Organização do green team é chave na luta contra o cibercrime

André Gurgel
16/03/2023

A aceleração da economia digital brasileira é imensa, e a atividade criminosa contra este alvo, também. Em um estudo divulgado em 2021, a Cybersecurity Ventures destaca que os prejuízos causados por ataques digitais às organizações de todo o mundo chegarão a US$ 10,5 trilhões por ano até 2025. Para enfrentar esse quadro, muitas organizações brasileiras criaram dentro dos times de cibersegurança equipes red team e blue team, compostas por profissionais que atuam de forma complementar: os “red” simulam ataques enquanto os “blue” defendem a empresa. 

Por mais louvável que seja esse avanço, a real resiliência do negócio se dará no momento em que a cultura da organização como um todo passa a ser orientada à segurança digital. Isso acontece quando o C-Level integra um green team que trabalha pela sustentabilidade da organização em meio a incessantes ataques digitais. Esses líderes avaliam com precisão os impactos das tentativas de violações em suas áreas e, para evitar estas perdas, tornam-se embaixadores da cultura de cibersegurança em relação aos membros de suas equipes.

Líderes de negócio como parte do green team

Um estudo divulgado pela KPMG no início de 2022 detalhou como um grupo de mil CEOs de empresas asiáticas está prestando mais atenção aos riscos associados à segurança e agindo para mitigá-los. 72% dos CEOs relataram que fortes estratégias de segurança cibernética são críticas para assegurar a continuidade dos negócios. Esse é um número significante, considerando que apenas 15% concordaram com esta afirmação no estudo realizado em 2018.

Outra conquista expressiva é que, no universo pesquisado pela KPMG, mais da metade (56%) dos CISOs se reúne com CEOs e outros executivos do C-Level ao menos uma vez ao mês, em encontros totalmente focados no risco cibernético das áreas de negócios sob responsabilidade do líder.

CISO interagindo com CFOs, CMOs, etc. 

Essa estratégia é crítica para aproximar os C-Level dos líderes de tecnologia. Reuniões do CISO com o CFO, por exemplo, devem ser cuidadosamente planejadas, de forma a despertar a atenção do líder das finanças para a questão da segurança digital.

Nesta ocasião, o CISO fará ao CFO perguntas sobre o provisionamento que sua área fez para pagar o resgate de acesso a aplicações de missão crítica no caso de a empresa sofrer um ataque de ransomware. Outro ponto a explorar é indagar sobre o prejuízo causado, por exemplo, pela inoperabilidade da operação ao longo de um dia de sequestro de dados.

Avançando nesta argumentação, seria possível propor reflexões ao CFO e o CMO sobre o impacto de ataques digitais em suas áreas. Neste caso, a pergunta a ser feita ao CMO é qual a perda em valor da marca e em imagem que acontece quando a mídia divulga que o portal B2C da empresa ficou fora do ar por causa de um ataque. Ao CFO, a indagação seria sobre os investimentos que serão necessários fazer em médio e longo prazo para recuperar a credibilidade da marca depois de sofrido o ataque.

Trata-se de um processo de sensibilizar stakeholders críticos para o negócio a respeito do papel desses líderes na construção de uma organização que lute de forma unida contra ataques e vazamentos de dados. 

Espírito “brigadista” na cultura de segurança

O próximo passo na construção do green team é adotar, com o patrocínio e a participação do C-Level, uma postura “brigadista”, criando uma “CIPA” para a segurança digital da empresa. 

Cabe ao CISO, trabalhando com o C-Level, simular ataques e estimar, em especial, as perdas em todos os níveis causadas pela vulnerabilidade da empresa a esse tipo de crime. Essa abordagem deve chegar ao detalhe, incluindo simulações de monetização dos prejuízos sofridos pelo CEO, CFO, CMO, etc. 

Não existe green team quando a empresa segue somente com foco nos ataques externos — a atuação para engajar os colaboradores na bandeira da cibersegurança não é considerada uma prioridade. É comum encontrar este quadro em empresas com baixa resiliência contra o crime digital. 

O resultado desta visão é revelado de maneira cristalina em um estudo do Gartner realizado em maio e junho de 2022 com 1.310 funcionários de empresas norte-americanas. 69% dos colaboradores entrevistados costumam ignorar as orientações de segurança cibernética de sua organização. Setenta e quatro por cento dos funcionários disseram, ainda, que estariam dispostos a deixar de lado as orientações de segurança cibernética se isso os ajudasse a atingir um objetivo de negócio.

Essa dura realidade é corroborada pela edição 2023 da pesquisa global do Fórum Econômico Mundial sobre cibersegurança — estudo baseado em entrevistas com 150 gestores de organizações globais com sedes em 32 países e atuando em 22 diferentes verticais. 90% desses líderes de negócios disseram que suas empresas estariam dispostas a fazer concessões à segurança cibernética em benefício de metas, incluindo o aumento da produtividade ou a aceleração da transformação digital.

TI sob pressão para minimizar os riscos à segurança

Ao interagir com o C-Level e as áreas de negócios, as equipes de TI enfrentam desafios. Um estudo divulgado pela Cybersecurity Ventures, a partir de entrevistas com 5 mil profissionais de TI de 22 países, revela que 82% dos entrevistados disseram ter sentido pressão de superiores para minimizar, diante dos líderes de negócios, a gravidade dos riscos de segurança cibernética. No total, 62% disseram que a única maneira pela qual os executivos de alto escalão tomariam conhecimento da segurança cibernética seria no caso de a organização sofrer uma violação de dados.

O fato de, em muitas organizações, o CISO não fazer parte do Board e, quando é parte deste corpo, nem sempre ser ouvido, dificulta a jornada interna de conscientização. Justamente para mudar esta situação a SEC (Securities and Exchange Commision),  versão norte-americana da brasileira CVM, propôs, em abril de 2022, que a lei Sarbanex-Oxley (SOX) passe a exigir que os líderes de cibersegurança tornem-se membros dos Boards empresariais. 

Métricas constroem uma nova linguagem entre a TI e o negócio 

Organizar uma cultura focada em segurança requer uma linguagem comum baseada em métricas que traduzam as informações referentes a segurança cibernética em mensurações que façam sentido para cada área do negócio. Outra estratégia eficaz é contar histórias — quer sejam casos internos, quer sejam incidentes de segurança sofridos por empresas da mesma vertical ou região.

A organização que conta com seu green team trabalha unida pela sustentabilidade e resiliência de seus processos de negócios. Trata-se de um movimento contrário ao que ainda se vê em algumas empresas brasileiras, em que o CISO aparece como o principal responsável por proteger a organização. Ao ajudar os membros do C-Level a compreenderem sua responsabilidade na defesa da empresa, o CISO conquista aliados. Quem ganha com isso é a empresa como um todo, e a economia digital do Brasil.

*André Gurgel é country manager da Hillstone Networks Brasil.

Compartilhar: