As ameaças digitais crescem e se transformam. A cada dia que passa, atacam de formas diferentes e precisam ser combatidas com inteligência em cibersegurança.
Por isso, mais do que mudar as tecnologias de proteção, é preciso mudar a forma como as equipes encaram as ameaças.
Mathew Newfield, chefe de segurança da informação (CISO) da Unisys, visitou recentemente o Brasil e conversou com o inova.jor sobre as mudanças no cenário e como implementá-las.
Confira abaixo os principais trechos da entrevista.
Qual é o motivo da sua visita ao Brasil?
Por algumas razões. Primeiramente, tenho uma responsabilidade global por cibersegurança. E essa é uma das regiões que devo vir para falar pessoalmente com o time local e regional.
A outra razão é que eu mudei significativamente meu papel e eu acho que muitos CISOs estão fazendo isso também. Acho que temos uma tendência a sermos muito voltados para dentro. E eu acho que isso é um erro.
Então nós estamos realmente mudando nosso programa de cibersegurança. Por isso, estamos fazendo reuniões com clientes, potenciais clientes, parceiros na indústria e analistas.
Afinal, queremos mudar o conceito de cibersegurança para os negócios. Globalmente, estávamos fazendo as coisas do jeito errado.
Por que estavam fazendo isso do jeito errado?
Por muitos anos, havia a crença de que CISOs e profissionais de cibersegurança tinham o trabalho de impedir que maus elementos invadissem nossos ambientes. Impedir que eles roubassem nossos dados ou atacassem nossas empresas.
E isso é impossível. É como se pedíssemos a um engenheiro que construísse um carro ou uma moto que nunca se envolvesse num acidente. Seria estupidez, não seria? E era isso que estávamos fazendo.
Portanto, é o que muitos de nós afirmamos para nossos conselhos e equipes de executivos: de que vamos impedir os maus elementos. E isso fica pior quando vemos os fornecedores do mercado de firewall, de phishing. Eles dizem que nada de ruim vai acontecer a quem comprar coisas deles. E isso não faz sentido algum. É nonsense.
A cada invasão ocorrida globalmente, nos últimos cinco anos, talvez não todas, mas a maioria, as empresas tinham toda a tecnologia que você possa imaginar. E, para a maioria delas, estava fazendo tudo certo. Mas tinha a mentalidade errada. E a mentalidade, a meu ver, era de protecionismo. E o protecionismo está morto. É tudo uma questão de resposta ativa, que é o que importa no mundo hoje em dia.
E, se pensarmos a respeito, é disso que trata o conceito de confiança zero. Confiança zero não é um produto, não é uma tecnologia. É uma mentalidade. E viemos ao Brasil para conversar com CISOs e CIOs e tentar educar as equipes.
Precisamos falar com os analistas também, para que eles parem de empurrar produtos como se fosse solução para assegurar o ambiente. Isso não faz sentido.
Como isso funciona nas empresas hoje?
A piada é que, geralmente, um CISO fica em seu cargo em torno de apenas três anos.
Tem uma piada sobre o executivo de segurança que começa seu trabalho e, na mesa, têm três envelopes do seus predecessor.
A cada invasão, ele precisa abrir um dos envelopes. Assim, três ou quatro meses depois, ele enfrenta o primeira problema, abre o primeiro envelope do antecessor que diz: “Ponha a culpa em mim”.
Depois de mais seis meses, acontece o segundo problema, ele abre o segundo envelope que diz: “Culpe a equipe”.
Por fim, no terceiro envelope, está escrito: “Escreva os três envelopes”.
E como evitar essa situação?
Recebemos a culpa pelas invasões, mas isso acontece por conta de erros nas definições do que fazemos.
Na primeira vez em que encontrei nossos diretores, eles me perguntaram o que eu fazia da vida. E eu disse que não impedia invasões. O que eu faço é reduzir riscos. Encontro riscos e dou opções.
Além disso, eu acredito numa coisa chamada “método olímpico”. As pessoas gostam de escolhas.
Por isso, quando encontramos um risco, é preciso oferecer a opção de ouro, a de prata e a de bronze.
A diretoria nunca escolhe a de ouro, por ser cara demais. Nem a de bronze, por ser barata demais. Sempre acabam escolhendo a opção de prata.
Eles sempre aprovam, já que existiam opções. No final, eu entrego a opção que eu queria. É sobre riscos e sobre reações.
Como se proteger de todas as ameaças?
Você não consegue. É impossível. E você não pode se preocupar com todos os ataques. Por exemplo, eu dirigi até aqui hoje, eu cheguei e está tudo bem.
Portanto, quais acidentes que eu evitei nesse percurso? Quem se importa com isso? A resposta é: ninguém se importa.
Ontem, quantas vezes os sistemas da Unisys foi atacado? Alguém se importa com isso? Não, as pessoas se importam se o sistema isolou as ameaças.
A única preocupação é dar um jeito nas ameaças. O resto é apenas ruído. Um ruído sobre o qual não nos importamos.
Assim, eu vou falar outra coisa que nós, na Unisys, acreditamos muito. Eu nunca irei, mesmo com todas as nossas soluções em tecnologia, impedir uma invasão. E eu nunca iria prometer isso.
Eu falo para os nossos clientes que se um vendedor, alguma vez, lhe falar que com os nossos produtos você não sofrerá nenhum ataque, ele estará mentindo. Eles não são maliciosos, mas isso simplesmente não é verdade. O que podemos fazer é avançar na cibersegurança. Isso é a chave.
Tem a situação da [varejista] Target, nos Estados Unidos. Se eles tivessem utilizado nossa plataforma, teria sido possível detectar e isolar o ataque.
O que quero com esse exemplo é mostrar essa sutil mudança na mentalidade que permitiu que nós, da Unisys, fossemos do protecionismo para a resposta ativa.
É fácil para um CISO relatar que haverá violações?
Não, não é. É uma conversa difícil de se ter por dois motivos. Primeiramente, a maioria das diretorias por aí não entende o mercado da cibersegurança. E muitos CISOs também não. E esse é o coração do problema.
Eu fiz um estudo durante uma apresentação, no começo do ano, em que a plateia era formada apenas por diretores executivos.
E uma das perguntas era se você gostava do seu CISO. “Você gosta dessa pessoa? Sente que pode ter uma conversa com ela?”. E a resposta era não.
Diziam que havia duas razões específicas. Primeiramente, os CISOs tentavam ser intelectuais, usando uma linguagem técnica. Além disso, eles nunca tinham conversas de negócios.
Então, de novo: se alguém faz parte da minha diretoria, e eu chego pra ele todo tecnológico, não estamos falando a mesma linguagem.
Devo ser capaz de adotar uma linguagem de negócios. Sua diretoria não vai mudar para ser técnica. Eu preciso mudar para uma linguagem que todos entendam.
Agora, se coisas ruins acontecerem e chegarem aos noticiários, eu sei o meu lugar. Os CISOs normalmente conhecem seus lugares.
Se meu relatório tem muitos sinais de alerta, o CISO terá que explicar o que eles significam.
Ele não está apenas protegendo seu emprego, está protegendo a sua empresa. Hipoteticamente, se tenho dez violações e nenhuma é interessante para a mídia, está tudo dentro do controle.
É difícil propor uma nova mentalidade ao setor?
Existe uma contingência muito pequena de CISOs que cresceram nos negócios, no lugar da tecnologia. E eles compreendem isso muito rapidamente.
Baseado em anos que converso com CISOs e CEOs, eu percebo que as pessoas com mais dificuldade nisso são os que estão do lado da engenharia.
Eles construíram uma carreira e uma reputação dentro da empresa “comprando coisas”. Então não é fácil chegar para eles e pedir para que se livrem dessas “coisas”. É uma conversa difícil.
Qual é o papel da regulação na cibersegurança?
É muito importante, mas eu tenho uma visão diferente da maioria das pessoas. Acho que ela não protege o cidadão, nem empresas ou governos.
O que faz, na verdade, é responsabilizar a empresa para que ela faça pelo menos o básico. Afinal, é o que a maioria das empresas não faz.
As empresas, antes, fingiam que esse tipo de regulação era inexistente. Agora, com a legislação, se tornou obrigatório para as empresas escutarem os seus CISOs.
Se ignorar e houver uma invasão, o custo será enorme.
O problema que eu tenho com as legislações por aí é que elas são muito vagas. Afinal, é difícil para governos serem específicos.
Com o tempo que leva para aprovar uma lei, ela já está velha. Eu gostaria que houvesse um padrão para todos os países, que a regulação fosse a mesma.
O que muitas empresas fazem, no final, é aplicar o tipo de regulação mais restrita para atuarem globalmente.
O que a gente faz nos Brasil não é diferente do que fazemos na Europa e do que fazemos nos Estados Unidos.