Ricardo Dastis, sócio e diretor de cyber defense da Scunna. Foto: divulgação.
Certa vez, em uma entrevista para a posição de CISO de uma das maiores empresas de varejo do Brasil, o CIO me fez a seguinte pergunta: “Se eu lhe desse um trabalho a ser feito em três dias (Três dias é o prazo. Nem um dia a mais!), mesmo sabendo que não é possível fazê-lo em três dias, o que você faria?”.
A pergunta me pegou de surpresa. Não era das típicas “me fale sobre um grande desafio que você superou” ou “como você se vê daqui a cinco anos”.
A resposta, primeira e única que me veio à cabeça, foi: “Veja bem, primeiramente eu confirmaria com você o entendimento do trabalho e, principalmente, a entrega esperada. Na sequência, alocaria as melhores pessoas e recursos que fossem possíveis.
E, o mais o importante, teria reuniões diárias com você (talvez duas vezes ao dia) para lhe dar status do andamento do trabalho, compartilhar os próximos os e garantir o alinhamento permanente da expectativa”. (A minha resposta deve ter sido a contento, pois fui selecionado para a posição e trabalhei lá por mais de sete anos).
Mas o que esta pequena história tem a ver com segurança cibernética? Once upon a time, nos idos dos anos 90, a segurança cibern..., ou melhor, a segurança “da informática”, consistia basicamente de antivírus atualizado, atualizações do Windows aplicadas (sim, já tínhamos patches do Windows naquela época) e um firewall instalado na conexão da empresa com a internet.
Ah! E a política de senhas, já estava quase me esquecendo das benditas senhas! Se estas coisas estivessem bem cuidadas, você estava “de boas”. Os vírus e os hackers não lhe importunariam e bora cuidar do business.
Well... o mundo virou de cabeça para baixo! O business agora ‘É’ informática (ops!) tecnologia. A tecnologia é parte intrínseca e indissociável do negócio. Mas é claro que isto não é novidade para você nem para ninguém (fique tranquilo que não tentarei lhe catequizar sobre transformação digital).
E o mais provável é que o negócio no qual você trabalha venda produtos físicos, ou preste serviços, que já existem há mais de 10 anos. Porém, tenho certeza que, não importa o segmento ou tamanho do seu negócio, a ‘presença digital’ é relevante. Na verdade, mais do que relevante: é um fator absolutamente crítico!
E é aí, quando tecnologia é negócio e negócio é tecnologia, que se estabelece o grande quebra-cabeças da (in)segurança digital. Squads; metodologias ágeis; desenvolvedores de software por toda a empresa; devops; apps sendo lançados em velocidade relâmpago; diversas releases por semana... E quem está garantindo a segurança de tudo isto?!
O CISO e a equipe de segurança da informação? Temos alguém na empresa responsável por isto? Ótimo! Mas infelizmente não é tão simples assim, e não é mais assim que as coisas funcionam.
Os ambientes encontram-se descentralizados; as áreas de negócio encontram-se empoderadas sobre decisões tecnológicas (e precisam mesmo estar); as aplicações estão na nuvem; não há como saber onde começa e onde acaba a rede da empresa (viva o ecossistema!); APIs fornecendo dados por toda a parte (juro que não falarei sobre LGPD hoje; data lake; etc. Você acredita mesmo que a abordagem “Temos uma Política de Segurança da Informação” seja suficiente?!
De acordo com Global Risks Report 2020, do Fórum Econômico Mundial, o risco de ataques cibernéticos é um dos maiores riscos do mundo, abaixo apenas dos riscos climáticos e naturais. A segurança da informação subiu da pauta do CISO e do CIO, ando o risco cibernético a ser pauta prioritária do CEO, do CFO e do Conselho.
Ok, ok. Pintado o quadro da desgraça, o que fazer? Certamente não é cruzar os braços e esperar o ataque cibernético ou o vazamento de dados acontecer. E não é uma questão de ‘se’ acontecer, mas de ‘quando’.
E a dica para a resposta está na velha máxima de Peter Drucker: “You can’t manage what you don’t measure” (“Você não pode gerir o que você não mede”).
Pois bem, defina uma estratégia corporativa de segurança cibernética; determine as prioridades; baseie suas prioridades em critérios quantitativos de risco (perda) para o negócio; crie dashboards; dê transparência; compartilhe formalmente a responsabilidade pela segurança com os demais gestores da companhia (sim, com os gestores de negócio inclusive) – afinal de contas, se o risco cibernético é um risco de negócio, o ablity (prestação de contas) é deles, e não do CISO.
Implemente um programa de Governança de Segurança Cibernética. Gerencie os riscos! Comece hoje. Ou corra o risco de alguém lhe dizer “Resolva o problema do vazamento de dados do nosso cadastro de clientes que está sendo noticiado pela mídia. E você tem três dias!"
*Por Ricardo Dastis, sócio e diretor de Cyber Defense da Scunna.