Como Fazer Seu Conselho Se Importar com a Segurança (Antes que uma Violação Force a Questão)

Se você já leu um daqueles artigos sobre “Modelos de Relatórios para o Conselho para CISOs” e pensou: “Ah sim, com certeza meu conselho dedicará 25 minutos ao meu painel de postura e fará perguntas de acompanhamento sobre a velocidade de redução do backlog de vulnerabilidades,” então tenho uma notícia maravilhosa para você: Você não conheceu conselhos suficientes.

A maioria dos conselhos de empresas não quer um painel de segurança. Eles não querem métricas de postura. Eles não querem um mapa de calor que pareça um briefing de risco de lançamento da NASA. O que eles querem, digam explicitamente ou não, é suporte à decisão.

Eles querem uma forma defensável de escolher entre narrativas de risco concorrentes. Eles querem saber se devem investir na mitigação A ou B. Eles querem reduzir a incerteza. Eles querem evitar uma surpresa que possa encerrar carreiras e aqui está a parte que a maioria dos líderes de segurança não quer ouvir:

Os conselhos não financiam a segurança porque ela é importante. Eles financiam a segurança quando a decisão parece racional, delimitada e defensável.

Vamos falar sobre como fazer isso acontecer.

Por Que os Conselhos Não Se Importam Com a Segurança

Os conselhos não são anti-segurança. Eles não são imprudentes nem estúpidos. Eles são simplesmente otimizados, estruturalmente, culturalmente e psicologicamente, para discussões de resultados.

Segurança é uma disciplina peculiar porque o melhor resultado é nada acontecer. Sem manchetes. Sem interrupções. Sem reuniões de emergência. Sem negociações de resgate. Sem chamadas repentinas de “como isso pôde acontecer?”.

E “nada aconteceu” não é um resultado que o conselho possa facilmente valorizar. É um vazio. É hipotético. É contrafactual. É uma história de fantasmas. Então o conselho naturalmente adota a mentalidade em que todo ser humano cai:

“Nada aconteceu até agora.”

O que é uma lógica tragicamente sedutora. É também uma das frases mais caras na história corporativa. O problema é que a ausência de prova não é prova de ausência. É mais frequentemente evidência de sorte, obscuridade ou detecção deficiente. Os conselhos não estão sendo irracionais aqui. Eles estão aplicando o mesmo raciocínio que usam em outros lugares:

• Se entregamos, vemos receita.
• Se comercializamos, vemos pipeline.
• Se contratamos, vemos o throughput.
• Se cortamos custos, vemos a margem.

Mas e a segurança? A métrica de sucesso é um espaço negativo. Portanto, a menos que você os ajude a sentir a decisão como algo concreto e delimitado, a segurança sempre será relegada a um 'bom ter'.

Por que “Acredite em Mim, Isso é Importante” Nunca Funciona

Existem duas apresentações de segurança comuns em nível de conselho:

Ambas as abordagens são inverídicas e ambas falham. Conselhos não respondem bem ao pânico porque pânico não é um plano. Pânico é um pedido de confiança emocional, e conselhos são explicitamente projetados para não operar com base na emoção.

E conselhos não respondem bem a “está tudo bem”, porque então a questão se torna por que você precisa de mais dinheiro. O CISO fica preso tentando equilibrar-se entre parecer o Pequeno Pássaro (Chicken Little) e um burocrata superfinanciado. Você não quer que o conselho sinta medo. Você quer que eles sintam clareza e confiança.

Como os Conselhos Realmente Pensam sobre ROI e Risco

Líderes de segurança frequentemente tentam, erroneamente, “provar o ROI” da mesma forma que o marketing ou as vendas fariam. Conselhos não pensam em segurança da mesma forma que pensam em receita. Eles pensam nela da mesma forma que pensam em risco, seguro e resiliência.

Aqui está o modelo mental do conselho, simplificado:

• O que nossos concorrentes estão fazendo?
• Qual é a nossa perda esperada?
• Qual é o custo de reduzi-la?
• Qual é a probabilidade?
• Qual é o impacto?
• Qual é a incerteza?
• Qual é o pior resultado operacional plausível?

Frameworks de segurança tendem a ter um viés de prevenção. Eles assumem que podemos evitar que coisas ruins aconteçam se apenas implementarmos controles suficientes e comprarmos ferramentas suficientes. Conselhos entendem algo que as equipes de segurança às vezes esquecem: a prevenção não é binária. Algumas falhas são inevitáveis. Como diz o mantra da infosec, não é uma questão de *se* você será violado, é uma questão de *quando*. É por isso que os conselhos financiarão seguros, mas resistirão ao aumento de gastos com ferramentas de segurança.

O seguro é um instrumento financeiro delimitado. Ele tem um prêmio, uma apólice e um pagamento. Mesmo que não cubra tudo, é um formato de decisão familiar.

Investimentos em segurança frequentemente vêm como compromissos em aberto:

• “Precisamos de uma plataforma.”
• “Precisamos de um programa.”
• “Precisamos de uma postura de segurança melhor.”
• “Precisamos de mais ferramentas.”

Os conselhos ouvem: “Precisamos de um cheque em branco para combater um inimigo invisível para sempre.” Isso não é um pedido que agrade ao conselho. A diretoria quer ter opções para tomar uma decisão.

O Custo Real de uma Violação

A maioria das discussões sobre o custo de uma violação fica na superfície:

• multas
• acordos judiciais
• dano à reputação

Esses são importantes, mas a realidade operacional é pior e mais relevante. O verdadeiro custo de uma violação é a realocação forçada do seu recurso mais escasso: o foco da engenharia. Um incidente grave não custa apenas dinheiro. Ele desloca o trabalho planejado. Ele rouba trimestres de desenvolvimento.

A resposta a incidentes não é “apenas a TI arrumando as coisas.” A resposta real a incidentes inclui:

• investigação forense exigindo dispositivos de cadeia de custódia retirados de serviço
• renovação de hardware (porque você não pode confiar em endpoints comprometidos)
• redefinições de identidade de emergência e redesenho de acesso
• re-arquitetura da Cloud sob pressão
• reemissão de Secrets e certificados
• revalidação de backups (que também podem estar comprometidos)

É complicado, caro e disruptivo (basta perguntar à Caesars ou à 23andMe).

A confiança do cliente e o churn também não são teóricos. A lealdade é difícil de conquistar e fácil de perder, especialmente em contratos empresariais onde os ciclos de renovação criam uma rampa de saída natural.

Após uma violação, a pergunta não é “como o atacante fez isso?” A pergunta se torna: “Quem sabia o quê, e quando?” De repente, seu programa de segurança não está sendo avaliado por seus méritos técnicos. Ele está sendo avaliado por sua defensibilidade narrativa por especialistas de plantão.

O que nos leva à verdade incômoda:

O primeiro ataque é o agente de ameaça.
O segundo ataque são todos os outros.

Como Falar Sobre Eventos de Violação

CISOs experientes não se preocupam obsessivamente com a probabilidade de violação. Eles falam sobre a cadência de violações.

Porque a questão não é se você terá um incidente. A questão é:

• Com que frequência você enfrentará um comprometimento?
• Com que rapidez você o detectará?
• Com que eficácia você poderá contê-lo?
• Com que rapidez você poderá restaurar as operações?

Isso é pensamento de resiliência, não pensamento de prevenção. E se alguém disser: “Nunca fomos violados.” A resposta correta não é discutir. É reformular gentilmente. Quanto mais madura for sua detecção, mais incidentes e violações você descobrirá. Isso é profundamente contraintuitivo para executivos. Em outras palavras, a visibilidade aprimorada pode fazer você parecer “pior” antes de torná-lo mais seguro.

Atacantes também exploram falhas básicas de higiene com muito mais frequência do que zero-days "sexy". O mito de que as violações exigem adversários de elite é reconfortante, mas geralmente está errado. Atacantes modernos agem rapidamente. O tempo médio para exploração agora é medido em minutos e horas, não em dias e semanas, especialmente à medida que a IA acelera o desenvolvimento de exploits e a escala de phishing. Sua resiliência é definida pela sua adaptabilidade e não pela sua capacidade de restaurar backups e retornar a um estado anterior. Porque o estado anterior era a configuração vulnerável que o levou à violação em primeiro lugar.

As Únicas Métricas de Segurança Que os Conselhos Realmente Se Importam

Os conselhos não querem um dashboard. Eles querem um volante. Então, quais métricas de segurança importam?

Tendências de exposição a riscos

Não “número de vulnerabilidades,” mas como sua exposição está mudando e por quê. Sempre reporte em porcentagens e deltas em relação às métricas do trimestre anterior e não em números absolutos de vulnerabilidades.

Tempo de detecção e tempo de remediação

Estas são métricas operacionais com significado direto para o negócio. Inclua métricas auto-remediadas de varredura de código para Secrets compartilhados, configurações vulneráveis com seu CSPM, desvio de configuração e risco da cadeia de suprimentos, como os recentes ataques NPM Shai-Hulud.

Redução do raio de explosão

Este é o conceito de segurança mais relevante para o conselho: contenção. Não “podemos parar todo incêndio,” mas “podemos evitar que um incêndio na cozinha queime o prédio.” 

É aqui que o pensamento “e se” se torna poderoso. O blog SRE do Google popularizou a “Roda da Infortúnio” com exercícios de mesa semanais: simulações de incidentes estruturadas e recorrentes. A NASA usa um conceito similar: o “pré-mortem.” Você assume a falha e, em seguida, trabalha de trás para frente para entender como ela acontecerá. Security chaos engineering é a evolução disso: experimentos ponderados em torno de estados de falha, enraizados na realidade operacional, não no teatro.

Incógnitas conhecidas vs. pontos cegos

Os conselhos podem entender a incerteza. Eles não conseguem entender “temos 13.492 vulnerabilidades críticas.” Mas eles podem entender:

• “Não sabemos se o movimento lateral é possível entre esses ambientes.”
• “Não temos validação objetiva da nossa superfície de ataque externa.”
• “Não sabemos se nosso pipeline de detecção pode capturar credential stuffing.”

É por isso que o teste de penetração de terceiros é incrivelmente valioso quando usado corretamente. Não como um item de verificação, mas como um mecanismo objetivo de descoberta e validação de risco.

Métricas de Segurança Que Prejudicam Seu Caso

Agora, vamos falar sobre as métricas que fazem os conselhos e a alta liderança perderem o interesse.

Contagem de ferramentas

Mais ferramentas não significam mais segurança. Cada ferramenta é, efetivamente, um usuário privilegiado. Cada uma se torna parte da superfície de ataque. Cada uma adiciona complexidade operacional. Maturidade profunda com poucas ferramentas supera implementações superficiais de dezenas de ferramentas.

Volumes de vulnerabilidades

Nem todas as vulnerabilidades críticas e de alta severidade são iguais. A ascensão do pensamento no estilo EPSS torna isso óbvio: apenas uma pequena porcentagem das vulnerabilidades é de fato explorada em violações reais. Métricas baseadas em volume confundem a priorização.

Total de severidade de CVEs

Severidade não é o mesmo que explorabilidade. Atingibilidade e contexto importam mais. Conselhos não querem financiar uma guerra de números porque ela simplesmente não pode ser vencida.

Percentuais de conclusão de compliance

Toda empresa violada passou por auditorias e tinha relatórios de compliance. Compliance é um padrão baixo. Segurança real é o objetivo. Quando os CISOs apresentam essas métricas ao conselho, eles frequentemente o fazem porque são as métricas mais fáceis de produzir. Mas fácil não é o mesmo que persuasivo.

Usando POCs para Transformar Risco Hipotético em Evidência

Uma das ferramentas mais eficazes que um líder de segurança possui é a prova de conceito (POC) paga. Não como uma competição de funcionalidades. Mas como um experimento de descoberta estruturado. Um bom POC é seguro para o conselho porque produz evidências sem alarmismo. Ele pode:

• revelar problemas críticos desconhecidos
• validar se uma narrativa de risco é real
• reduzir a incerteza em torno dos controles atuais
• fornecer uma base defensável para investimento

A chave é tratá-lo como um experimento de negócios:

• Defina a hipótese.
• Defina os critérios de sucesso.
• Defina o prazo.
• Defina o que significa um “não”.

Então você pode voltar ao conselho e dizer: “Realizamos uma avaliação delimitada. Aqui está o que aprendemos. Aqui estão as opções de decisão.” Conselhos adoram decisões delimitadas.

Alocações Orçamentárias Após uma Violação

Existe um padrão trágico na liderança de segurança: Violação → “eu avisei” → orçamento liberado.

Mas este é um presente envenenado. Porque o CISO pós-violação frequentemente recebe os recursos que o CISO pré-violação implorou e lhe foram negados. E o CISO pré-violação é frequentemente demitido. Isso não é apenas injusto, é organizacionalmente prejudicial. Por causa do segundo ataque, os críticos de sofá, investigadores, seguradoras e reguladores frequentemente destroem a credibilidade do CISO, mesmo que ele tenha lidado bem com o incidente.

Muitos CISOs não sobrevivem ao segundo ataque. E então o planejamento de sucessão, ou a falta dele, introduz uma janela de vulnerabilidade inteiramente nova. Atores de ameaça sabem disso. Eles se aproveitam. Eles exploram o caos da mudança de liderança. Você pode acabar lutando uma guerra em duas ou três frentes:

• atacantes oportunistas
• crime organizado
• instabilidade organizacional interna

A maneira de evitar essa armadilha é construir suporte à decisão em nível de diretoria antes da violação.

Como Lidar com Objeções Comuns

Executivos e conselhos têm um pequeno conjunto de objeções previsíveis. O erro é refutá-las como um debate. O movimento certo é reenquadrá-las como uma decisão. Você também deve se certificar de ler o “Apêndice A: Perguntas para o Conselho Fazer à Gestão sobre Cibersegurança” do NACD 2017 Board Handbook e estar preparado para responder a cada uma dessas perguntas.

“É muito caro.”

“Caro” comparado a quê? Comparado à perda esperada? Comparado ao custo de inatividade? Comparado ao custo de oportunidade de sprints de engenharia e entregas desviados?

“Nós já temos algo.”

Esta é uma objeção de ponto cego e geralmente inclui referência a serviços empacotados da sua assinatura do Microsoft 365. Não discuta sobre substituição, mas sim sobre como o Microsoft Defender é necessário, mas não suficiente. Fale sobre os resultados:

• O que podemos detectar?
• O que podemos prevenir?
• O que podemos conter?
• O que não sabemos?

“Nós já estamos em conformidade.”

Conformidade não é redução de risco. É a prova de que você passou por uma lista de verificação. Não é a prova de que você pode sobreviver a um incidente.

“Vamos construir internamente.”

Decisões de construção interna devem incluir:

• carga de manutenção
• custos de treinamento para novas contratações
• custo de oportunidade
• risco de propriedade a longo prazo

A decisão de construir versus comprar deve garantir que seja abordado se esta é uma competência essencial. Ferramentas de segurança não são “um projeto único.” É um compromisso operacional e uma jornada. Por muitos anos, a gestão de sistemas de e-mail corporativos era feita por uma equipe de TI de várias pessoas. Agora, é amplamente terceirizada para Microsoft e Google, com resultados de segurança muito melhores e menor custo. Phil Venables uma vez me mencionou que seu maior arrependimento ao gerenciar a segurança na Goldman Sachs foi que eles internalizaram muitas de suas capacidades apenas porque podiam. Não porque era a coisa certa a fazer.

“Usaremos open source.”

Open source é definitivamente excelente e digno de confiança. Mas os conselhos devem entender a diferença entre:

• capacidade
• confiabilidade
• responsabilidade

O código aberto oferece código. Ele não oferece garantia de serviço ou “um pescoço para apertar.”

“Pentests são suficientes.”

Pentests são snapshots pontuais, frequentemente realizados apenas uma semana por ano. Os conselhos devem exigir gerenciamento contínuo de riscos.

“Isso não nos afetará / Nunca seremos hackeados.”

Confiança é uma suposição. Suposições devem ser validadas. É aqui que a orientação da governança do conselho importa. O conselho não precisa se tornar técnico. Mas precisa se tornar capaz de tomar decisões sobre riscos de TI e interrupções de negócios para entender a natureza dos riscos de cibersegurança como risco sistêmico.

Como se Parece um Caso de Investimento em Segurança Pronto para o Conselho

Então, como realmente se parece um investimento em segurança crível?

Enquadramento claro de riscos e um framework relevante

A escolha do framework importa. Alguns frameworks estão mostrando sua idade e são pouco adequados para empresas cloud-native. Uma das piores coisas que você pode fazer é deixar a organização se contentar com uma régua de medição antiquada. Os CIS Top Controls estão entre os melhores frameworks de cibersegurança porque são atualizados regularmente e acompanham as inovações e técnicas baseadas em Cloud.

Redução mensurável da incerteza

Segurança não é apenas sobre controles. É sobre reduzir a ambiguidade. E aqui está a citação de liderança que quero que todo executivo memorize:

“Como gerentes, executamos um plano,
como líderes, gerenciamos a escassez, e
como executivos, gerenciamos a ambiguidade.”

Os conselhos gerenciam a ambiguidade. Seu trabalho é ajudá-los a reduzi-la apresentando contexto e dados.

Avaliação com prazo definido e ROI qualitativo

Não complique demais com números. Mantenha-o conceitual. “Como o sucesso se parece em 90 dias? Em 6 meses?” Quando a solução se paga em termos de prevenção de custos ou desativação de uma ferramenta legada que não está mais entregando controles de segurança eficazes e prevenção de riscos?

Critérios de sucesso definidos

Requisitos funcionais e não funcionais:

• disponibilidade
• confidencialidade
• integridade
• sobrecarga operacional
• impacto na resiliência

É assim que você apresenta a solicitação de forma que o conselho possa aprovar sem sentir que está apostando em uma esperança e uma oração.

O Único Erro que os CISOs Cometem ao Falar com os Conselhos

O maior erro que os CISOs cometem é pensar que o conselho financiará a segurança porque é importante. Conselhos não financiam importância. Eles financiam decisões defensáveis. Portanto, o objetivo não é impressioná-los com a complexidade do cenário de ameaças.

O objetivo é oferecer a eles uma troca racional e delimitada:

• Aqui estão as narrativas de risco concorrentes.
• Aqui está o que sabemos.
• Aqui está o que não sabemos.
• Aqui estão as opções.
• Aqui está o custo.
• Aqui está o que muda se agirmos.
• Aqui está o que permanece incerto se não agirmos.

Quando você faz isso, o conselho pode fazer o seu trabalho. E, ironicamente, é quando eles começam a se importar com a segurança.

Camadas de Ritmo e Por que a Governança se Move Lentamente

Bons programas de segurança operam em múltiplas camadas de mudança. O modelo de camadas de ritmo de Stuart Brand é útil aqui:

• Moda
• Comércio
• Infraestrutura
• Governança
• Cultura
• Natureza

A tecnologia se move rapidamente na ponta, como a moda. A governança se move lentamente, e essa lentidão não é um problema a ser resolvido. É a camada de estabilidade que impede as empresas de se desestabilizarem. Se você quer que o conselho se mova, você precisa falar em termos de governança: decisões delimitadas, ambiguidade reduzida, trocas defensáveis. Porque falar com o conselho é a parte fácil.

O que é difícil é agregar valor ao pensamento deles.