Andrés Velásquez é o fundador da MaTTica, uma empresa pioneira na implantação de laboratórios de pesquisa digital na América Latina e sua visão de segurança varia da experiência à conscientização
O maior risco em termos de segurança cibernética é que a alta administração não sabe como entender os riscos de uma organização.
Como dependemos cada vez mais da tecnologia e a economia digital está sendo impulsionada pela pandemia, alguns líderes de organizações – pequenas, grandes ou internacionais – ainda não conseguem entender o que representa um risco de segurança cibernética.
Em muitos casos, as organizações estão mais preocupadas em inovar ou abordar a Transformação Digital, algo que foi acelerado com a chegada da pandemia. Tiveram o privilégio de continuar operando remotamente e prestando serviços aos clientes de forma digital sem considerar que os riscos ainda existiam e, em alguns casos, migraram para outros locais expondo a organização, seus colaboradores, suas informações e clientes.
Mas, no início desta pandemia, não era o momento de os responsáveis pela cibersegurança se recusarem a permitir o acesso a todos os colaboradores por meio de uma VPN ou a permitir que usem seus computadores pessoais para continuar trabalhando. As operações precisavam ser priorizadas.
Como chegamos a este ponto?
Os riscos são, ao enfrentar essas mudanças, que um colaborador tenha acesso a informações confidenciais a que antes não tinha acesso, que esteja usando um computador pessoal que compartilha com sua família e, por desconhecimento, tenha agora um código malicioso que exfila informações da organização.
Esse risco aumenta porque o colaborador se conecta à sua rede sem fio que não tem uma senha e, então, vários vizinhos podem tirar proveito dela e usá-la e, então, um desses vizinhos pode ser afetado com ransomware que criptografa os computadores conectados nessa rede.
Embora pareça um filme de terror, é possível que aconteça. Os riscos tradicionais ainda existem, mas mudaram de local. As casas de cada um dos colaboradores, seus computadores e seus dispositivos móveis, tornaram-se uma extensão ou um ramo da organização da noite para o dia.
“Mas nada aconteceu”, me disse uma vez um gerente geral de uma organização, enfaticamente, depois de ser afetado por um ransomware que o impedia de usar seus computadores e suas informações de publicação contidas nos servidores afetados. “Por que eu?”, perguntou ele.
Por priorizarmos a operação, não vimos os riscos e ninguém nos alertou. Nunca vimos que a mudança de reuniões presenciais para reuniões virtuais exigia um protocolo para impedir que uma pessoa desconhecida entre na sessão, de forma que ninguém pudesse gravar as conversas e ninguém se passasse por outra pessoa na sessão.
Deixe-me explicar um pouco.
Do dia para a noite habilitamos as ferramentas de videoconferência que já estavam disponíveis na organização com as versões gratuitas que permitiam 45 minutos de sessão. Não houve treinamento, não houve indução. Como em outras áreas, procuramos usá-las da melhor maneira possível e os riscos não foram percebidos.
Visibilidade
Agora, nem tudo é tão ruim. Acho que estamos em um momento muito bom para repensar a estratégia. Vemos riscos claros que temos de mitigar: a informação que agora se encontra em diferentes pontos, o acesso a recursos críticos ou confidenciais, os dados pessoais de colaboradores, clientes e aliados, bem como, a meu ver, o maior perigo atual : a visibilidade.
A visibilidade nos permite identificar o que está acontecendo em nossa rede, em nossa infraestrutura, em computadores ou dispositivos móveis que possuem informações sobre a organização. Não pretendo controlar muito, saber exatamente o que está sendo feito, mas sim ter visibilidade e controle suficientes para poder reagir antecipadamente e não reativamente.
Isso me leva a algo que cada vez mais gerentes precisam entender. Existem dois tipos de organizações: aquelas que já foram violadas e aquelas que serão violadas.
Seja um funcionário insatisfeito, um fornecedor, um ciberataque ou um cibercriminoso, eles terão a oportunidade, os meios e o motivo de obter um benefício ou informações que poderão posteriormente trocar em seu lucro. Ou seja, a economia de ataques cibernéticos que podem, dependendo do país, se tornar um crime cibernético.
Certa vez, estava conversando com um conselheiro de uma das maiores entidades financeiras do México. Começamos com uma palestra sobre aviação, um tema que tanto valorizamos como pilotos privados para entretenimento. A conversa mudou para o tema da cibersegurança, onde me confessou que o principal problema é que os gestores não querem falar sobre cibersegurança porque não entendem o risco. Eles não sabem como tratar e quando chega o especialista em segurança cibernética, não consegue explicar ao negócio o risco e para onde a organização está caminhando.
Imediatamente, eu disse a ele que também via da perspectiva oposta. Os especialistas não identificaram o risco para o negócio, eles o viram como um risco tecnológico, um risco para o que vêem ao redor do seu vizinho ou o que o fornecedor lhes diz.
Se adicionarmos a isso a questão de não falar a linguagem dos negócios, será quase impossível reduzir a lacuna entre gerentes ou tomadores de decisão de negócios e especialistas em segurança cibernética.
Comentei com ele que, dado o gosto comum pela aviação, seria muito desafiador pilotar um avião que não fosse verificado em solo. Imagine chegar, embarcar e dar início à decolagem e, já no ar, verificar se o combustível ou o óleo estão no nível certo. Seu rosto mudou imediatamente: “Nem mesmo louco, é muito arriscado”, respondeu ele.
Isso é o que está sendo feito na segurança cibernética, é tentar resolver algumas coisas quando já estão em fase de produção, e podem colocar em risco a organização. Se adicionarmos isso, ao contrário do risco operacional baseado em estatísticas desatualizadas e mudanças que são até certo ponto controláveis, o risco de segurança cibernética está mudando – em muitos casos não sabemos como enfrentar um novo ataque, então temos que ser mais ágeis e claros .
No final das contas, tudo evolui e tudo muda.
É difícil imaginar a implementação de segurança para a casa sem fazer alterações ou melhorias se algo acabou de acontecer na vizinhança. Tampouco imaginamos que os carros estejam, em termos de segurança, como no início do século XX, sem cintos de segurança ou novas tecnologias como temos hoje.
Como se envolver?
Tudo isso é cíclico, é uma constante. Então, o que você faz como gerente para se envolver mais? O que você pode fazer para ter mais visibilidade desses riscos?
Os gerentes devem entender em um nível muito alto os riscos nos processos críticos da organização. Eles precisam buscar indicadores de desempenho em segurança cibernética, apoiar a conscientização dentro da organização, sendo os primeiros a cumpri-los, se comprometer e se envolver com o assunto.
Eles precisam se envolver de uma forma que permita validar a segurança cibernética da organização, pedindo repetidamente à equipe de especialistas:
- Quais são as ameaças mais importantes às nossas linhas de negócios?
- O que estamos fazendo para mitigar esses riscos e quão eficazes são essas contra-medidas?
- Qual é o risco residual e o que vamos fazer com ele?
- Fizemos exercícios para medir a eficácia?
- Tudo isso permitirá que você tenha uma conversa com os especialistas, mas também para que ambos tenham em mente o que fazer e entendam o que vai acontecer.
