A entrevista de hoje sobre Cibersegurança é com a Thays Diniz, Latam Marketing Manager da Cipher.
Formada em Relações Internacionais pelo Centro Universitário Belas Artes, Thays Diniz acumula 21 anos de vivência no mercado de Tecnologia da Informação e possui conhecimento em vendas e marketing. Em sua carreira destacam-se atuação como gerente de Desenvolvimento de Canais na Citrix Systems e especialista de Solução e gerente de Customer Success na Microsoft. A executiva agrega experiência como jovem empreendedora e é entusiasta do modelo de trabalho colaborativo, o social corporativo. (Working Social).
1-) (Redação) A cibersegurança foi um dos temas mais debatidos, devido as empresas que recentemente sofreram ataques e para iniciarmos lhe pergunto: O que é cibersegurança empresarial?
(Thays Diniz) A cibersegurança empresarial é uma especialidade da Ciência da Computação que desenvolve, estuda e analisa práticas para a mitigação de riscos e prevenção a ataques dos sistemas corporativos de organizações conectadas com a internet por meio de dispositivos, sistemas ou redes. Nos modelos atuais de gestão, vemos ativos e dados em operações de modo híbrido, destacando-se assim na cibersegurança empresarial os termos Cloud e Application Security, segurança da aplicação e segurança da nuvem.
2-) (Redação) As empresas atualmente usam autenticação multi-fator segura ou as senhas curtas ainda reinam em um pedaço de papel anexado em um local visível? Como você visualiza a maturidade do segmento do Brasil?
(Thays Diniz) Ainda vemos o comportamento do usuário impactando diretamente nas vulnerabilidades das empresas. Mesmo as companhias com programas baseados em risco lidam com a questão da consciência do indivíduo e na forma como ele escolhe trabalhar. A maturidade do segmento no Brasil é muito parecida com a de outros países, haja vista que investimentos em treinamentos de conscientização são menos relevantes nos programas de cibersegurança de muitas organizações ao redor do globo. A Cipher atua globalmente, e as subsidiárias relatam este tipo de experiência.
3-) (Redação) Qual é o papel do CISO? Quais recursos uma pessoa que está se candidatando ao cargo de CISO deve ter?
(Thays Diniz) O papel do CISO é ser a pessoa chave e habilitadora dos negócios digitais em uma organização. Ele é o responsável por construir o equilíbrio entre riscos e benefícios de uma operação digital. O CISO deve conseguir transformar gestão de risco em vantagem competitiva.
Uma experiência vasta em infraestrutura constrói um profissional melhor preparado. Conhecimento de Redes é fundamental para orquestrar todos os recursos e ativos necessários na gestão da segurança de informação.
4-) (Redação) Em sua visão, quais são as tendências do setor de cibersegurança no Brasil para 2022?
(Thays Diniz) Acredito que continuaremos a falar e a tratar muito de temas já conhecidos, como o Ransomware, tanto para os desafios de redes on-prem, e as atualizações básicas e necessárias de patch e updates críticos que deixamos passar, construindo o modelo “remote work”, como para os desafios de organizações puramente Cloud-based, olhando especificamente para acessos e credenciais. Ainda em cyber attacks, veremos as mesmas ameaças, mas em novos alvos! Tudo porque os cibercriminosos sabem que isso tem funcionado, e continuarão agindo.
A falta de mão-de-obra qualificada é outra tendência, já que encontrar e contratar as pessoas com conhecimentos adequados está cada vez mais difícil. Para concluir, eu volto ao fator humano. Repito que a educação do indivíduo a respeito das melhores práticas e comportamentos precisa ser prioridade, reforçando que 88% de todos os incidentes de vazamento de dados são causados por erros dos colaboradores não maliciosos.
5-) (Redação) O ano de 2020, trouxe uma série de desafios para a liderança das empresas. As alterações de comportamento dos consumidores foram desafiadoras para as marcas que obrigaram a várias empresas a se reinventarem e se tornarem digitais.
Em sua visão, como está atualmente este mercado e quais os riscos para os consumidores?
(Thays Diniz) Não existe risco zero, se a organização está conectada, ela está vulnerável. O processo de transformação digital, acelerado por conta da pandemia, trouxe diversas novas maneiras de se fazer negócio. Por exemplo, existem pequenas empresas operando com tecnologias de chat como meios de pagamento, e isso claramente aumenta as camadas de vulnerabilidades nestas transações. O consumidor fica mais exposto e precisa tomar medidas importantes de proteção, a fim de evitar ameaças e proteger seus dados. Para as empresas, a exposição é a mesma, e neste caso, a reputação de sua marca, deve ser a métrica principal de monitoramento.
6-) (Redação) Em sua visão, como a cibersegurança pode afetar a experiência do cliente com uma marca?
(Thays Diniz) Afeta diretamente a confiança do cliente e a continuidade dos negócios com aquela marca. Sites não seguros abrem brechas para roubo ou sequestro de dados. Por exemplo, quanto uma empresa de saúde não protege informações clínicas de seus pacientes, elas podem ser vazadas, caindo em mãos erradas, ou sequestradas, impedindo o acesso a exames e a realização de diagnósticos. Do prontuário bloqueado ao cartão do banco clonado, ou aplicativo de comunicação invadido, é natural que a confiança na marca seja perdida ou abalada, levando o cliente a buscar os serviços de outras empresas daquele momento em diante.
7-) (Redação) Analisando o pilar de cibersegurança, quais são as métricas que devem ser acompanhadas pela gestão para garantir a efetiva segurança dos dados e da empresa?
(Thays Diniz) Nível de preparação, ou seja, Vulnerability Scans e Management para reduzir riscos de vulnerabilidades exploradas. Tentativas de invasão, e aqui, não esquecendo de explorar os logs de seus firewalls.
Tempo de Detecção, tempo de resolução e tempo de contenção, em caso de ataques.
Dispositivos não identificados em redes internas.
Volume de dados transferidos na rede corporativa.
Incidentes de segurança, quantas vezes um atacante acessou informações de seus ativos e redes.
Cadência de patching e gestão de acessos.
Tempo para desativar as credenciais de um colaborador inativo, entre outras.
😎 (Redação) Muitas empresas decidem delegar tarefas CISO aos departamentos de TI. Essa é a abordagem certa e pode funcionar?
(Thays Diniz) Muitas ações relacionadas ao fator humano podem ser direcionadas por um especialista de TI, no entanto, ele não conseguirá estruturar e planejar um programa baseado em risco, em que avalia ações preditivas e de resposta de modo mais assertivo. Isso também não significa que tenhamos CISOs totalmente preparados, pois o mercado tem carências, especialmente no que diz respeito aos conhecimentos básicos de infraestrutura e redes. Alguns profissionais da TI dominam essas áreas, mas a maioria das novas escolas de qualificação em segurança da informação ignoram essas competências.
9-) (Redação) O silêncio da organização é um desafio para o CISO em gestão de crises nos momentos de ataques? Qual seria a sua recomendação?
(Thays Diniz) O silêncio e a comunicação são fatores altamente delicados, mas que cabem em circunstâncias distintas. Depende do negócio, depende do ataque, depende dos dados e das informações vulneráveis. Não cito uma fórmula ou recomendação diretiva, infelizmente, nestes cenários, acredito que avaliar caso a caso, em fórum adequado, com os stakeholders adequados, é o melhor caminho.
10-) (Redação) Para finalizarmos, gostaria de deixar uma dica de leitura, filme ou livro que colabore e promova a reflexão junto ao tema de “Segurança da Informação”?
(Thays Diniz) Recomendo o Ghost in the Wires: My adventures as the World’s Most Wanted Hacker. É a biografia de Kevin Mitnick, o hacker mais procurado do mundo, narrando sua trajetória até se tornar alvo do FBI. Interessante para compreendermos o comportamento de quem ataca.
