Marcia Tosta, CSO da Petrobras, destaca a importância de proteger as empresas sem engessar e incentivar a inovação com responsabilidade
Os riscos de ataques cibernéticos aumentam na mesma proporção do avanço das oportunidades que a transformação digital incorpora nas empresas. Para se protegerem de hackers e das invasões nas suas redes para violação do banco de dados, as companhias investem cada vez mais em cybersegurança.
Departamentos comandados por CSOs (Chief Security Officer) ou CISOs (Chief Information Security Officer) são responsáveis pelo gerenciamento de riscos e redução das vulnerabilidades, desenvolvimento de tecnologias e arquiteturas de defesa.
Além disso, estão à frente da adequação das empresas à nova LGPD (Lei Geral de Proteção de Dados), que passa a aplicar penalidades administrativas a partir de agosto de 2021, mas que já tem órgãos de fiscalização exercendo controle sobre o compliance da lei, inclusive entidades de defesa do consumidor (Procons), Ministério Público estadual, entre outros.
Mas os cuidados com a cybersegurança não podem impedir inovação e estratégias mais ousadas para os negócios dentro das empresas. “A segurança tem que impulsionar os negócios e não engessar. Uma empresa cuja estrutura não foi pensada junto a uma arquitetura de segurança não vai sobreviver”, destaca Marcia Tosta, CISO e CSO da Petrobras.
Uma das poucas mulheres no mercado a ocupar o cargo de CSO em uma grande companhia, antes de ser gerente executiva de segurança da informação da Petrobras, Marcia atuou como diretora de segurança no Grupo Boticário e na Sadia (BRF) e acredita que tem muito espaço dentro da área de tecnologia e segurança para as executivas. “Temos incentivado as mulheres a virem para esta área”, conta.
A profissional explica que para atuar neste segmento é necessário entender as diferenças de cultura entre as empresas e dentro da própria organização. “As empresas são como seres vivos, cada uma tem a sua cultura. Temos que falar o idioma e entender qual é o apetite das organizações para adequar o direcional de proteção”, afirma.
“As pessoas só vão valorizar a segurança se fizer sentido para elas. Por isso, é importante se adaptar à linguagem de cada área e trazer situações reais”.
Marcia reforça que as companhias devem somar estas diferenças para lidar melhor com as ameaças digitais. “O submundo tem sucesso porque trocam muito entre eles. Precisamos nos unir e compartilhar informações, aproveitar a inteligência coletiva das empresas”, opina,
Confira os nove insights da CSO da Petrobras sobre cybersegurança e como proteger o negócio das empresas:
1- O valor dos dados – “A LGPD está batendo à porta de todas as empresas, que estão em vários estágios diferentes de preparação para responder à lei. Acredito que não estarão todas prontas (até agosto de 2021) em relação à proteção de dados pessoais sensíveis. Não que isso seja novo, já que temos leis desde 1986 que falavam de proteção de dados pessoais, mas que não eram levadas muito a sério pelas empresas. Os dados sempre foram tratados com banalidade. Nosso CPF era dado em troca de uma bala. ‘Quer ganhar uma bala, qual é o seu CPF?’ Quando vamos à farmácia, damos o CPF para ganhar desconto. Era muito banalizado e este é um dos motivos que gerou a criação da lei, não só no Brasil, mas no mundo inteiro. Eu palestro falando de segurança para conscientização de pessoas desde 2007 e é muito engraçado o quanto as pessoas não têm noção de quão valiosa é a informação dela. Com esta série de eventos com a pandemia, onde as empresas têm dado mais acesso remoto, aberto seus ambientes para acesso de fora, as pessoas estão entendendo que estão aparecendo muitos golpes”.
2- Compartilhamento de informação – “As empresas vão aprender com o caminhão andando. As melancias vão se ajeitar com o caminhão em movimento. Não é só aqui, lá fora também, é novo para todo mundo. A grande dificuldade que temos é o mapeamento de processos e dados. Temos grande oportunidade de conseguir encontrar um caminho que possa fazer mais sentido. Sou uma grande defensora da união dos CISOs, de começar a compartilhar informações. Acredito que as fraudes, os cybercriminosos, o submundo têm sucesso porque eles compartilham, eles trocam. Sou uma grande patrocinadora de começarmos a compartilhar inteligência entre nós”.
3- Evolução da LGPD – “Eu, pessoalmente, sempre me senti muito incomodada com o fato de fazer uma compra, pesquisar na internet e depois ser bombardeada com propagandas, porque estavam acessando as minhas informações. A proteção de dados pessoais é uma evolução, não podem mais vender os nossos dados sem a nossa concordância”.
4- Privacy by design – Incorporar salvaguardas de privacidade e dados pessoais em todos os projetos desenvolvidos. Esta é ideia central do Privacy by Design. O objetivo é colocar a proteção da privacidade no centro de todos os projetos, produtos ou serviços desenvolvidos, inspirando as empresas a incorporarem a privacidade entre os valores da companhia. “A LGPD é um caminho para que o privacy by design ganhe relevância. É uma evolução no que se refere ao respeito à privacidade. A responsabilização das empresas está bastante pesada, mas é uma maneira de fazer com que o security by design, o privacy by design comecem a ser valorizados. É como o uso do cinto de segurança. Enquanto não multavam, o povo não usava”.
5- Segurança impulsionadora – “As empresas são diferentes, têm uma cultura, são seres vivos. Temos de entender a cultura das empresas para podermos trabalhar, falar o idioma que se fala lá dentro, entender qual é o apetite da empresa para adequar a proteção de acordo com a personalidade da companhia e a língua que é falada. Mas há algo comum: os negócios precisam de segurança com equilíbrio. A segurança tem que existir como um impulsionador do negócio, não pode engessar”.
6- DNA de segurança – “O desafio de proteção (principalmente na automação, que é um risco que está cada vez mais em voga) é disseminar e contaminar cada vez mais pessoas para que a segurança faça parte do DNA. Que seja natural e não seja preciso parar para pensar em segurança. O grande desafio para as empresas é viabilizar novas tecnologias, funcionalidades, centros de inovação e transformação, user experience (experiência do usuário), aproveitando tudo que está acontecendo neste momento e garantindo que seja um caminho de ida, sem precisar voltar para corrigir. O grande desafio é o equilíbrio”.
7- Garantia de sobrevivência – “Precisamos realmente entender que a segurança é a base que vai nos manter vivos por mais tempo, principalmente agora com este monte de aplicativos, de informação, de produtos e de ferramentas no mercado. Estamos com muita dificuldade de achar profissionais, de formar pessoas na área de segurança. As faculdades são um bom lugar para fomentar o interesse pelo assunto e os jovens têm facilidade muito grande, já nasceram com tecnologia, é uma extensão deles”.
8- Sistemas híbridos – “As empresas vão precisar montar combos de proteção de sistemas e de dados, de acordo com o valor daquela informação e do quanto aquela informação que está dentro daquela aplicação precisa ser protegida. Porque se quiser proteger tudo vai sair muito caro, gasta muito e inviabiliza o negócio. Tem que saber gastar onde tem que proteger. Eu acredito muito em cloud first. Não acho que as empresas vão conseguir passar tudo para a cloud. Vão ter que conviver algum tempo com o (sistema) híbrido. E, em alguns casos, algumas empresas vão manter suas informações dentro de casa. Tudo vai depender da situação”.
9- Papel do CSO e do CISO – “Primeiro é conhecer a empresa, a cultura, entender a língua e o apetite da companhia. Entender e se aproximar para poder captar qual a expectativa de futuro e, a partir dali, trazer experiências, situações reais para que aquilo tudo faça sentido para aquele público. Não vai usar a mesma linguagem para todos: vai falar com o pessoal do corporativo de um jeito, com o pessoal de vendas de outro, para a área de desenvolvimento de novos produtos com outra linguagem. Trazer situações reais, riscos que se materializaram, empresas que ficaram paradas por alguma vulnerabilidade. Precisa se aproximar do board, saber para onde a empresa vai e qual é a expectativa para o futuro. É necessário preparar um plano que impulsione e viabilize para onde eles querem ir e que consiga educar todo mundo. Tem que se comunicar muito”.
Texto: Andrea Martins