Foi-se o tempo em que os times de TI e Segurança eram vistos como os nerds de porão, distantes da rotina das companhias. De alguns anos para cá, a situação mudou consideravelmente. Com a pandemia, o trabalho remoto, e o surgimento de normas como a LGPD, o setor ganhou um protagonismo nunca antes visto, inclusive passando a ser convidado a se sentar na mesa dos executivos, onde as decisões mais estratégicas sobre os rumos da empresa são tomadas.
Esse movimento, apesar de fundamental, já trouxe consigo uma primeira questão. Quanto mais a cibersegurança se aproxima do dia a dia dos negócios, mais os cargos de liderança percebem que trabalhamos com um cobertor curto – por maior que seja o orçamento, não conseguirá medir forçar com o cibercrime. Além disso, a quantidade de informações que precisamos proteger cresce em um ritmo humanamente impossível de acompanhar.
Torna-se difícil defender uma equipe que parece estar sempre enxugando o gelo e dizendo não para as iniciativas mais inovadoras da empresa. Mudar isso passa por uma mudança de mentalidade que engloba todos os membros da companhia: a cibersegurança não é a "área que diz não", mas a área que diz como viabilizar inovação minimizando o risco. E para chegar nesse estado, uma palavra precisa estar no centro das atenções: os dados.
No nosso setor, uma máxima muito difundida é de que eles são o novo petróleo. Vamos pensar sobre essa afirmação: milhões de reais em petróleo precisam ser transportados em dezenas de barris imensos; em dados, cabem no seu bolso, e podem ser roubados muito mais facilmente. Um ataque a uma usina de petróleo dificilmente interromperia as operações de um país inteiro, já um cibernético bem orquestrado, que vise derrubar organizações governamentais chave, sim.
Pois então, como aplicar de maneira prática uma mentalidade que coloque os dados em primeiro lugar? Para começar, tendo uma compreensão de tudo o que eles significam, inclusive nas mãos erradas. "Traduzindo", significa mapeá-los completamente, e apontar os locais de maior dor, isto é, onde causariam um maior estrago se vazados, e onde o cuidado com a segurança deve estar redobrado.
E, claro, uma mudança de mentalidade também acarreta uma de postura – nesse caso, a resiliência. Sua estratégia não deve se basear em "se" o ataque virá. A proposição correta é "quando e como", e as preparações correspondentes ao antes e depois.
Também podemos citar outro "senso comum" da nossa área, que, como costuma ser o caso, pode ser quebrado: o usuário é mesmo a maior vulnerabilidade? Através de campanhas de conscientização e aculturação, treinamentos frequentes e uma aproximação da cibersegurança da sua rotina no dia a dia, por que não pensar nele como um valioso sensor de alerta?
Além de gerar valor ao negócio, e ser um dos maiores diferenciais de mercado hoje, a cibersegurança precisa mostrar todos os dias o resultado de seu trabalho. Do time comercial aos executivos do mais alto escalão, passando, claro, pelo time técnico, todos precisam ter noção do tamanho da "commodity" em suas mãos; ao fazê-lo, entenderão por que colocar os dados em primeiro lugar.
Luiz Faro, Diretor de Engenharia de Sistemas da Forcepoint.
