Como fazer com que a sua diretoria se preocupe com a segurança (antes que uma violação force a questão)

Se já leu um daqueles artigos intitulados «Modelos de relatórios para CISOs» e pensou: «Ah, sim, com certeza a minha diretoria dedicará 25 minutos ao meu painel de postura e fará perguntas complementares sobre a velocidade de redução do backlog de vulnerabilidades», então tenho uma ótima notícia para si: ainda não conheceu diretorias suficientes.

A maioria dos conselhos administrativos das empresas não quer um painel de segurança. Não querem métricas de postura. Não querem um mapa de calor que se pareça com um briefing de risco de lançamento da NASA. O que querem, quer o digam explicitamente ou não, é apoio à tomada de decisões.

Eles querem uma forma defensável de escolher entre narrativas de risco concorrentes. Querem saber se devem investir na mitigação A ou B. Querem reduzir a incerteza. Querem evitar uma surpresa que possa acabar com a carreira e aqui está a parte que a maioria dos líderes de segurança não quer ouvir:

Os conselhos não financiam a segurança porque ela é importante. Eles financiam a segurança quando a decisão parece racional, limitada e defensável.

Vamos falar sobre como fazer isso acontecer.

Por que os conselhos de administração não se preocupam com segurança

Os conselhos não são contra a segurança. Não são imprudentes nem estúpidos. São simplesmente otimizados, estruturalmente, culturalmente e psicologicamente, para discussões sobre resultados.

A segurança é uma disciplina peculiar, pois o melhor resultado possível é que nada aconteça. Sem manchetes. Sem interrupções. Sem reuniões de emergência. Sem negociações de resgate. Sem ligações repentinas perguntando «como isso pôde acontecer?».

E «nada aconteceu» não é um resultado que o conselho possa avaliar facilmente. É um vazio. É hipotético. É contrafactual. É uma história fantasmagórica. Por isso, o conselho cai naturalmente na mentalidade em que todos os seres humanos caem:

«Até agora, nada aconteceu.»

O que é uma lógica tragicamente sedutora. É também uma das frases mais caras da história corporativa. O problema é que a ausência de provas não é prova de ausência. É mais frequentemente evidência de sorte, obscuridade ou deteção deficiente. Os conselhos de administração não estão a ser irracionais aqui. Estão a aplicar o mesmo raciocínio que usam noutros contextos:

• Se enviarmos, teremos receita.
• Se fizermos marketing, veremos o pipeline.
• Se contratarmos, veremos resultados.
• Se cortarmos custos, veremos margem.

Mas e a segurança? A métrica de sucesso é um espaço negativo. Portanto, a menos que você os ajude a sentir que a decisão é concreta e limitada, a segurança sempre será relegada a algo que é bom ter.

Por que «Confie em mim, isto é importante» nunca funciona

Existem duas apresentações comuns sobre segurança ao nível do conselho de administração:

Ambas as abordagens são falsas e ambas falham. Os conselhos de administração não respondem bem ao pânico, porque o pânico não é um plano. O pânico é um pedido de confiança emocional, e os conselhos de administração são explicitamente concebidos para não funcionarem com base nas emoções.

E os conselhos não respondem bem a «está tudo bem», porque então a questão passa a ser por que precisa de mais dinheiro. O CISO fica preso tentando andar na corda bamba entre parecer alarmista e parecer um burocrata com financiamento excessivo. Não quer que o conselho sinta medo. Quer que eles sintam clareza e confiança.

Como os conselhos de administração realmente pensam sobre ROI e risco

Os líderes de segurança muitas vezes tentam erroneamente «comprovar o ROI» da mesma forma que o marketing ou as vendas. Os conselhos de administração não pensam em segurança da mesma forma que pensam em receita. Eles pensam nisso da mesma forma que pensam em risco, seguro e resiliência.

Aqui está o modelo mental simplificado:

• O que os nossos concorrentes estão a fazer?
• Qual é a nossa perda esperada?
• Qual é o custo de reduzi-lo?
• Qual é a probabilidade?
• Qual é o impacto?
• Qual é a incerteza?
• Qual é o pior resultado operacional plausível?

As estruturas de segurança tendem a ter um viés preventivo. Elas assumem que podemos evitar que coisas ruins aconteçam se implementarmos controles suficientes e comprarmos ferramentas suficientes. Os conselhos administrativos entendem algo que as equipas de segurança às vezes esquecem: a prevenção não é binária. Algumas falhas são inevitáveis. Como diz o mantra da segurança da informação, não é uma questão de se você será violado, mas sim de quando. É por isso que os conselhos administrativos financiam seguros, mas resistem a aumentar os gastos com ferramentas de segurança.

O seguro é um instrumento financeiro limitado. Tem um prémio, uma apólice e um pagamento. Mesmo que não cubra tudo, é uma forma de decisão familiar.

Os investimentos em segurança geralmente vêm na forma de compromissos abertos:

• «Precisamos de uma plataforma.»
• «Precisamos de um programa.»
• «Precisamos de uma postura melhor.»
• «Precisamos de mais ferramentas.»

Os conselhos ouvem: «Precisamos de um cheque em branco para lutar contra um inimigo invisível para sempre.» Esse não é um pedido favorável ao conselho. O conselho quer uma opção para poder tomar uma decisão.

O custo real de uma violação

A maioria das discussões sobre custos de violação ficam presas na parte rasa da piscina:

• multas
• acordos judiciais
• Danos à imagem pública

Isso é importante, mas a realidade operacional é pior e mais relevante. O verdadeiro custo de uma violação é a realocação forçada do seu recurso mais escasso: o foco da engenharia. Um incidente grave não custa apenas dinheiro. Ele desvia o trabalho planeado. Ele rouba trimestres de desenvolvimento.

A resposta a incidentes não é «apenas a equipa de TI a resolver os problemas». A resposta real a incidentes inclui:

• investigação forense que exige dispositivos de cadeia de custódia retirados de serviço
• atualização de hardware (porque não se pode confiar em terminais comprometidos)
• redefinições de identidade de emergência e reformulação do acesso
• reestruturação da nuvem sob pressão
• reemissão de secrets certificados
• revalidar as cópias de segurança (que também podem estar comprometidas)

É complicado, caro e perturbador (basta perguntar à Caesars ou à 23andMe).

A confiança e a rotatividade dos clientes também não são teóricas. A lealdade é difícil de conquistar e fácil de perder, especialmente em contratos empresariais, onde os ciclos de renovação criam uma saída natural.

Após uma violação, a questão não é «como o invasor conseguiu fazer isso?». A questão passa a ser: «Quem sabia o quê e quando?». De repente, o seu programa de segurança não está a ser avaliado com base nos seus méritos técnicos. Ele está a ser avaliado com base na sua defensabilidade narrativa por críticos de gabinete.

O que nos leva à verdade incómoda:

O primeiro ataque é o agente da ameaça.
O segundo ataque é todo mundo.

Como falar sobre eventos de violação

Os CISOs experientes não ficam obcecados com a probabilidade de violação. Eles falam sobre a cadência das violações.

Porque a questão não é se algum dia você terá um incidente. A questão é:

• Com que frequência enfrentará compromissos?
• Com que rapidez irá detetá-lo?
• Até que ponto consegue contê-lo?
• Com que rapidez consegue restaurar as operações?

Isso é pensar em resiliência, não em prevenção. E se alguém disser: «Nunca sofremos uma violação», a resposta correta não é discutir. É reformular gentilmente. Quanto mais maduro for o seu sistema de deteção, mais incidentes e violações você descobrirá. Isso é profundamente contraintuitivo para os executivos. Em outras palavras, uma visibilidade aprimorada pode fazer com que você pareça «pior» antes de ficar mais seguro.

Os invasores também exploram falhas básicas de higiene com muito mais frequência do que vulnerabilidades zero-day. O mito de que as violações exigem adversários de elite é reconfortante, mas geralmente está errado. Os atacantes modernos agem rapidamente. O tempo médio de exploração agora é medido em minutos e horas, não em dias e semanas, especialmente porque a IA acelera o desenvolvimento de explorações e a escala de phishing. A sua resiliência é definida pela sua adaptabilidade e não pela sua capacidade de restaurar backups e retornar a um estado anterior. Porque o estado anterior era a configuração vulnerável que levou à violação em primeiro lugar.

As únicas métricas de segurança com as quais métricas de segurança realmente se preocupam

Os conselhos de administração não querem um painel de instrumentos. Eles querem um volante. Então, quais métricas de segurança ?

Tendências de exposição ao risco

Não o «número de vulnerabilidades», mas como a sua exposição está a mudar e porquê. Relate sempre em percentagens e diferenças em relação às métricas do trimestre anterior, e não em números absolutos de vulnerabilidades.

Tempo de deteção e tempo de correção

Estas são métricas operacionais com significado comercial direto. Inclua métricas corrigidas automaticamente a partir da verificação de código para secrets partilhados, configurações vulneráveis com o seu CSPM, desvios de configuração e riscos na cadeia de suprimentos, como os recentes ataques NPM Shai-Hulud.

Redução do raio de explosão

Este é o conceito de segurança mais relevante para o conselho: contenção. Não se trata de «podemos apagar todos os incêndios», mas sim «podemos impedir que um incêndio na cozinha destrua o edifício». 

É aqui que o pensamento «e se» se torna poderoso. O blogue SRE do Google popularizou a «Roda da Desgraça» com exercícios semanais em mesa: simulações estruturadas e recorrentes de incidentes. A NASA usa um conceito semelhante: o «pré-mortem». Você assume o fracasso e, em seguida, trabalha retroativamente para entender como isso acontecerá. A engenharia de caos de segurança é a evolução disso: experiências ponderadas em torno de estados de falha, enraizadas na realidade operacional, não no teatro.

Incertidões conhecidas vs pontos cegos

Os conselhos de administração compreendem a incerteza. Não compreendem que «temos 13 492 vulnerabilidades críticas». Mas compreendem que:

• Não sabemos se é possível haver movimento lateral entre esses ambientes.
• Não temos validação objetiva da nossa superfície de ataque externa.
• Não sabemos se o nosso pipeline de detecção consegue detectar o preenchimento de credenciais.

É por isso que os testes de penetração realizados por terceiros são extremamente valiosos quando usados corretamente. Não como uma simples verificação, mas como uma descoberta objetiva e validação do mecanismo de risco.

métricas de segurança prejudicam o seu caso

Agora vamos falar sobre as métricas que fazem com que os conselhos e a liderança sénior se desliguem.

Contagem de ferramentas

Mais ferramentas não significam mais segurança. Cada ferramenta é, efetivamente, um utilizador privilegiado. Cada uma delas torna-se parte da superfície de ataque. Cada uma delas aumenta a complexidade operacional. Uma maturidade profunda com poucas ferramentas é melhor do que implementações superficiais de dezenas de ferramentas.

Volumes de vulnerabilidade

Nem todos os críticos e altos são iguais. O surgimento do pensamento do tipo EPSS torna isso óbvio: apenas uma pequena percentagem das vulnerabilidades é explorada em violações reais. Métricas baseadas em volume confundem a priorização.

Total de gravidade CVE

A gravidade não é o mesmo que explorabilidade. A acessibilidade e o contexto são mais importantes. Os conselhos de administração não querem financiar uma guerra de números porque ela simplesmente não pode ser vencida.

Porcentagens de conclusão da conformidade

Todas as empresas violadas tinham auditorias e relatórios de conformidade. A conformidade é um padrão baixo. O objetivo é a segurança real. Quando os CISOs apresentam essas métricas ao conselho, muitas vezes o fazem porque são as métricas mais fáceis de produzir. Mas fácil não é o mesmo que persuasivo.

Usando POCs para transformar riscos hipotéticos em evidências

Uma das ferramentas mais eficazes que um líder de segurança tem é a prova de conceito paga. Não como uma competição de funcionalidades, mas como uma experiência de descoberta estruturada. Uma boa POC é segura para a administração, pois produz evidências sem causar pânico. Ela pode:

• questões críticas desconhecidas
• validar se uma narrativa de risco é real
• reduzir a incerteza em torno dos controlos atuais
• fornecer uma base defensável para o investimento

O segredo é tratar isso como uma experiência empresarial:

• Defina a hipótese.
• Defina os critérios de sucesso.
• Defina o prazo.
• Defina o que significa «não».

Então, pode voltar ao conselho e dizer: «Fizemos uma avaliação limitada. Eis o que aprendemos. Eis as opções de decisão.» Os conselhos adoram decisões limitadas.

Alocações orçamentárias após uma violação

Há um padrão trágico na liderança de segurança: violação → «eu avisei» → orçamento desbloqueado.

Mas este é um presente envenenado. Porque o CISO pós-violação muitas vezes recebe os recursos que o CISO pré-violação implorou e lhe foram negados. E o CISO pré-violação muitas vezes é mandado embora. Isso não é apenas injusto, é prejudicial para a organização. Por causa do segundo ataque, os críticos, investigadores, seguradoras e reguladores muitas vezes destroem a credibilidade do CISO, mesmo que ele tenha lidado bem com o incidente.

Muitos CISOs não sobrevivem ao segundo ataque. E então o planeamento da sucessão, ou a falta dele, introduz uma janela de vulnerabilidade totalmente nova. Os agentes de ameaças sabem disso. Eles se acumulam. Eles exploram o caos da mudança de liderança. Você pode acabar lutando uma guerra em duas ou três frentes:

• atacantes oportunistas
• crime organizado
• instabilidade organizacional interna

A maneira de evitar essa armadilha é criar um suporte à decisão ao nível do conselho antes da violação.

Como lidar com objeções comuns

Os executivos e conselhos têm um pequeno conjunto de objeções previsíveis. O erro é refutá-las como se fosse um debate. A atitude correta é reformulá-las como se fosse uma decisão. Você também deve ler o “Apêndice A: Perguntas que o conselho deve fazer à administração sobre segurança cibernética” do Manual do Conselho da NACD 2017 e estar preparado para responder a cada uma dessas perguntas.

«É muito caro.»

«Caro» em comparação com o quê? Em comparação com a perda esperada? Em comparação com o custo do tempo de inatividade? Em comparação com o custo de oportunidade dos sprints de engenharia e entregas desviados?

«Já temos algo.»

Esta é uma objeção cega e geralmente inclui referência aos serviços agregados da sua subscrição do Microsoft 365. Não discuta sobre substituição, mas sim sobre como o Microsoft Defender é necessário, mas não suficiente. Fale sobre resultados:

• O que podemos detetar?
• O que podemos prevenir?
• O que podemos conter?
• O que é que não sabemos?

«Já estamos em conformidade.»

A conformidade não é redução de risco. É a prova de que você passou por uma lista de verificação. Não é a prova de que você pode sobreviver a um incidente.

“Vamos construí-lo internamente.”

As decisões internas de construção devem incluir:

• carga de manutenção
• custos de formação para novos contratados
• custo de oportunidade
• risco de propriedade a longo prazo

A decisão entre construir ou comprar deve abordar se essa é uma competência essencial. Ferramentas de segurança não são um "projeto único". São um compromisso operacional e uma jornada. Durante muitos anos, a gestão dos sistemas de e-mail corporativos era feita por uma equipa de TI composta por várias pessoas. Agora, essa tarefa é amplamente terceirizada para a Microsoft e o Google, com resultados de segurança muito melhores e custos mais baixos. Phil Venables mencionou-me uma vez que o seu maior arrependimento ao gerir a segurança na Goldman Sachs foi ter internalizado muitas das suas capacidades apenas porque podia. Não porque fosse a coisa certa a fazer.

«Vamos usar código aberto.»

O código aberto é definitivamente excelente e digno de confiança. Mas os conselhos devem compreender a diferença entre:

• capacidade
• confiabilidade
• responsabilidade

O código aberto fornece-lhe código. Não lhe oferece garantia de serviço nem «um único ponto de contacto».

“Os testes de penetração são suficientes.”

Os testes de penetração são instantâneos pontuais, geralmente realizados apenas uma vez por ano. Os conselhos de administração devem exigir uma gestão de riscos contínua.

«Isso não nos afetará / Nunca seremos hackeados.»

A confiança é uma suposição. As suposições devem ser validadas. É aqui que a orientação da governança do conselho é importante. O conselho não precisa se tornar técnico. Mas precisa se tornar capaz de tomar decisões sobre riscos de TI e interrupções nos negócios para compreender a natureza dos riscos de segurança cibernética como risco sistémico.

Como é um caso de investimento em segurança pronto para ser apresentado ao conselho

Então, como é, na verdade, um investimento em segurança credível?

Definição clara dos riscos e um quadro relevante

A escolha da estrutura é importante. Algumas estruturas estão a mostrar a sua idade e são pouco adequadas para empresas nativas da nuvem. Uma das piores coisas que pode fazer é deixar a organização se contentar com um padrão de medição antiquado. Os CIS Top Controls estão entre as melhores estruturas de cibersegurança porque são atualizados regularmente e acompanham as inovações e técnicas baseadas na nuvem.

Redução mensurável da incerteza

A segurança não se resume apenas a controlos. Trata-se de reduzir a ambiguidade. E aqui está a citação sobre liderança que quero que todos os executivos memorizem:

«Como gestores, executamos um plano,
como líderes, gerimos a escassez e
como executivos, gerimos a ambiguidade.»

Os conselhos de administração lidam com ambiguidades. A sua função é ajudá-los a reduzi-las, apresentando contexto e dados.

Avaliação com prazo determinado e ROI qualitativo

Não exagere nos cálculos. Mantenha o foco no conceito. «Como será o sucesso em 90 dias? Em 6 meses?» Quando é que a solução se pagará por si própria em termos de redução de custos ou desativação de uma ferramenta antiga que já não oferece controlos de segurança eficazes e prevenção de riscos?

Critérios de sucesso definidos

Requisitos funcionais e não funcionais:

• disponibilidade
• confidencialidade
• integridade
• custos operacionais
• impacto da resiliência

É assim que se apresenta a proposta de forma que a diretoria possa aprová-la sem sentir que está a apostar numa esperança e numa oração.

O único erro que os CISOs cometem ao falar com os conselhos de administração

O maior erro que os CISOs cometem é pensar que o conselho financiará a segurança porque ela é importante. Os conselhos não financiam importância. Eles financiam decisões defensáveis. Portanto, o objetivo não é impressioná-los com a complexidade do cenário de ameaças.

O objetivo é oferecer a eles uma troca limitada e racional:

• Aqui estão as narrativas de risco concorrentes.
• Aqui está o que sabemos.
• Aqui está o que não sabemos.
• Aqui estão as opções.
• Aqui está o custo.
• Eis o que muda se agirmos.
• Eis o que permanece incerto se não o fizermos.

Quando faz isso, o conselho pode fazer o seu trabalho. E, ironicamente, é aí que eles começam a preocupar-se com a segurança.

Camadas de ritmo e por que a governança se move lentamente

Os bons programas de segurança operam em várias camadas de mudança. O modelo de camadas de ritmo de Stuart Brand é útil aqui:

• Moda
• Comércio
• Infraestrutura
• Governança
• Cultura
• Natureza

A tecnologia evolui rapidamente, tal como a moda. A governança evolui lentamente, e essa lentidão não é um problema a ser resolvido. É a camada de estabilidade que impede as empresas de entrarem em colapso. Se quiser que o conselho de administração tome uma decisão, tem de falar em termos de governança: decisões delimitadas, ambiguidade reduzida, compromissos defensáveis. Porque falar com o conselho de administração é a parte fácil.

O difícil é acrescentar valor ao seu pensamento.