Hoje, gestores de TI e CISOs precisam transmitir a relevância da segurança cibernética para as operações e os resultados de negócios aos conselhos de administração e às diferentes áreas, a fim de criar uma cultura empresarial de segurança. Além disso, é necessário cada vez mais planejar, ter estratégia e colaborar, inclusive com chão de fábrica, para cobrir TI, TA e todas as novas tecnologias
A Redbelt Security, consultoria especializada cibersegurança, reuniu recentemente 100 líderes das áreas de negócios, cibersegurança, TI e TA (Tecnologia da Informação e de Automação) para discutir a preocupante evolução dos ciberataques e os principais desafios e tendências de segurança cibernética no Brasil, na 3ª edição de seu evento próprio – o Expand.
Ao abrir o evento, Eduardo Lopes, CEO da Redbelt Security, destacou o fato de, no passado, a segurança da informação se restringir à necessidade de proteger o próprio perímetro e hoje ter se transformado em um dos maiores desafios corporativos cotidianos. “A sofisticação e maior complexidade das ameaças, bem como a evolução constante dos riscos em função da transformação digital de empresas de todos os setores têm tornado a cibersegurança uma pauta importante para os conselhos de administração, que precisam contemplar investimentos na área em suas estratégias e planos de negócios”, alertou o executivo.
Outro aspecto a ser considerado é que as novas tecnologias de proteção têm um ciclo de vida mais curto para combater ameaças mais silenciosas e cada vez mais destrutivas. “Esta nova realidade exige que CISOs e gestores de TI sejam cada vez mais proativos e promovam investigações em escala, correções em massa e segurança em várias camadas, atuando como facilitadores de inovação e de negócios. Isto só é possível com priorização e gestão de riscos, contemplando infraestruturas de TI e TA, que estão cada vez mais integradas. Eles precisam também ter uma visão objetiva dos impactos dos riscos nos negócios a fim de conquistar o respeito das demais áreas e de promover uma cultura empresarial que priorize a cibersegurança”, enfatizou Lopes.
A primeira palestra Gerenciando a rede mais hostil do mundo foi ministrada por Luiz Eduardo, CTO e Security na HPE Aruba Networking, que falou sobre sua experiência na gestão da DEFCON, maior evento global de hackers. O executivo abordou curiosidades e detalhes técnicos para que os participantes entendessem a dinâmica, os obstáculos e as melhores práticas na configuração e gestão de redes em ambientes altamente desafiadores. “Em um evento com orçamento reduzido e público exigente é fundamental ter um bom planejamento, resiliência e capacidade de adaptação na gestão para garantir a entrega de uma rede segura e eficiente, que atende às expectativas e demandas dos participantes, parceiros e expositores. Outro desafio é conquistar voluntários para trabalhar gratuitamente e reter estes talentos para as próximas edições, além de lidar com a politicagem e a burocracia, que existem em qualquer grande evento, assegurando os melhores resultados possíveis”, ressalta Eduardo.
Priorização de gestão de risco com SLA na Cielo
A palestra seguinte abordou o desafio de descobrir qual é a forma mais produtiva de implementar soluções que realmente lidem com o que é mais crítico em tempo hábil em ambientes cujas variáveis são muitas e a superfície de ataque é orgânica, dinâmica e, em geral, pouco compreendida. Na apresentação Mudando da probabilidade para priorização na gestão de riscos cibernético, Glauco Sampaio, CISO da Cielo, enfatizou uma realidade diária das equipes de segurança: o tempo de correção das vulnerabilidades é sempre maior do que o de exploração dela pelos hackers. “Para superar esse gap, é necessário compor todo um ecossistema de informações para ver onde estão os riscos, o que exige também tempo e foco para preparar uma apresentação para o board da empresa e solicitar os investimentos de defesa necessários”, explicou Sampaio.
Diante deste contexto, é preciso definir prioridades e estabelecer um Protection Level Agreement (PLA) que enderece o nível de risco aceitável para cada ativo da empresa, incluindo requisitos, padrões e tempos viáveis para recuperar cada um. “Desta forma se baliza a política para que fique factível e gerenciável”, detalha Glauco. Ele citou exemplos que colocou em prática em empresas, para estabelecer este PLA e ter uma política de segurança eficiente, fazendo a classificação específica e definindo prioridades para atuação das equipes. “Primeiro, avaliamos qual é o produto/serviço. Em seguida, nível de exposição e as possibilidades de a vulnerabilidade ser efetivamente explorada. Por último, analisamos se o risco efetivo é alto, médio ou baixo. Depois disso também é importante levar em consideração fatores tecnológicos que podem mitigar automaticamente o impacto dessas fragilidades. Isto é essencial porque é mais fácil resolver poucas vulnerabilidades realmente prioritárias do que muitas sem o devido critério, pois as demais fragilidades podem ser resolvidas ao longo do tempo, sem expor nossa empresa a grandes riscos”, detalhou o CISO da Cielo.
Glauco Sampaio contou ainda que, para motivar a cultura de cibersegurança, é importante beneficiar as equipes que seguem os padrões requeridos de cibersegurança. “Um caminho é trabalhar da seguinte forma: procurar parceiros nas áreas de TI e negócios; ter um painel vivo e integrado para uma visão ampla dos problemas, com varreduras, pentestes etc.; contar com ferramentas SIEM e SOC bem estruturadas, com ferramentas analíticas e PLA para produtos/serviços. Deste modo, aquele time que foi parceiro do time de segurança e implementou os requisitos/tecnologias corretamente conseguem trabalhar com mais liberdade, enquanto ajudamos a empresa a reduzir seu nível de exposição a vulnerabilidades de maneira devidamente priorizada”, concluiu o CISO da empresa de cartões de crédito.
O desafio da cibersegurança no setor de saúde – estudo de caso Unimed
A próxima apresentação foi de Márcio Neri Araújo, gerente de Infraestrutura, Segurança da Informação e Sustentação da Unimed do Brasil, que apresentou um estudo de caso da empresa que conta com 340 cooperativas médicas com gestões autônomas que, distribuídas, atendem 5.154 municípios em todo o país, reunindo 118 mil médicos, 140 mil colaboradores e 20,5 milhões de beneficiários, além de 30 mil serviços credenciados próprios e mais de 1,7 milhão de eventos assistenciais diariamente. “É um sistema com alta complexidade por reunir unidades médicas e hospitalares para atender centenas ou até milhares de pessoas por dia. Por isso, os riscos se multiplicam de forma praticamente infinita e a visibilidade e o controle são realmente desafiadores, sendo que a cada solução de segurança instalada, a sensação é que o problema só aumenta”, afirma Neri.
De acordo com o gerente da Unimed, sua missão diária é tornar mais seguro, íntegro e disponível um cenário com diversas camadas e, portanto, potencialmente atrativo a criminosos cibernéticos devido ao alto valor dos dados, especialmente as informações sensíveis, o que é um desafio de todos. “O setor de saúde é hoje um dos mais visados pelos hackers em todo o mundo e as empresas brasileiras estão em destaque neste ranking”, comentou Neri.
Para lidar com os riscos cibernéticos, a Unimed conta hoje com o apoio de um grupo colaborativo que tem 49 especialistas em cibersegurança distribuídos entre as cooperativas, regidos por um plano diretor de tecnologia e inovação, que considera governança, segurança da informação e privacidade, assim como políticas estruturadas de TI, que envolvem processos, ferramentas e pesquisas, uma busca para ter uma infraestrutura coerente, conectividade e governança de dados com centenas de teras de dados, nos quais a inovação de forma cíclica deve estar em conformidade com a evolução dos negócios.
“A Unimed entende a segurança como uma jornada, na qual cada empresa tem suas particularidades e temos de conhecer suas especificidades para adotar ações de segurança, privacidade e governança de acordo cm suas demandas. Com este intuito, nós contamos com parceiros estratégicos, como a Redbelt, que nos auxilia no monitoramento e controle de nossas vulnerabilidades e riscos, ampliando o processo de proteção e de resposta rápida a incidentes e falhas”, esclarece Neri. Segundo ele, esse posicionamento da empresa deve sempre incluir investimentos frequentes em formação, capacitação e conscientização de líderes, liderados, fornecedores e clientes, bem como na disseminação de processos e normas de GTI (Governança de Tecnologia da Informação).
O desafio de integrar e proteger TI e TO
Quando decide atacar uma empresa, o hacker faz primeiro uma sondagem para localizar qual é a melhor vulnerabilidade a ser explorada. Para ele, não importa se o ambiente é de Tecnologia Operacional (TO) ou de Tecnologia da Informação (TI), mas sim como entrar e roubar dados críticos. Já para as equipes de cibersegurança que estão na defesa em TO, essa diferença importa e muito. Isto porque a profundidade dos danos e o impacto de parar uma fábrica é mais caro, pode afetar diretamente a produção, colocar vidas em risco e tem a retomada das operações muito mais demorada.
A espinha dorsal da indústria é a estabilidade e a disponibilidade, o que quer dizer que uma solução, por mais tecnológica que seja, não servirá de nada em um ambiente industrial se ameaçar a continuidade operacional. As particularidades e especificações na arquitetura de segurança em OT foram o tema do painel Desafios reais e cotidianos de segurança em OT, mediado por Nycholas Szucko, diretor regional de Vendas na Nozomi Networks, com participação de Paulo Macedo, diretor de TI e Transformação Digital na BP Bunge, Vitor Sena, CISO da Gerdau, e Juliano Gomes, CISO da VLI Logística.
A Indústria tem traumas por conta de momentos nos quais toda a produção foi parada devido a um ataque cibernético. “Nestes momentos, durante estas interrupções abruptas não ocorriam conversas, as pessoas demoravam para entender o que estava acontecendo e para compreender qual era a dor do outro, ou seja, qual era a origem do problema, a vulnerabilidade que abriu a porta para o ataque e como estancar os danos. Estas ocorrências geraram a necessidade de diálogo entre áreas, que antes trabalhavam isoladamente e que, atualmente, na Era Digital, precisam aprender a entender os diferentes universos e falar a mesma língua”, afirmou Szucko.
“De fato, com o avanço da Transformação Digital, nós entendemos que precisávamos trabalhar em parceria e conquistar a confiança e a colaboração da equipe de TO. Fizemos isso mostrando que era necessário disseminar a cibersegurança diante da adoção de novas tecnologias nas indústrias”, comentou Macedo, da BP Bunge, ao iniciar a conversa. Sena, da Gerdau, concordou e afirmou que o primeiro passo foi a realização de uma pesquisa sobre os riscos no ambiente industrial, que são diferentes dos existentes na área de TI. “Com base nos levantamentos do estudo, nós fizemos um planejamento centralizado de cibersegurança com objetivos coesos, com a intenção de contemplar nossas 10 plantas industriais, que têm ambientes hostis, em termos de temperatura, por exemplo, e estão instaladas em diferentes países. Assim, começamos nosso processo de integração da segurança cibernética”, informou o CISO da Gerdau.
Já Gomes ressaltou as particularidades de uma empresa de concessão ferroviária, que intensificou a cibersegurança ao sofrer um ataque cibernético, cujos danos incentivaram a integração das áreas de TI e de TA (Tecnologia de Automação). “Nós tivemos a oportunidade de iniciar nosso trabalho com fatos e não ficamos nos atendo a julgamentos. Conseguimos falar dos problemas e começar a conversa para ter um propósito único como empresa, o que foi fundamental para nossa união”, afirmou o CISO da VLI Logística.
Para Sena, a Indústria 4.0. tem na cibersegurança um dos seus pilares, porque exige a conexão de novas tecnologias e equipamentos, o que aumenta a exposição e, por consequência, os riscos. “É preciso ter visibilidade, segregação de rede, acesso remoto e serviços confiáveis para garantir a segurança dos dados em todos os pontos, ou seja, é necessária uma parceria “ganha-ganha” entre TI e TO. Isto só é possível com processos padronizados, integração e se falarmos a mesma língua do chão de fábrica, o que permitirá que todos estejam cientes das vantagens da cibersegurança”, detalhou o CISO da Gerdau. Araújo completa que “é realmente difícil conseguir só com a equipe e recursos próprios tocar tudo. Por isso, é importante contar com parceiros especializados para entender as demandas da fábrica e seguir a área de CISO na jornada de cibersegurança.”
A tendência é a convergência para um SOC (Centro de Operações de Segurança) único de TI e TO, mas este é um processo gradual que ainda deve levar alguns anos. Por esta razão, muitas empresas precisam contar com parceiros para ajudá-las a viabilizar a integração e a colaboração entre as duas áreas, entendendo onde estão as vulnerabilidades e gargalos. Outro empecilho para que esta expectativa se concretize é o alto déficit de profissionais de cibersegurança especializados em TI e mais ainda em TO.
Como despertar atenção dos conselhos de administração para cibersegurança
A maioria das grandes decisões nas organizações vem da sala de reuniões. E, com a expectativa de que o custo global do crime cibernético atinja US$ 10,5 trilhões até 2025, as questões de segurança passaram a ser assunto da diretoria e do conselho de administração. Mas há ruídos na comunicação entre o board e as equipes de segurança. Aqui no Brasil, a Kaspersky conduziu, em 2023, um estudo para entender melhor a comunicação entre os altos executivos e a liderança de segurança, no qual ouviu 2.300 líderes em empresas com mais de 50 funcionários. O resultado foi que um em cada 10 desses executivos nunca ouviu falar da palavra ransomware e outros 18% já tinham ouvido os termos phishing e malware, mas não sabiam explicá-los. Além disso, 21% dos executivos brasileiros disseram não se sentir à vontade para sinalizar que não entenderam algo durante reuniões com as áreas de segurança. Embora a maioria deles tenha dúvidas sobre o assunto, 38% não fazem perguntas adicionais porque não acreditam que a equipe de cibersegurança seja capaz de explicar de forma clara.
Os dados criam uma espécie de foto de uma dor, mas também levantam uma provocação: como conversar melhor com o board? Ou seja, um dos grandes desafios dos CISOs e gestores de tecnologia é mostrar os riscos cibernéticos para os negócios e seus possíveis impactos nos negócios das empresas, porque disto dependem os investimentos em novos recursos e tecnologias. Com este objetivo é necessário mostrar dados assertivos, convincentes, claros e objetivos em uma linguagem de negócios para a alta direção. “Para ajudar os participantes a entenderem como fazer isto, nós reunimos três mulheres que integram importantes conselhos administrativos para explicarem que tipo de informações interessa para os integrantes e de que modo estes dados devem ser apresentados para despertar interesse e engajamento dos gestores de negócios”, informou Eduardo Lopes, CEO da Redbelt Security.
Eni Marçal, conselheira consultiva de Empresas Familiares, foi a primeira a falar. “Para tomar decisões os conselhos se baseiam 30% em experiências passadas, 30% no presente e 50% no estratégico visando o futuro. Os conselhos atuais precisam ser visionários, por isso quando o projeto chega a eles precisa estar alinhado com o propósito da empresa e é preciso deixar claro que a cibersegurança impacta os resultados que, por sua vez, afetam diretamente a reputação”, disse a executiva. Em seguida, Marly Parra, fundadora do Future Mind Institute, acrescentou que estes órgãos continuam muito focados no financeiro.
“O CEOs profissionais costumam evitar grandes investimentos em inovação porque podem diminuir os bônus anuais. Isto muda quando o dono é o CEO porque ele quer que a empresa inove para crescer. O conselheiro precisa ter uma visão geral da empresa, seu momento atual e seus objetivos e motivar a sua evolução, portanto os dados precisam mostrar como a cibersegurança ajudará a empresa a garantir a continuidade e evolução dos negócios”, ressaltou Marly.
Para Luciana Bacci, conselheira independente do Grupo Votorantim, que já atuou como gestora de risco na empresa, é fundamental conhecer a formação e o histórico dos conselheiros e apresentar o seu programa de cibersegurança na linguagem deles. “A maioria das empresas não tem um especialista em segurança no conselho. Uma forma de chamar a atenção dos integrantes pode ser, por exemplo, com a concordância do jurídico, simular um ataque de phishing a um conselheiro e ganhar a atenção dele. Por consequência, todos os demais darão atenção”, sugeriu.
“É preciso deixar claro que a responsabilidade pela segurança cibernética é de todos, mas o prejuízo é dos sócios, ou seja, da companhia. A hora de trocar o telhado é quando o dia está ensolarado e não quando cai um temporal”, afirmou Eni. Segundo ela, é preciso que todos sintam a importância da cibersegurança antes das empresas sofrer um ataque. “Todos os conselheiros precisam colocar a botina para entender as verdadeiras dores da empresa”, alertou.
Marly concordou, mas acresceu que toda transformação deve vir do topo, mas no caso da segurança da informação a decisão muitas vezes é deixada para depois. “Com o advento de IA, está cultura precisa mudar. O conselho e o C-Level precisam entender de TI e participar das decisões efetivamente e o ideal seria ter alguém de TI e de segurança no conselho, o que exige que estes profissionais também entendam do negócio. A tecnologia norteia, hoje, todo o negócio”, salientou.
“É verdade. As equipes de TI, riscos e controles internos deveriam trabalhar juntas para definir custos e investimentos necessários em cibersegurança, além de calcular o ROI (Retorno sobre o Investimento) para levar ao conselho. A segurança e a gestão de riscos precisam trabalhar sempre juntas para mostrar capacidade de diagnóstico, maturidade e perspectivas de aperfeiçoamento constante”, afirmou Luciana. Porém, na hora da reunião com o conselho, Eni aconselhou o CISO a levar estatísticas para reforçar seus argumentos, sejam do crescimento dos golpes cibernéticos no país, no estado ou na cidade. “Além disso, leve exemplos de golpes sofridos pelos concorrentes ou empresas conhecidas e seus impactos nos seus negócios e reputação. Isto certamente vai chamar a atenção dos conselheiros”, acrescentou a conselheira de empresas familiares.
De acordo com Marly para que a cibersegurança se torne uma cultura empresarial o ideal é que todos pensem como donos. “É preciso que se conheça o setor de atuação da empresa para chegar ao conselho e mostrar os impactos nos negócios, no setor, nos concorrentes e na empresa, os investimentos necessários e os resultados almejados. Só assim se consegue atenção para viabilizar uma decisão favorável ao investimento requerido por sua área”, completou a fundadora do Future Mind Institute.
Durante o evento, Eduardo Lopes apresentou novidades do RIS, plataforma SaaS de gestão de segurança da Redbelt Security. Entre elas, a IARis, a nova assistente de inteligência artificial desenvolvida pela empresa, e o RIS MOBILE, novo app para iOS e Android do RIS que em breve estará disponível para todos os clientes da Redbelt.
O Expand teve também um “Cyber War Game: Blue Team x Red Team”, que consistiu em uma simulação de invasão, com divisão dos participantes em duas equipes (uma de defesa e outra de ataque), fazendo os convidados vivenciarem, na prática, os riscos de uma invasão e as melhores estratégias de proteção cibernética que podem ser utilizadas.
O encerramento foi feito por Caco Barcellos, um dos mais respeitados jornalistas investigativos do Brasil, que palestrou sobre a “Tomada de decisão e gerenciamento de crise”, colocando seu ponto de vista jornalístico sobre a importância das grandes decisões em momentos de pressão.