A nova fronteira da cibersegurança

Uma estagiária acessando sua conta de e-mail de Gana, no continente africano, acendeu um alerta numa empresa durante a pandemia. Consultoria de soluções tecnológicas especializada em segurança cibernética, a empresa brasileira percebeu o ataque potencial e agiu rapidamente para impedir a ação de criminosos. Para isso, observou e bem compreendeu um comportamento inusual e incoerente: se sua equipe está toda no Brasil e suas contas de email funcionais também; como sua estagiária, que não é designada para viagens, poderia estar logando a caixa de mensagens no país africano?

Quem conta essa história é Frederico Samartini, CEO da Yssy & Co, empresa focada em conectividade e transformação digital, que oferece soluções em segurança cibernética, cloud e digital applications, dados e analytics e outros – e a história é real; aconteceu com eles. “Observar comportamentos atípicos é uma medida essencial para todas as empresas: os funcionários devem ser preparados para observar e perceber, inclusive, seus próprios vícios de comportamento”, afirma. Na estreia do Fórum: O vetor estratégico da cibersegurança, uma coprodução MIT Sloan Review Brasil e Yssy & CO, fazemos essa excepcionalmente longa entrevista de especialista, para mapear a vulnerabilidade digital brasileira e, mais ainda, mostrar o que poderia ser feito e não é, e o que vem sendo feito e não deveria.

Tudo começa, segundo Samartini, por executivos mudarem a mentalidade em relação à cibersegurança. Cada vez mais gestores entendem que cibersegurança é aspecto decisivo da experiência satisfatória do usuário no mundo digital. Mas uma quantidade menor entendeu que cibersegurança não depende só do aporte de tecnologia. E uma quantidade menor ainda se libertou da velha ideia de ter ferramentas de prevenção ou reação a ataques virtuais.

Sim, as ameaças de hackers são cada vez mais frequentes e cada vez menos previsíveis, mas a nova fronteira tema inclui a segurança como vetor de negócios, com impacto no design de aplicações, produtos e serviços e insights preciosos para o negócio. Leia, a seguir, os principais pontos da entrevista:

Adotamos na MIT Sloan Management Review uma máxima da nova economia: toda empresa é uma empresa de tecnologia. Você concorda com isso? Se sim, o que significa ser uma empresa de tecnologia? E como sê-lo?

Eu concordo com a premissa, sim. Até porque, hoje, para aumentar o volume de vendas, preciso ser mais rápido e acessar mais clientes ao mesmo tempo. Esse acesso exponencial só é possível por meio de tecnologia. Dessa forma, é fundamental que os CEOs comecem por conduzir o planejamento estratégico dando muita ênfase na implantação de tecnologias disruptivas.

Eu penso que ser uma empresa de tecnologia significa compreender a necessidade e importância de dispor e fazer o melhor uso possível da tecnologia disponível para atender a expectativa daquele que está no centro de todo negócio: o cliente ou usuário.

Ou seja, a tecnologia é o caminho para chegar ao cliente, desde a concepção de uma aplicação, produto ou serviço, até a garantia de uma experiência excelente. E isso inclui proporcionar segurança ao cliente, seja na loja física, seja no ambiente digital.

Por onde começar a ser uma empresa de tecnologia?

Eu diria: conscientização da empresa toda e assessment.

Em matéria de conscientização, a empresa tem que desdobrar essa estratégia de forma que fique claro para os funcionários, inclusive para o profissional de TI tecnologia da informação, que entende de tecnologia, mas nem sempre está alinhado com a estratégia do negócio. Time de TI sem visão sistêmica de negócio tem dificuldade de defender para o CEO um investimento que é necessário, ou dizer quando é necessário, e aí os problemas escalam.

É uma dor tão grande o fato de CIOs (executivos-chefe de informação, na sigla em inglês) e profissionais de TI não terem foco na estratégia corporativa e no resultado (DRE), olhando só para produtos específicos de TI, que percebemos aí uma oportunidade de negócio: a Yssy & Co criou um serviço para ajudar no planejamento estratégico e no desdobramento de metas estratégicas de forma alinhada à tecnologia e à TI das empresas.

E agora vamos falar de cibersegurança propriamente. Como ela conversa com planejamento estratégico?

Se você me perguntasse como a transformação digital conversa com o planejamento estratégico, seria mais fácil responder. As áreas de TI simplesmente não podem mais adquirir e aplicar tecnologia de forma pontual, avaliando apenas a qualidade do software ou hardware adquiridos. Toda a transformação digital precisa estar regida pelo plano estratégico da empresa e não por decisões unilaterais. Agora, no caso da segurança cibernética, complica um pouco, pois o investimento está mais voltado a um seguro de proteção do que a algo que aumente receita ou reduza custos de operação – que são os objetos do planejamento estratégico. Mas, no fundo, é como a decisão de contratar seguro de automóvel ou não.

Imagino uma reunião do board olhando para o cálculo da consultoria alemã Roland Berger que saiu em março de 2022: esse cálculo mostra que, a cada segundo, uma empresa brasileira recebe uma tentativa de ataque hacker. Com essa exposição das companhias, o País já ocupa o 4º lugar em volume de tentativas de ataques de ransomwares no mundo; vem subindo, em 2020, estava na 9.ª posição. Essa estatística não seria argumento suficiente para a cibersegurança ser prevista em estratégia? O que ela significa?

Significa principalmente que as empresas brasileiras estão em um momento difícil, pois a concentração econômica é alta, ou seja, poucas empresas detêm os recursos para se proteger de modo mais abrangente – em comparação aos EUA, por exemplo. A grande maioria das empresas de médio e pequeno porte no Brasil estão lutando para manter ou crescer suas operações. A combinação de pouca flexibilidade para investimento, moeda desvalorizada, dependência de tecnologia importada e pouca mão de obra especializada faz com que tais empresas fiquem sem recursos para se proteger. No mundo do cibercrime, é tido como muito lucrativo atacar pequenas e médias empresas, sabia?

O que as PMEs podem fazer?

Posso dizer o conselho que a Yssy oferece a essas empresas menores: se você não tem recursos para investir de forma abrangente em segurança cibernética, ao menos, invista para “cortar o mato alto”. É preciso priorizar e investir nas ferramentas que custam 20% do total, mas que garantam 80% de redução em riscos.

Terrível. E mesmo empresas grandes sofrem... Basta olhar para o caso recente da Americanas.com, que teria perdido R$ 250 milhões por ficar fora do ar, segundo a XP. O que nossas empresas podem fazer para se proteger desses pelo menos 17 grupos de ataques hackers atuando no Brasil, de acordo com a Roland Berger? Por onde começar?

A primeira coisa que as empresas precisam fazer é investir em autoconhecimento, conhecimento das próprias vulnerabilidades. A maioria dos CEOs não sabe dizer qual é o nível de maturidade da proteção de suas empresas e nem qual o impacto teria um possível ataque.

Identificando essa dor, nós desenvolvemos uma solução chamada Cyber Diagnosys para isso, nosso propósito é mapear a maturidade da empresa em relação ao digital e fazer um mapa com o caminho para a proteção. Nesse mapa é entregue a priorização do que precisa ser comprado e implantado, relacionando volume de investimento e criticidade de risco de exposição. É importante ter diversas alternativas de tecnologias para não ficar refém apenas de um só fabricante, por exemplo. A gente, por exemplo, tem mais de cem contratos com diferentes fabricantes internacionais – ovos em várias cestas.

Em segundo lugar, precisam ter mão de obra de qualidade no Brasil, o que anda especialmente difícil, por isso muitos acabam terceirizando. E, mais que tudo, é preciso aumentar o entendimento dos decisores hoje sobre o assunto. A meu ver, a maior fonte do problema talvez seja o fato de os executivos não terem as noções de tecnologia necessárias para tomar decisões. Eles não conseguem nem contratar a pessoa certa, porque não entendem de tecnologia, mesmo que de maneira generalista.

Todo mundo parece correr atrás da transformação digital, mas se esquece de correr atrás da cibersegurança. Sendo que, quanto mais digitalmente transformado um negócio, mais exposto ele está. Como esse é um dinheiro gasto para não te deixar perder, mas não para te fazer crescer, às vezes é deixado em segundo plano.

Falta inteligência digital ao executivo brasileiro? Temos falado disso na MIT Sloan Review. Aliás, falta em outros países também...

Sim e, por isso, ele deixa tudo na mão do profissional de TI, o CIO. Sabe qual é o problema do CIO? Não tem o respaldo necessário. Então o CIO, às vezes, escolhe a solução que ele conhece mais, o que está ali mais perto dele. Ele não tem, ao escolher tecnologia, uma visão de negócios para ajudar o CEO a priorizar. E é comum CIO e o CEO não falarem a mesma língua.

Como superar isso?

Não vejo um caminho melhor do que o de transmitir conhecimento. Essa é uma dor e tanto. Por isso, inclusive, estamos montando uma universidade de tecnologia e negócio. Ensinar negócios aos profissionais de tecnologia e tecnologia aos profissionais de negócios. Este é um projeto estratégico da Yssy.

O aprendizado em cibersegurança tem de ser tão constante quanto o aprendizado de um médico, por exemplo?

Sim, tanto que nós mesmos estudamos muito, o tempo todo. Corremos atrás das certificações. Somos a empresa mais certificada do Brasil – aproximadamente 850 certificações ativas. E é bom estudar a tecnologia, a gestão de processos, a gestão de pessoas. É o que fazemos aqui, trabalhamos com o pacote completo.

Globalmente vemos que os CISOs (executivos que focam tecnologia da informação e cibersegurança) têm crescido. E no Brasil? As empresas devem ter adicionalmente especialistas internos em segurança?

As empresas precisam ter mais pessoas aptas para implantar e manter as ferramentas de segurança da informação nas companhias do Brasil. Pode ser com pessoal interno ou terceirizando. É inegável que a terceirização oferece como vantagem evitar a dificuldade de atrair e reter pessoas especializadas, e o esforço de mantê-los treinados e atualizados em relação aos riscos emergentes.

Por que tantas empresas priorizam reagir a prevenir?

Acho que os brasileiros são bem otimistas e sempre acham que o risco de serem atacados não vai se materializar.

Tem também a questão de não querer gastar dinheiro “à toa”, caso o ataque não venha? Aquele pensamento “dava para uma loja nova em vez de investir em cibersegurança”....

Todo investimento precisa ser analisado na base de risco versus retorno. No caso, o retorno é quanto de risco teremos mitigado para aquele investimento. Obviamente, quanto mais investimento mais o risco é reduzido, porém não acho que seja para sair investindo loucamente, não.

É interessante entender que, quando falamos de cyber, falamos de três momentos de prevenção: antes, durante e depois de um ataque. Não é só antes do ataque. As empresas precisam investir considerando todos esses momentos.

Se o executivo decide sem saber o suficiente, o que dizer de uma cultura de cibersegurança? Inexiste?

Posso dizer que sim, inexiste na maioria dos casos.

Qual o impacto do regime de trabalho híbrido nisso?

Aumenta, mas é possível gerenciar isso, no espírito do custo-benefício. É fundamental o trabalho de conscientização de todos os funcionários da empresa para riscos cibernéticos – primeiro com o management sênior, em seguida com nível gerencial e, por fim, com os demais colaboradores da empresa. Nós testamos a maturidade dos colaboradores, por exemplo, mandando e-mails phishing – preparados por nós e sem risco para a empresa – apenas para pegá-los distraídos e, a partir de algo concreto, começar a deixá-los atentos.

Dá para fazer também os pentests (testes de penetração) – quando o nosso time ataca a empresa cliente a pedido dele, com o objetivo de descobrir brechas.

Que orientação você daria especificamente para os CEOs nessa área?

Nas reuniões de acompanhamento de diretoria, ele ou ela sempre deve fazer duas perguntas: “quão expostos nós estamos ao risco de um ataque cibernético?” e “Se houver um ataque, estamos preparados para voltar ao ar?”. Sempre tem de haver respostas para essas perguntas.