outros riscos versus o orçamento disponível. O que resta de risco é o que negociamos como aceitável para o board.
Na minha jornada como executivo de Cyber, eu tive a oportunidade de perceber que, nessa posição, é preciso lidar com esse apetite de risco da organização. Porém, muitas vezes o risco residual aceito na empresa pode ser a maior fonte de risco por estar alinhada justamente com a identidade. Por isso, o desafio do líder de hoje é entender como responder mesmo a esse resíduo de risco sem gerar fricção com o negócio.
SR: E como você encarou essa percepção sobre os riscos de identidade?
LC: Acredito que minha jornada como líder de Cyber me forneceu um panorama muito bom para o cenário atual. Encerrei minha carreira como CISO na Sompo Seguros, liderando uma área de quase 100 pessoas, em um ramo bastante estável na economia. Porém, meu interesse era seguir ajudando empresas a se manterem protegidas, e por isso, acabei migrando para a Redbelt Security, para atuar no setor de consultoria.
Ali eu tive uma visão mais ampla do mercado, e da quantidade de incidentes que ocorriam diariamente em todos os setores de negócio, a grande maioria envolvendo identidades comprometidas. Em todos esses casos, eles nos chamavam para dar suporte, mas a partir dali, entendi que as empresas precisavam ter uma atenção maior à sua jornada de confiança zero, não apenas por meio de produto, mas de uma estratégia que norteie esse tema.
Estratégia de mercado
SR: Esse, então, é o propósito da OwlID?
LC: Em essência, o propósito da OwlID é ajudar as empresas a reduzirem efetivamente essa gama tão grande de ataques cibernéticos centrados em um único vetor de ataque. E para isso, entendemos que o caminho é apoiar as estratégias de gestão de identidades, baseadas em conceitos de Zero Trust, a dar os primeiros passos nessa jornada.
Não queremos vender um produto, mas entender o tamanho do risco a partir das identidades e privilégios mapeados, e com isso, traçar um plano de ação entre soluções e estratégicas para a realidade daquele negócio. Isso permite alinhar um planejamento desde o mapeamento até uma realidade passwordless, e disso seguir avançando para outras demandas essenciais.
SR: Neste caso, o que a OwlID busca oferecer para o mercado, sem vender um produto?
LC: No geral, quando os executivos de Cyber começam a tratar de controle de identidade, a busca deles é por soluções de monitoramento, gestão de acessos, controle de senhas, múltiplas autenticações, entre outros. Porém, esses recursos são importantes apenas no estágio da governança efetiva. Sem uma preparação anterior para que se tenha plena ideia de como a estrutura funciona, ainda se terá uma grande complexidade para gerir.
É nessa parte inicial que queremos entrar, como centralizadores das identidades. Vamos mapear todos os tipos de identidade, incluindo orgânico, privilegiado, terceiro, não humano, entre outros, e a partir dessa visibilidade, será possível ter ciência do tamanho da exposição. E só a partir disso, vamos traçar Solicitações de Propostas segundo o que é mais interessante à empresa, de forma agnóstica e levando em conta a estratégia dela.
SR: Esse serviço teria utilidade para qual tipo de perfil empresarial? A OwlID planejou uma estrutura para trabalhar essa variedade de organizações?
LC: Estamos abertos a escutar qualquer perfil empresarial, incluindo grandes bancos e gestores de infraestrutura crítica. Porém, nosso objetivo central é trazer qualidade para nossos mapeamentos. Estamos prontos para crescer a equipe e entregar nossa proposta a todo tipo de segmento de mercado. E no futuro, nossa expectativa é bem positiva no objetivo de dar suporte ao máximo de empresas que tivermos contatos, em todas as regiões do país.
SR: E qual cenário você espera encarar nesses próximos meses de 2025, quando a OwlID começar a se inserir nesse mercado?
LC: Eu entendo que teremos um caminho importante a percorrer. Neste momento, a identidade está na tendência de ataques e riscos assim como a cadeia de fornecimento esteve desde meia década atrás. Essa mudança está no próprio cenário das empresas, com profissionais sendo estabelecidos como C-Levels focados exclusivamente no controle das identidades e acessos.
Por isso, o caminho deve ser olhar com mais atenção às demandas da identidade, mas não apenas considerando as soluções. O mercado está cheio de organizações olhando para a parte técnica, mas falta ainda quem ofereça um passo atrás, no sentido estratégico, para entender qual o melhor caminho a seguir. Como meu objetivo sempre foi ajudar as empresas a seguirem protegidas, há um caminho para reduzir os incidentes a partir das identidades protegidas.
