Os desafios dos CISOs no pós-pandemia foi tema do IT ForOn Breaktous
Em evento digital, profissionais do mercado compartilharam aprendizados adquiridos na pandemia e como acham que a crise influenciará o setor no futuro
Independente da área de atuação da empresa para a qual trabalham, é certo falar que os CISOs foram alguns dos profissionais que mais trabalharam (e absorveram novos conhecimentos) desde o aparecimento local do novo coronavírus (Covid-19). A presença desses executivos foi necessária tanto para transportar com segurança boa parte dos colaboradores para o sistema de trabalho remoto como para auxiliar áreas de negócio na construção de soluções capazes de gerar receita durante a pandemia.
Com o formato de quarentena já consolidado e precisando reformular todos os planos de curto e médio prazo, quais são as novas prioridades destes líderes? Para compartilhar dados e falar sobre tendências da área, profissionais especializados em segurança da informação se reunirarm nesta quinta (18) parar participar do painel do IT ForOn Breakouts com o tema: “Segurança: o que aprendemos nos últimos três meses o que esperar dos próximos três anos?”
Promovido pela Microsoft, o debate recebeu André Fleury (Accenture), Glauco Sampaio (Cielo),José Luis Marques Santana (C6 Bank), Leonardo Kaniak (BRF), Nycholas Szucko (Microsoft), Martha Helena Schuh (Marsh Brasil), Robson Santos (Via Varejo) e Ruben Pimenta (Centro Estadual de Educação Tecnológica Paula Souza). A conversa foi mediada pelo jornalista Fábio Barros.
“A área de segurança saiu do porão e ganhou atenção pela sua importância. Nos próximos três anos, veremos um reposicionamento do papel do líder desse time, com uma maior visibilidade e, claro, a nuvem mais importante do que nunca.”
André Fleury – Accenture
Para o executivo, o momento atual destaca tanto a importância da área como permite que os profissionais possam fazer movimentos mais consistentes de migração da base para estruturas mais dinâmicas.
“Ficou muito claro, nos últimos três meses, de que a nuvem veio para ficar e que ela é uma ferramenta fundamental na resiliência cibernética das empresas. Seja como um backup de infraestrutura completa, modelo de negócio, segurança adicional etc.”
O profissional também acredita que, já nos próximos meses, o mercado verá uma migração muita rápida, tanto na parte de serviços como na de segurança, além de um reposicionamento do papel do CISO dentro da liderança com o objetivo de garantir a continuidade do negócio durante o período de crise.
“O nosso peso profissional está ficando cada vez maior, mas vamos ter que adquirir uma curva de crescimento e aprendizado muito grande. Porque a gente vai ter um desafio muito grande para vencer”
Glauco Sampaio – Cielo
Um dos principais desafios do executivo é como importar para o modelo virtual atividades cujo contato físico influencia bastante a experiência, como a contratação e onboarding de novas pessoas.
“A gente precisa ter em mente que muitas das coisas que a gente está fazendo hoje, em termos de proteção e segurança, elas vão ter que perdurar. A gente vai ter que dar uma forma definitiva de a pessoa atualizar o patch remoto. Teremos que ter um modelo que permita que isso funcione de uma melhor forma.”
Sampaio também ressalta a necessidade de se fazer um trabalho forte de conscientização sobre segurança para outras áreas da empresa.
“Hoje a gente tem a tecnologia para nos apoiar na predição de novos problemas, mas ainda sou muito preocupado com o dia a dia, com as preocupações mais básicas. Porque a gente sabe que grande parte das empresas ainda não estavam preparadas para isso [trabalho remoto em grande escala] e vão ter que, além de se preocupar com todas essas questões que já eram difíceis, com os pontos novos”, resume.
“O mercado de segurança, mais do que nunca precisa entender tratar a informação de maneira inteligente. Como coletar toda essa parafernália que a gente instalou e transformar isso em formar isso em insights que possam proteger das verdadeiras ameaças”
José Luis Marques Santana – C6 Bank
Trabalhando dentro de uma fintech, Santana não passou por questões como migração de estrutura legada ou proteção de sistemas mais antigos. Porém, o sistema de distanciamento social acabou levantando outros problemas que não foram imaginados pela equipe de segurança da startup.
“Nosso pensamento era de que, nessa nova onda de trabalho de remoto, nós temos os níveis e a maturidade de segurança que a gente acha que é adequada para esse tipo de atividade esse era o nosso pensamos. Mas certos controles de segurança preconizavam que certo funcionário ou device deveriam voltar para o escritório em algum momento.”
“Não foi pensado, mesmo com o cenário de trabalho remoto desenhado desde o momento 0 da nossa arquitetura, nunca foi pensado um cenário sem a volta. E aí começamos a nos deparar com a questão das atualizações de patch, de sistema operacional […] em um cenário avançado, de não ter a VPN, isso se torna um problema porque quem tem a VPN consegue ir até a rede do perímetro interno.”
“Uma das coisas mais importantes que aprendi nesses três meses é que a gente não consegue substituir a interação humana, a precisa das pessoas”
Leonardo Kaniak – BRF
Apesar de todos os problemas gerados pelo Covid-19, o executivo acredita que existem pontos que precisam ser considerados dentro da situação atual. Por exemplo: como a tecnologia atual permitiu que as empresas continuassem operando mesmo com boa parte dos funcionários em casa. Algo que seria impensável caso a pandemia tivesse ocorrido há dez anos.
Outra questão que Kaniak enxerga como um desdobramento positivo da crise foi a proximidade das empresas com parceiros que puderam, por conta do momento atual, flexibilizar o oferecimento de testes e soluções de uma forma que antes não era possível
“Muitos parceiros estão tentando ajudas as empresas que não tinham a tecnologia, possibilitando conhecer soluções que talvez em outro momento não poderiam fazer um teste. Agora, esse tipo de possibilidade está começando a se abrir”, afirma.
“A partir do momento em que o profissional de segurança fala de risco, ele fala a língua do negócio. Falando a língua do negócio, ele vai estar mais protegido, alinhado e a gente vai conseguir elevar o nível de maturidade, reduzir o nível de ataque e diminuir o tempo de resposta do incidente.”
Nycholas Szucko – Microsoft
Com mais exposição da área de segurança, os investimentos aumentam e, com eles, a necessidade de reforçar contratações. Como não é segredo, o mercado de tecnologia como um todo carece de profissionais com essa formação, situação que faz com que o executivo contratações de pessoas morando em outros países se torne algo bastante comum.
“O gap está tão grande, mas tão grande, que a gente tem que ter mais flexibilidade para se posicionar melhor”, avalia.
A automação de rotinas dentro da área de segurança também é vista por Szucko como uma solução eficiente para compensar a falta de mão de obra existente na área, que ainda deve durar alguns anos até uma mudança visível de status. “Dentro do nosso SOC a gente sempre fala ‘A gente nunca faz a mesma coisa duas vezes: fez duas vezes, a gente já pensa em um modelo para automatizar todo esse processo”.
“As empresas estão entendendo que investir em segurança não é um custo e sim um benefício para que ela tenha um impacto negativo. Isso reflete a realidade em muitas empresas”
Martha Helena Schuh – Marsh Brasil
Profissional atuando em uma empresa de segurança especializada em corretagem e gerenciamento de risco, Schuh, a profissional informou que a empresa fez um levantamento de todos os incidentes de segurança divulgados publicamente e identificou 15 casos nos últimos três meses, todos envolvendo empresas de grande porte no Brasil.
“Internamente, a gente está apurando perdas em clientes que tiveram danos superiores a R$ 100 milhões de reais, frente a paralização de suas atividades. Porque os sistemas foram comprometidos e que envolveram diversos custos além da reconstrução sistêmica, como a própria perda de receita da atividade de negócio”, explica.
“Isso demonstra ao quanto investir em ferramentas de proteção, em tecnologia é realmente importante dentro de uma empresa. Muitas empresas, até o início desse ano, estravam preocupadas com a questão regulatória, devido a entrada da LGPD. Mas o fato hoje é que o risco cibernético tem um impacto muito mais amplo”, complementa Schuh.
“Dentro do processo de estratégia, surgiram modelos de negócios em que a gente pode utilizar o motor de venda dos vendedores que hoje ficariam indisponíveis até a loja física estar fechada.”
Robson Santos – Via Varejo
Além de todas as questões de segurança e cuidados com a proteção de sistemas legados, Santos destacou a criação da ferramenta ‘Me Chama no Zap’ que permite que os clientes de lojas físicas utilizem o mensageiro para orientarem potenciais clientes e fecharem vendas.
De acordo com o profissional, o modelo-piloto da ação contou com a presença de quase mil vendedores; atualmente, o sistema já é utilizado por quase 14 mil funcionários e tem capacidade para comportar até 20 colaboradores.
“O vendedor tem uma aplicação publicada de forma totalmente segura, onde ele pode buscar insumos dentro da nossa página e fazer uma venda assistida para os seus clientes. E a gente pensa em um modelo de que, quando as lojas físicas voltaram, a gente vai ter um vendedor com produtividade de 100%: quando não tiver um cliente físico, ele pode se comunicar [via WhatsApp] com um cliente da cadeira”, explica
“Os próximos anos trarão uma transformação digital gigante na parte educacional. E não têm volta. É um ‘novo’ novo.”
Ruben Pimenta – Centro Estadual de Educação Tecnológica Paula Souza
Atuando como gestor de segurança de uma instituição de ensino, Pimenta ressalta que boa parte dos desafios enfrentados no momento está relacionado com a criação de métricas e possam analisar a retenção e nível de aprendizado do aluno.
“O nosso risco é [baseado nos seguintes questionamentos]: como eu faço a adesão de um aluno no formato híbrido? Como eu provo que ele está aprendendo?”
No quesito experiência do usuário, o executivo destacou que o Centro Paula Souza já está estudando como implementar digitalmente conhecimentos que precisam de prática física, como aulas em laboratório. No momento atual, a instituição tenta viabilizar esse ensino por meio do uso de óculos virtuais, mas esse projeto ainda está em análise.
