Quem trabalha com segurança da informação certamente sabe o quão difícil é se comunicar com a alta diretoria de uma empresa e garantir que ela entenda a real dimensão das ameaças cibernéticas — tal como a necessidade de investimento para mitigá-las. E essa foi a temática da palestra do Dr. Eric Cole, fellow do SANS Institute e autor de diversos livros sobre o assunto, subiu no palco do Mind The Sec 2021 para explicar como esse problema precisa ser resolvido o mais rápido possível.
- MTS21 | Cibercriminosos estão oferecendo Malware as a Service na internet superficial
- MTS21 | Cibersegurança é crucial para a LGPD, diz diretor da ANPD
- MTS21 | Como garantir a segurança no desenvolvimento em nuvem
Para Cole, é necessário entendermos a diferença entre cibersegurança e tecnologias da informação. “A lente na qual você visualiza o problema é fundamental para encontrar uma solução eficaz para resolvê-lo. E, para mim, um dos maiores problemas da segurança cibernética é que usamos a lente errada”, afirma o executivo. “Segurança cibernética não é um problema técnico. Sim, você pode usar a tecnologia e ter soluções técnicas para ele, mas não é um problema técnico. TI é um problema técnico”.
Um chief information officer (CIO), como bem observa Cole, deve estar preocupado sobretudo em manter um uptime de “99,999%”, se certificando de que há redundância, backups, tolerância a falhas e assim por diante. "Entretanto, a segurança cibernética é um problema de negócios”, garante. Como exemplo, o especialista imagina um cenário hipotético no qual a equipe de segurança — reunida com a alta gerência da empresa — apresenta um servidor desatualizado que oferece vulnerabilidades e riscos.
“Este servidor está conectado à internet, e, com base nos vetores de ataque, há 95% de chance de ser comprometido. Contém 5 milhões de registros sem proteção. Isso é uma boa ideia? Eu não consigo imaginar qualquer situação em que isso fosse apresentado com precisão à equipe executiva e o executivo diria: ‘É uma boa ideia, vamos fazer isso’. Isso não faz sentido algum”, afirma Cole. Como exemplo prático, ele cita o caso da Colonial Pipeline, que conectou sistemas legados e desatualizados à web.
Falta de tradução
O palestrante configurou esse tipo de situação como um “problema de tradução” — a equipe técnica sabe dos problemas, mas os executivos não o consertam. “Os executivos não entendem, não conhecem ou compreendem a técnica. Os técnicos estão tentando explicar em uma linguagem que os executivos não falam ou não entendem”, explica. Justamente por isso, problemas de cibersegurança podem ser considerados de natureza corporativa e administrativa.
Parte da culpa desse cenário, segundo Cole, é de muitos gerentes de segurança da informação, que enxergam seus cargos como um “plano promocional” de carreira técnica. Após trabalhar anos na área técnica, eles naturalmente não conseguirão usar uma linguagem acessível ao board. “O que falta nas empresas hoje é um tradutor”, simplifica. “São duas linguagens diferentes. A menos que exista alguém capaz de traduzir uma para a outra, nós continuaremos com problemas na segurança cibernética”.
Já ouviu falar sobre a clássica máxima de “tratar os outros como você quer ser tratado”? Para Eric Cole, a frase é bonita, mas não é funcional — afinal, somos diferentes e únicos, de forma que a maneira como uma pessoa deseja ser tratada pode não funcionar com as outras. “A frase correta é, ‘trate as pessoas como elas querem ser tratadas’. Eu preciso entender como você se comunica, como você fala e tratá-lo do jeito que você quer se tratado”, afirma, se referindo à falta de comunicação entre essas duas áreas.
Mas, afinal, como os técnicos podem aprender a linguagem dos executivos? “Isso se resume a entender os fundamentos do que é segurança cibernética. Pode parecer um pouco bizarro dar uma definição, mas aqui está a parte inacreditável. Todos já ouviram falar sobre o termo ‘segurança cibernética’. Mas a parte mais engraçada é que poucas pessoas conseguem defini-lo. Conheci pessoas que trabalharam na área por dez anos, e, quando perguntei a definição para eles, eles não conseguem responder”, alerta.
Mudança de perspectiva
Para Cole, uma definição apropriada para segurança cibernética é “entender, administrar e mitigar o risco de informações ou dados críticos serem divulgados, alterados ou negados”. O executivo explica: “Realmente, são três partes. Segurança cibernética é entender, administrar e mitigar o risco. Estamos em uma área de risco para o negócio, e risco é sinônimo de perda. Então precisamos entender que tudo o que fazemos é sobre como gerenciar e mitigar riscos”.
O especialista ressalta que não existe um ambiente 100% seguro, e, quanto mais recursos e funcionalidades forem adicionadas, maiores serão os vetores de ataque. Isto posto, a primeira conversa a se ter com os executivos é justamente explicar que, mais cedo ou mais tarde, a empresa será atacada e possivelmente sofrerá danos. “Se os seus executivos pensam que há somente três ou quatro tentativas de ataque por dia, se em seis meses, você é violado, você entende o porquê deles acharem justo demitir profissionais”, diz.
“Porém, se você mudar a perspectiva deles, e eles souberem que existem de três a quatro mil tentativas de ataques contra as quais você está se defendendo com sucesso, todos os dias, se houver uma violação em seis meses, eles entenderão e enxergarão que você está fazendo um ótimo trabalho”, conclui.
Confira tudo o que já publicamos sobre o Mind The Sec 2021, a maior e mais qualificada conferência corporativa sobre segurança da informação da América Latina!