A maturidade cibernética de uma organização não é mais medida apenas por seus próprios servidores, pois à medida que as operações se tornam mais integradas, o perímetro de Segurança expande-se para um ecossistema complexo de fornecedores, parceiros e prestadores de serviços. Em cenários de infraestruturas críticas, em que uma interrupção pode paralisar linhas de produção, comprometer transações financeiras ou colocar vidas em risco, gerenciar os riscos de terceiros tornou-se prioridade.
Nesse aspecto, o setor automotivo serve como laboratório para essa realidade hiperconectada, dependendo do fornecimento contínuo de autopeças de múltiplos parceiros. Lindson Brum, Cybersecurity Manager for South America na Stellantis, revelou que a companhia possui uma estrutura dedicada exclusivamente à governança de riscos, mas ponderou que a maior vulnerabilidade reside na cadeia de supply chain.
“Tem um risco que às vezes esquecemos, que são os nossos fornecedores, não apenas terceiros que prestam serviços internos. Já tivemos casos que a produção parou porque tivemos um ataque em um dos nossos suppliers. O que a gente tenta entender é até que ponto vai, como é que a gente monitora o nosso parceiro, mesmo sem ver inteiramente aquele ambiente”, relatou Brum, durante Painel de Debates sobre o tema no Security Leaders Belo Horizonte.
Se na manufatura a paralisação de uma linha gera impactos logísticos expressivos, no setor de saúde, a equação ganha contornos de urgência humanitária. O ambiente hospitalar moderno lida com ecossistemas altamente integrados, misturando sistemas locais legados, múltiplas plataformas em multi-cloud, ferramentas terceirizadas e inteligência artificial.
Kelvisson Luiz Rufino Lebarcky, Gerente de Infraestrutura e Segurança da Informação da Mater Dei, enfatizou que a quantificação dos riscos é traduzida em valor para o conselho de administração (board) por meio do impacto gerado na vida dos pacientes. Segundo o executivo, a instituição está estruturando um comitê técnico multidisciplinar, com a participação de médicos, para validar o uso de novas tecnologias de IA de forma segura e compartilhada.
“Todos os sistemas hoje são integrados, e aí você tem que compor todo aquele ecossistema e levar uma visão para o board de quais os pontos que a gente precisa priorizar. O impacto que a gente pode ter nesse caso no paciente, a gente lida com vidas. Às vezes é um sistema que pode estar inoperante e causando ou elevando risco da existência do paciente ou até mesmo um dado financeiro. O nosso papel hoje é viabilizar isso de forma mais segura”, contextualizou Lebarcky.
Essa necessidade de estabelecer regras claras também ecoa no mercado financeiro, que enfrenta o desafio de manter a agilidade comercial enquanto lida com parceiros tecnológicos com níveis heterogêneos de proteção. Estéfano Winter, Superintendente de TI do BDMG, alerta que a velocidade dos negócios é essencial para a sustentabilidade da empresa, mas defendeu que as aquisições precisam de salvaguardas contratuais e revisões de normativos, com vistas a proteger a instituição contra riscos gerados pelos Prestadores de Serviços de Tecnologia (PSTIs).
“A velocidade do negócio não deve parar. Mas precisamos repensar os processos de como o negócio funciona. Não existe, na minha visão, outra forma que não seja a gente criar uma regra de jogo. Qual foi a grande causa da fragilidade que gerou todo esse problema financeiro e do golpe do Pix? os PSTIs, ou parceiros que não estavam sob gestão direta e prestavam serviços críticos. É necessário rever os modelos de como essas negociações são feitas”, concluiu Winter.
O panorama apresentado no painel reforça a transformação no papel dos líderes de Cibersegurança em direção ao perfil do “Business CISO” (BISO). Para além do conhecimento técnico sobre vulnerabilidades, o profissional moderno precisa dominar a linguagem dos negócios, traduzindo riscos cibernéticos em impactos financeiros e reputacionais tangíveis.
A próxima parada do roadmap regional acontecerá na capital gaúcha, em Porto Alegre, no dia 27 de maio, no Hotel Hilton Porto Alegre, que já está com as inscrições abertas – e gratuitas para usuários de tecnologia – por meio deste link.
