Cibersegurança: 15 minutos para fisgar seu peixe

Proteção de dados é assunto quente e presente nas agendas dos mais altos executivos das maiores empresas do mundo. É evidente que todos estão preocupados com a tendência que aponta para uma maior exposição do negócio, de seus segredos, de suas propriedades intelectuais, mas também se preocupam com a operação e a continuidade do negócio.

Variações do mesmo tema povoam o imaginário dos CISO (Chief Information Security Officers e de todo C-level materializados sob a forma dos termos cibersegurança, ciberataque, cibersabotagem, ciberterrorismo, cibercrime e ciberguerra, porém, não há um discurso estruturado e um entendimento comum sobre o assunto. As visões são fragmentadas e essa situação se agrava ao transitarmos verticalmente pela hierarquia da organização e/ou pelos domínios específicos que compõem o escopo de IRM (Information Risk Management), como os de segurança tecnológica, física e humana.

Como e o que eu devo dizer ao meu stakeholder se eu tiver a chance de 'fisga-lo' tendo apenas 15 minutos?

Então, como e o que eu devo dizer ao meu stakeholder se eu tiver a chance de conversar com ele e tentar fisga-lo tendo apenas 15 minutos do seu tempo? Bem, se você não sabe muito mais sobre sua audiência, seus pesadelos específicos ou problemas que, no momento, estão procurando resolver, procure adotar uma abordagem top-down - do macro para o micro - começando pela contextualização do cenário atual de forma que ele consiga enxergar a própria empresa inserida. Depois compartilhe dados que remetam aos impactos da insegurança, preferencialmente quantitativos. Se conseguir chegar à granularidade de sua indústria ou região geográfica, melhor. Em seguida conte a estória que todos conhecem, mas poucos percebem, da transformação digital que a sociedade e as empresas estão vivenciando hoje. Introduza o quadrante da Quarta Revolução Industrial (indústria 4.0). Compartilhe a visão. Projete as implicações que ela poderá trazer para as relações humanas, comerciais, econômicas, políticas, culturais e sociais e deixe-o digerir por alguns minutos. 

Se a "ficha ainda não tiver caído", revele recortes de jornal com notícias verídicas que ilustrem como tudo está em transformação e tudo que agora também pode ser alvo de um ciberataque. Nesse exato momento, quem ainda sorri na sala tende a se fechar cercado por uma atmosfera de apreensão. Mas ainda é preciso explicar como tudo isso é possível.

O ataque possui uma anatomia e ala precisa ser conhecida para aprimorar a defesa.

É hora de mergulhar em alguns indicadores sólidos de pesquisa, de preferência de empresas ou institutos renomados e com reputação ilibada. Fale sobre o underground, o comércio paralelo da Internet Profunda onde vulnerabilidades são comercializadas e alcançam altas cifras. Conte sobre a dinâmica das bootnets, das atividades hacker e do menu precificado de serviços ilegais. Revele que se há um prêmio potencialmente alto, há naturalmente apetite para investir alto na tentativa de superar as defesas e alcançar o alvo. O ataque possui uma anatomia e ela precisa ser conhecida para aprimorar a defesa.

Cuidado! Nesse momento você pode perder a audiência.

Cuidado! Nesse momento você pode perder a audiência. Isso porque o tema encontra uma bifurcação conceitual e tende a separar o mais executivo e estratégico do mais técnico e operacional. Então você deve lançar mão de demonstrações realistas em que ameaças exploram vulnerabilidades, preferencialmente vídeos que possam, de certa forma, entreter os diferentes grupos, porém, falando de temáticas, técnicas e situações ordinárias e onipresentes. Selecionar bem essas demonstrações é chave, e esse conteúdo precisa estar atual para atingir o objetivo de forma eficiente.

Um caso de phishing (técnica em que o agente ataca o alvo através de uma isca que comumente chega por e-mail); outro de SMS exploit (sequência de comandos ou parte de software elaborado para tirar proveito de um defeito ou vulnerabilidade); um de vishing (técnica de voice phishing aplicando engenharia social sem uso de tecnologia para obter vantagens); um USB drop attack (método que consiste em deixar um dispositivo USB desassistido com a expectativa de ser encontrado pela vítima e inserido em seu equipamento para infiltrar programa malicioso); e finalmente um ransomware (técnica via software que realiza o sequestro de dados da vítima e solicita pagamento de resgate para decriptografar os arquivos e reestabelecer acesso aos arquivos originais).

Depois de percorrer toda a trajetória da narrativa em cerca de 10-12 minutos, é hora do golpe final, do 'check-mate' como dizemos no xadrez, ou do 'arm-lock' como falamos no jiu-jitsu. Então você revela estudos que apontem a evolução das ciberameaças ao longo do tempo e em função da magnitude do impacto nos negócios, enquanto menciona os vetores de transformação digital e inovação tecnológica, e como eles fomentam um novo, dinâmico e preocupante ambiente de risco. Alivie a tenção da audiência revelando um vídeo no velho e bom estilo tragicômico com o anúncio de serviços ilegais e criminosos, acessíveis a qualquer no planeta.

A essa altura seu tempo está quase esgotado. Por fim, embrulhe sua narrativa executiva com o conceito de abordagem equilibrada e que respeita as particularidades de apetite de risco, esforço e custo do seu stakeholder, demonstrando assim viabilidade e maturidade para discutir os próximos passos e o futuro da gestão de riscos da informação na organização.

Se tudo que planejamos até agora deu certo, o 'peixe' é seu. Espero que essa proposta prática e bem-humorada de abordagem e sensibilização possa também lhe ser útil.

Nota: Se por acaso sua organização ainda não dispõe de um CISO estratégico (Chief Information Security Officer responsável pela governança, risco e conformidade), e/ou não conta com um CIO estratégico (Chief Information Officer responsável pela transformação digital) ou ainda, em último caso, conta com os dois, mas eles estão isolados e preocupados exclusivamente com seus silos, você ainda tem outro problema para resolver. Comece lendo os artigos: CIO de quê? e depois CISO e CIO estratégicos e juntos, ou nada.

Download do formato PPTX incluindo os vídeos (112MB)

Download do formato PDF sem vídeos (3.2MB)

Aviso legal: você pode fazer uso deste conjunto de slides desde que respeite a propriedade dos conteúdos e suas fontes citadas no corpo do material, bem como a referência ao autor. Se seu interesse vai além e você procura por um palestrante, entre em contato.

Boa leitura.

Marcos Semola é Computer Science BSc, Executivo de Tecnologia da Informação, Especialista em Governança, Risco e Conformidade, Professor da Fundação Getúlio Vargas, escritor, palestrante, VP Membro do Conselho de Administração da ISACA, Vice-Presidente de CyberSecurity do Instituto SmartCity Business, Diretor do Founder Institute Rio, Mentor de Startups e Investidor Anjo. www.linkedin.com/in/semola | www.marcossemola.com