CIOs revelam visão transversal da cibersegurança

A 17ª edição do CIO Brasil, o primeiro reencontro presencial do conjunto de líderes das maiores corporações privadas, trouxe uma agenda de Segurança da Informação muito mais ampla. A digitalização dos negócios, a massificação do teletrabalho, a pandemia de ransomware e, não menos importante, a conformidade à LGPD trazem responsabilidades que agora os CIOs buscam compartilhar com outras áreas estratégicas. “Enquanto as companhias fazem investimentos pesados em ferramentas e times de analistas, um único funcionário pode colocar tudo a perder usando o mesmo login e senha tanto na rede da empresa quanto em sites inseguros”, exemplifica Rodrigo Larrabure, diretor e sócio da CYLK Technologing. “A prioridade da cibersegurança tem chegado aos conselhos e à alta direção das companhias. Outro desafio dos CIOs é criar engajamento e colaboração, até para dar sentido a todo o arsenal de proteção”, observa Pedro Ivo Lima, CEO da PhishX, que também participou do evento.

“Os CIOs estão cada vez mais engajados na cibersegurança. Por formação, a maioria tem muita familiaridade com os aspectos tecnológicos. Contudo, o que constatamos neste CIO Brasil é que os líderes têm uma visão mais transversal da Segurança da Informação. Todos, obviamente, falaram de envolver o CISO na conversa e muitos já mencionaram a perspectiva de trabalhar junto a RH, comunicação e outras áreas”, conta.

O diretor de tecnologia da CYLK esclarece que o Programa de Conscientização, o serviço de Segurança da Informação mais destacado no CIO Brasil, é uma oferta de transformação empresarial, que aplica novas tecnologias em função da inovação na comunicação interna. “O programa é coordenado pela Kemily (Kemily Boff, Head de Conscientização em SI & Comunicação) e conta com um time focado em interatividade, UX (experiência do usuário) e engajamento”, esclarece.

Rodrigo enfatiza dois aspectos: customização e realinhamento contínuo. “É insuficiente fazer campanhas ou replicar estratégias. É preciso mergulhar na cultura da organização, adequar a linguagem aos públicos, trabalhar junto ao RH e à comunicação interna”, descreve. O outro ponto se refere ao desenvolvimento de métricas, feedback e ajustes. “Se você manda uma peça de comunicação por e-mail, tem que saber quem entendeu ou não”, exemplifica.

A partir da decisão estratégica de conscientização contínua, é preciso também criatividade e autonomia para transformar as métricas em ações efetivas. “Uma indústria queria que as mensagens chegassem às equipes nas obras. São funcionários com pouco acesso aos sistemas corporativos, mas, ainda assim, os líderes queriam generalizar a cultura de cibersegurança desde já. Uma das soluções foi desenvolver uma campanha em série, com pequenas notas impressas nas marmitas”, lembra Rodrigo.

IA a serviço de IH e vice-versa

Pedro Ivo conversou no evento sobre as tecnologias e ferramentas alinhadas à estratégia contínua e participativa de cibersegurança. Ele avalia que a segurança da infraestrutura, as tecnologias de proteção e os processos têm hoje soluções maduras. Uma das bases dessa evolução é a aplicação de Inteligência Artificial em monitoramento e gestão de tráfego, acessos e outros sinalizadores. Neste momento, a IA se estende ao quarto pilar da cibersegurança. As interseções de IA com o lado humano da cibersegurança, neste caso, não se restringem à análise comportamental. A evolução destacada por Pedro se refere à aplicação de NLU (entendimento de linguagem natural), correlação de métricas, automação de informes customizados (por usuário ou grupo), chatbot e outras ferramentas para engajamento e colaboração.

“Os firewalls, sandboxes e outras camadas técnicas bloqueiam 90% dos ataques. Mas ataques bem sucedidos, em sua maioria, exploram as vulnerabilidades das pessoas”, observa. “A combinação da Inteligência Artificial com a Inteligência Humana é a grande barreira às ameaças mais complexas ou novas”, afirma.

Pedro Ivo explicou a aplicação de instrumentos de comunicação, análise e automação com foco em engajamento e UX. O objetivo é que o usuário passe a contar com a cibersegurança como um serviço para ele e feito por ele. “Se, na hora que estiver em dúvida, a pessoa tiver como reportar e receber um retorno, passa a ter um comportamento ativo em relação à cibersegurança”, exemplifica.

Ainda que a customização em massa - com análise em tempo real, comunicação bidirecional e automação - da plataforma alivie a carga do service desk, Pedro pondera que continua imprescindível que os profissionais de SI aprendam efetivamente trabalhar em conjunto com seus clientes internos.

“A maturidade dos programas direcionados aos usuários ainda é muito desigual”, reconhece Rodrigo, da CYLK. “Na indústria financeira, a regulação do Bacen traz essa exigência” lembra. “De qualquer forma, em organizações de qualquer setor, não basta fazer campanhas periódicas, esperar que todo mundo assimile tudo de uma vez e que todo o aprendizado se traduza necessariamente em execução”, adverte.

------------------------------------------------------------------------------------
Segs.com.br valoriza o consumidor, o corretor, os corretores e as corretoras de seguros