Brian Reed, Diretor de Estratégia de Segurança da Informação da Proofpoint, esteve em São Paulo e apresentou sua visão sobre os quatro maiores riscos cibernéticos focados no fator humano. Em entrevista para a Security Report, ele reforça que as pessoas não são o elo fraco da correte de Segurança, mas sim a melhor oportunidade para levar a cultura de Cyber Security até a ponta.
Isso deve ser feito, segundo o executivo, a partir de ações efetivas para compartilhar a Segurança com a força de trabalho, a partir de comunicação alinhada com o negócio. Ele acrescenta que, na atualidade, é pouco rentável ao cibercrime investir tempo e recursos para tentar explorar uma vulnerabilidade Zero Day muito complexa, ou seja, o foco está no alvo mais simples: as pessoas.
Security Report: Então, quais são esses quatro riscos cibernéticos centrado no elemento humano?
Brian Reed: Eu cito basicamente quatro dimensões dos riscos de Segurança centrados no ser humano. São eles os riscos de Ameaças, pois a porta de entrada mais usada pela maioria dos malwares ainda é o phishing e suas variantes; os riscos de falsificação, com um número crescente de marcas, domínios e pessoas sendo imitadas por campanhas maliciosas e meios mais sofisticados; riscos de identidade, que viabilizam acessos diretos dos cibercriminosos via credencial comprometida; e os riscos de dados, que dependem de ações premeditadas ou de processos ruins.
SR: Essas são algumas das ameaças mais críticas do mercado atualmente. Então isso não transformaria o ser humano no elo mais fraco da Cibersegurança?
BR: De forma alguma, porque essa é uma forma errada de se entender o fator humano na estratégia de Segurança. Essencialmente, há três tipos de pessoas que podem levar a essa perda de dados: Os insiders maliciosos, os usuários com acessos comprometidos e os profissionais que agem de forma descuidada sem serem, necessariamente, desonestos. Infelizmente, há sempre um bom colaborador tomando decisões ruins com dados críticos, e são esses os casos que precisamos lidar com mais cuidado.
Muitos usuários, por desconhecimento, ainda sentem culpa quando precisam reportar algo a SI, por medo de terem se envolvido com algo errado ou ilícito. Essa questão exige que trabalhemos melhor a cultura e o comportamento de Cyber dentro da estrutura, começando por educar as pessoas de que estamos abertos para receber e investigar qualquer suspeita sem julgamentos.
SR: E o que pode ser feito para dissipar essa percepção equivocada?
BR: Para isso, é vital que orientemos bem o usuário, com comunicação franca, para transformá-los, nas devidas proporções, em security champions. Daí nasce a oportunidade única de nós, como CISOs e líderes, orientarmos profissionais de outros departamentos a apoiarem o discurso da Cyber e permitir que ele alcance não apenas o ambiente profissional, mas também a vida pessoal das pessoas, permitindo-as se protegerem dentro de casa.
CISO e cultura compartilhada
SR: O papel do Líder de Cyber parece ser capital nesse processo, como disseminador das boas práticas. As empresas têm reconhecido esse papel como algo essencial?
BR: De fato, ter quem cumpra esse papel de evangelizar o negócio sobre Segurança se tornou algo determinante no sucesso das estratégias de proteção das pessoas. Da minha perspectiva, vindo de uma carreira de análise no Gartner, ter esse tipo de conhecimento permite tomar decisões mais alinhadas com a eficiência direta no ambiente dos usuários, permitindo-os assumir uma função na Segurança compartilhada.
Ao mesmo tempo, é compreensível ser algo difícil de se levar adiante, pois exige uma preparação diferenciada tanto do líder de Cibersegurança quanto de sua equipe, tomando mais tempo e disposição. Também é necessário entender que uma estratégia com um evangelizador depende mais de processos bem estabelecidos do que de tecnologia.
SR: Outro desafio também é a capacidade da SI de se comunicar. De que forma ela poderia enfrentar esse desafio?
BR: Vale ressaltar que, apesar de a gestão desse tipo de estratégia ser parte da Cyber, é uma função compartilhada entre toda a companhia. Todas as partes devem se envolver, e com isso, os líderes de Segurança podem aproveitar muito da gestão de riscos humanos para ampliar o alcance e a efetividade desse planejamento. É necessário ter alguém que saiba como disseminar a cultura de Segurança, seja o próprio CISO, seja alguém da equipe dele. Saber vender uma ideia dentro da corporação é uma habilidade que será muito útil nesse cenário.
SR: Nesse caso, então, a maior tarefa do CISO seria criar essa coordenação na empresa para disseminar o Security Awareness?
BR: Exatamente. Não podemos esperar que o CISO se torne um especialista em todos os fundamentos de gestão de pessoas, pois é uma tarefa bastante complexa. Sendo assim, a melhor opção é se cercar de pessoas especializadas nessas demandas. Isso pode ser feito junto de profissionais de comunicação e relações-públicas, capazes de organizar uma mensagem realmente cativante e educativa sobre o valor agregado que a SI pode desenvolver, ao mesmo tempo, a torna mais amigável para a empresa.
SR: Isso pode também transformar como a Cibersegurança é vista pela empresa e pelos funcionários?
BR: Sem dúvidas. Durante muito tempo, esse setor foi visto, entre outras coisas, como um freio para o desenvolvimento e um gasto dos recursos da companhia. Mas por meio dessa disseminação de conhecimento, é possível oferecer uma utilidade bem mais ampla para a SI, ajudando o negócio a cumprir seu papel da forma mais segura, sem perder a velocidade produtiva.
Nós, como colaboradores de uma companhia, precisamos sempre nos mover na velocidade do business, afinal, ele precisa da nossa ajuda para gerar lucratividade. Mas a função do Líder de Segurança e da cultura de Cyber é ensinar meios de parar e pensar nos próximos passos, para que não se tome nenhuma decisão insegura. Com o discurso certo, alinhado com a compreensão já disseminada na força de trabalho, ensinamos a desacelerar para tomar a melhor decisão.