Você sabia que a maioria dos profissionais de Segurança recorre aos seus fornecedores de soluções tecnológicas quando precisam de algum apoio? Ou ainda que os CSOs e CISOs preferem recorrer aos grupos de WhatsApp/Telegram (formado por outros líderes) a buscar ajuda em consultores estratégicos, associações profissionais e até mesmo em pesquisa científica? Pois essas foram algumas das descobertas feitas por Ricardo Castro, CISO da BRF, ao abrir um painel sobre a Maturidade Nacional da SI durante a 9ª edição do Congresso Nacional Security Leaders.
Na semana que antecedeu o debate, o executivo fez uma enquete e divulgou para sua rede de relacionamentos. Eram dez perguntas baseadas numa pesquisa de 2008, feita pela ISACA e PwC, cujo objetivo era ver o quanto a Segurança evoluiu em dez anos. Cerca de cem pessoas responderam ao questionário, cujos líderes representam as 15 maiores empresas do mercado nacional.
Um dos primeiros pontos trazidos por Castro é que 47% dos respondentes afirmaram que a SI ainda é tratada de forma eventual. “No board, tratamos de assuntos estratégicos, alavancagem da empresa, novos negócios,… E a SI ainda é convocada de vez em quando”, comentou. Apenas 34% dos profissionais disseram que o tema é tratado com frequência e 11% revelaram que o assunto nunca é pauta no board. “Perigoso ver que ainda temos empresas nesse nível”.
Os profissionais também foram questionados sobre como eles próprios veem a maturidade da SI nas empresas onde atuam. Vinte e sete por cento entendem que é importante ter processos e tecnologias em segurança, mas estão em processo inicial. “É muita empresa em um estágio muito baixo de maturidade”, disse. Em apenas 10% delas têm a performance mensurada. “Ou seja, o nível avançado de governança que seria necessário para suportar uma Lei como a LGPD hoje é submetido a 10% das empresas”.
Entre os principais problemas das equipes nos últimos doze meses, o destaque foi para a mão de obra, ou melhor, falta dela. Cerca de 3.64% disseram que há pouca gente para trabalhar nos times de SI. Outros 3.38% afirmaram que demandam equipe treinada e capacitada. Outros 3.3% revelaram a dificuldade em comprovar o ROI. “Ainda vemos a tecnologia de Segurança como custo, não algo que está prevenindo uma sanção, multa, dano a imagem da companhia, etc.”.
O que dizem os especialistas
Na visão de Denis Riviello, Security Engineering Manager da Compugraf, a indústria tem a missão de não apenas elevar o nível da maturidade de SI, mas de servir como um advisor dos clientes. Por isso, não espanta o fato dos executivos recorrerem aos seus fornecedores quando precisam de apoio. “Não queremos apenas vender as soluções e depois ficar renovando, mas também mostrar como eles podem tirar melhor proveito delas”.
Para Carlos Jardim, gerente de Engenharia de Vendas da McAfee, cada fabricante tem uma maneira de enxergar as coisas e muitas vezes ela pode não ser o jeito que o cliente esperava resolver certo problema. “Isso pode dificultar o fluxo de aprovação de algum projeto de Segurança no board, por exemplo. A conversa pode ter um viés técnico e pode atrapalhar na hora de justificar”, disse.
“Contar com a ajuda externa pode resultar numa análise pouco profunda por parte da minha equipe”, opina Abian Laginestra, Head of Infrastructure and Security at IP Partner Capitals. Segundo o executivo, preocupa o fato de poucos líderes buscarem apoio no meio acadêmico. “Acho que o cenário ideal é quando há uma sinergia entre todos os agentes”, disse.
Segundo Thiago Galvão, CISO da VLI Logística, buscar apoio em grupos informais ou fornecedores se tornou natural, considerando que muitas empresas sofrem com a falta de mão de obra qualificada na área de SI. “Seja por falta de equipe ou conhecimento, recorrer aos parceiros é uma forma de fazer os projetos acontecerem”.
A importância do compartilhamento para aumento da Maturidade
Muito se diz que o sucesso da ação de alguns cibercriminosos se dá devido a intensa troca de informações que eles compartilham entre eles e o mesmo não ocorre entre os profissionais de Segurança. Será? Segundo os especialistas, ainda há muito receio em relação a troca de informações especialmente quando feita entre líderes de organizações concorrentes.
“É preciso entender que estamos em frentes de batalhas diferentes, mas a guerra é a mesma”, define Ricardo Castro. Na opinião dele, o atacante troca informações o tempo todo enquanto muitos colegas se mantêm estagnados fechados no próprio mundo. “Criar grupos informais é essencial”. Um exemplo citado por Castro foi quando o Wannacry atingiu alguns de seus parceiros e um desses grupos foi criado especialmente com o objetivo de oferecer suporte a esses profissionais.
Na visão de Abian, a maioria dos profissionais “se fecha no próprio mundo” por força da vida burocrática, alguns em menor ou em maior grau. “Mas a partir do momento que conseguimos criar canais e novos meios de contato, temos um ganho com isso. Se cada corporação aumentar o seu nível de Segurança, há um ganho ecossistêmico em SI”.
O executivo destaca ainda que o cibercrime é caótico, não estruturado. Portanto não dá para dizer que é maduro, mas avançado em algumas técnicas. Já as empresas, dependendo da vertical em que atuam, são mais evoluídas devido a regulamentações setoriais.
Aliás, como regulações setoriais poderiam de alguma forma colaborar com a evolução da maturidade em Segurança foi um ponto bastante debatido. Para Ricardo Castro, é um passo, afinal algumas empresas sairiam do nível nada estruturado para pouco estruturado. “A gente ganharia mais se desse um passo do pouco para todo mundo regulado”, disse. Na opinião do executivo, a régua tinha que ser padronizada para todos.
Para Carlos Jardim, é evidente que o mercado financeiro se desenvolveu muito em Segurança devido às regulamentações do setor. No entanto, ele afirma que há um desnivelamento muito grande entre os cinco maiores bancos do País. “O que falta mesmo é incentivo em Pesquisa e Desenvolvimento”, disse.
“Acho que já tem muito regulamento, muita norma, procedimento padrão, etc. pra seguirmos. Criar mais pode ser pior”, opinou Thiago Galvão. “Regulamentação cria um baseline para o mercado e o mínimo é cumprido. Mas e o diferencial? Mesmo com essas regulamentações tem vazamentos ocorrendo. O cibercrime se reinventa a toda hora. Ter um baseline é importante, mas não é só isso, é preciso ir além”, adicionou Abian.
Maturidade em SI e Transformação Digital
Seria possível afirmar que o nível de maturidade de segurança está relacionado com o estágio de Transformação Digital que a empresa se encontra? Segundo os especialistas, é possível que sim. “A transformação digital faz com que a SI fique de fora, porque ainda é vista como freio para muitos”, disse Ricardo Castro. A evolução puxa, mas faz com que a Segurança tenha de correr atrás. “E não é apenas o digital, mas a própria legislação também”.
Thiago Galvão concorda e adiciona que o cenário de ciberataques, o fato do Fórum Econômico Mundial incluir o tema como um dos grandes riscos mundiais e a LGPD são outros fatores que também ajudam a alavancar a maturidade da SI. “De qualquer modo, a Transformação Digital pressiona o profissional a estar mais alinhado com o negócio, caso contrário, ele será atropelado”.
“Acredito que força a SI a ser mais inserida no Board”, pontua Denis Riviello. Segundo ele, muitas empresas estão errando por não considerar a Segurança em assuntos estratégicos e isso está sendo um aprendizado para a Transformação Digital. “Para quem já está estabelecido no mercado, colocar Segurança e métodos ágeis coexistindo é fundamental para a continuidade do negócio”, complementa Abian. Para ele, quem já nasce ágil tem que pensar em segurança em sua essência.
Como envolver a Segurança no board?
Para a maioria dos especialistas, tornar a Segurança mais interessante para o board varia muito do perfil do líder de SI. “Hoje ele tem duas armas nas mãos: novas regulamentações a caminho e inúmeros casos de vazamentos de dados ocorridos ao redor do mundo”, afirma Denis Riviello. Para ele, se conseguir qualquer tipo de apoio, seja do CFO ou de um VP direto dele, já é uma oportunidade para abrir espaço no board.
Já Abian acha que Segurança ainda é visto como um assunto muito árido e é difícil tornar o tema em algo sexy para o board. “Acho que a humildade intelectual e ter consciência de que é um assunto árido ajuda na hora de abordar o tema. É fundamental falar a mesma linguagem”, resume.
“Acredito que a gente precise de uma combinação de fatores. Tem que criar oportunidade, contexto, citar leis, casos recentes e ainda considerar a maturidade e o tipo da empresa. É uma questão de atitude, oportunidade e saber como dosar a conversa”, pontuou Thiago Galvão.
“Tem um filme que diz: a fortuna recompensa os ousados. A gente precisa fazer uma pequena adaptação para a Segurança: a fortuna recompensa os atentos. A empresa tem momentos que ela quer o seu produto, mas temos que estar atentos pra quando isso ocorre. Nós temos que adaptar o nosso discurso ao nosso público consumidor. Tem que saber aproveitar essas pequenas oportunidades, mas se você não estiver atento ao momento certo, não vai funcionar”, finalizou Castro.