Uma das demandas mais tratadas pelos CISOs e líderes de Segurança em todo o mundo, maior abertura de relacionamento com a empresa e a alta gestão, pode ser endereçada de diferentes formas, desde que se baseie na capacidade do gestor de Cyber em falar do negócio e do board em reconhecer essas demandas. Essa é a visão oferecida pelo CISO da Veeam, Gil Vega, durante conversa com jornalistas no VeeamOn 2024.
O profissional, que conta com mais de 25 anos de atuação no setor de Cyber, comentou que recebeu aprendizados importantes nas mais diversas verticais em que atuou, um rol que vai desde o Departamento de Energia dos Estados Unidos até a Superintendência de Segurança da Informação de uma das maiores Operadoras de Câmbio do mundo. Nesse período, Vega entendeu que construir uma relação de transparência é o primeiro passo.
“Isso pode ser feito através da participação do CISO em reuniões de board, na formação de Comitês de Cyber, na contratação de consultores terceirizados para atestarem os bons resultados. O CISO deve se tornar uma parte do gerenciamento do Conselho, e não um desafio a ser enfrentado”, acrescentou o executivo.
Vega também tratou do que esperar do atual cenário de Segurança Cibernética no mundo, à luz dos dados absorvidos do Ransomware Trends Report de 2024. Em sua leitura, estes problemas de relacionamento com o board se misturam a um mercado cibercriminoso pujante e crises geopolíticas para fazer com que as ameaças cibernéticas atuais ainda representem cada vez mais riscos ao negócio.
Trajetória
Security Report: Como foi esse processo de evolução da sua carreira no poder público até alcançar o papel de CISO na Veeam? Quais foram os maiores desafios que você enfrentou?
Gil Vega: Eu me lembro de começar a lidar com proteção de sistemas digitais antes mesmo da área se chamar Cibersegurança, então faz algum tempo. Meus primeiros passos foram no governo norte-americano, precisamente na SI da Biblioteca do Congresso Nacional, que era um espaço interessante para se atuar. Depois disso, eu migrei para o Departamento de Defesa dos EUA, onde trabalhei em alguns programas sigilosos relacionados a treinamento de pessoal sobre tecnologia.
A partir daí, evolui dentro do setor público, alcançando cargos na Inteligência Naval em Washington D.C., no Departamento de Segurança Nacional, e no Departamento de Energia. Neste último o desafio era maior por não estarmos lidando apenas com logística energética, mas também com fornecimento nuclear e até armas bélicas baseadas na fissão do átomo. Então, em um espaço de risco crítico como esse, todo o cuidado digital era pouco.
Finalmente, depois de três anos, eu decidi deixar o poder público e migrar para a iniciativa privada, onde passei seis anos como CISO da CME Group. Eu assumi o cargo em uma situação de pós-incidente, então a operação ainda estava sendo retomada, os reguladores do mercado estavam em cima da empresa. Esse foi, ao mesmo tempo, o maior desafio e a maior oportunidade da minha carreira, pois estava lidando com um trauma recém-surgido.
SR: E como foi lidar com esse desafio imposto pelas circunstâncias da CME Group à época?
GV: Era realmente uma oportunidade de vida. Logo que cheguei, pude receber todos os recursos necessários para cumprir meu trabalho. Tudo o que solicitei foi atendido e, em pouco tempo, deixamos a “lista de malcriados” da regulação e voltamos a reconstruir o negócio. Como foi um caso que abalou profundamente a CME, a proposta era recriar toda a estrutura baseada em Security First. No final, creio que conseguimos atingir esse objetivo, nos tornando uma das marcas mais poderosas do mundo em operações de câmbio.
Papel do CISO
SR: Podemos dizer, então, que a ocorrência de um incidente direcionou a atuação da companhia em favor da Segurança? Como você interpreta essa realidade?
GV: Infelizmente, sim. Eu, assim como qualquer Líder de Cyber, preferia ter recebido pelo menos 10% daquele orçamento todo ainda antes de sofrer um ataque, mas são situações que atingem a todos nós. Mesmo no poder público, enfrentávamos ciberataques de grande porte quase constantemente. São situações bastante difíceis, mas eu fui um dos que passaram por esses desafios e permaneceu no cargo para contar a história, pois é comum que mesmo o CISO que chegue no pós-incidente não consiga se sustentar por um longo tempo.
SR: E como a sua relação com o board te ajudou a cumprir esse trabalho? Mesmo sem ser em um pós-incidente, há possibilidade de maior diálogo entre os CISOs e o board atualmente?
GV: Acredito que sim, mas ainda depende muito do profissional e da empresa que estamos falando. Para mim, transparência sobre as minhas ações sempre foi um fator-chave. Não importa muito o tamanho do quinhão de autoridade, desde que o profissional tenha como promover os diálogos certos com as pessoas certas, Sobre risco, orçamento, estratégia, resiliência, entre outros temas.
Agora, se um CISO está demasiadamente distante da organização, sem ninguém falar com ele, esse trabalho será profundamente prejudicado. Por sorte, acredito que tal perfil é minoritário, atualmente. Essa tendência deve seguir crescendo, conforme o profissional articula mais com seus pares diretores. Não digo exatamente com uma cadeira no board, mas dialogando com líderes de TI, infraestrutura, risco e gerenciamento.
SR: Se, na sua visão, almejar uma posição no board não seja a melhor ideia para os CISOs, como seria possível criar um relacionamento mais sólido entre as duas partes?
GV: Especialmente em empresas de capital aberto, é importante que os diretores responsáveis por gerenciar os riscos operacionais da companhia, onde a Cibersegurança está inserida, tenha trânsito livre com o CISO para não apenas inquiri-lo das demandas mais urgentes, mas entender quais as ameaças que a Cyber Security pode oferecer à companhia. Isso pode ser feito através da participação do CISO em reuniões de board, na formação de Comitês de Cyber, na contratação de consultores terceirizados de Cyber para atestarem os bons resultados.
Ao mesmo tempo, é importante que o CISO evolua sua capacidade de apresentar suas demandas e estratégias ao nível de business, além do técnico. Essa é uma soft skill que vai se consolidando nele, conforme o profissional se envolve em conversas de nível mais sênior. O CISO deve se tornar uma parte do gerenciamento do Conselho, e não um desafio a ser enfrentado.
Cenário de Cibersegurança
SR: Como você analisaria o cenário de Cibersegurança global atualmente, à luz do que foi reportado no estudo Ransomware Trends Report desse ano?
GV: Se formos considerar o estudo, as ameaças digitais seguem evoluindo, com agentes hostis cada vez mais sofisticados entrando em cena. Os riscos se tornaram globais e vemos, tanto no cenário brasileiro como no norte-americano, um número crescente de ataques às organizações varejistas e do agronegócio, dois setores essenciais para o crescimento econômico dos dois países. Na minha visão, Isso mostra como os cibercriminosos seguem atrás de alvos que equilibrem a facilidade e alta lucratividade em caso de sucesso.
SR: Quais os motivos que fazem essas ameaças ainda permanecerem fortes no mundo?
GV: Eu posso citar três motivos para isso: O primeiro é que, nos últimos 25 anos, governos ao redor do mundo tiveram dificuldades em ordenar os reais riscos gerados por grupos de ransomware e outras ameaças. Segundo, o fato de continuar a ser um negócio espantosamente rentável e simples possibilitou a criação de um mercado clandestino de informações e ferramentas de ataque extremamente difícil de desmantelar.
Por fim, ainda hoje vemos empresas que não conseguem reconhecer a ameaça existencial que o ransomware representa a elas e a qualquer uma que esteja atuando no meio digital. Esse tópico tem tudo a ver com o que conversamos sobre relacionamento com os CISOs, pois vemos companhias que nunca se imaginaram alvos de um ciberataque fechando as portas por isso. O mercado precisa reconhecer a necessidade de medidas preventivas.
SR: O que podemos esperar de futuro para o cenário cibernético para os próximos meses ou ano? E o que fazer para que esse cenário seja controlado?
GV: Não há como não esperar que as coisas fiquem um pouco mais difíceis. Com as ferramentas dos Cibercriminosos se tornando mais efetivas, e mesmo pelas dificuldades cotidianas do mundo corporativo, há uma demora visível até que a Segurança se posicione corretamente. A disputa entre SI e cibercrime não é uma corrida justa, por isso os times de Segurança precisam de todo o apoio que a gestão empresarial puder oferecer a eles.
Eu posso dizer que controlar esses níveis de pressão e estresse a partir de treinamentos constantes e backups apropriados são essenciais para lidar com aquele que tende a ser o dia mais estressante da vida de um Líder de Segurança. Não há como dizer isso o suficiente, mas empresas de capital aberto podem realmente desaparecer se esses riscos não forem endereçados.
*Matheus Bracco viajou para Miami a convite da Veeam.
