Independentemente de perderem seus empregos após um grande incidente, falhas devem ser vistas como uma oportunidade de aprendizado

Por: Dan Swinhoe, CSO (EUA)

Os CISOs podem deixar seus empregos por diversos motivos, mas uma violação ou outro incidente de segurança geralmente acelera a sua saída. Segundo o relatório State of Web Application Security de 2018 da Radware, 23% das empresas relataram demissões de executivos relacionadas a ataques a aplicativos. As companhias americanas foram mais propensas a dizer que os executivos foram demitidos após um incidente, assim como as empresas dos setores de tecnologia e serviços financeiros.

Embora os CISOs nem sempre sejam dispensados – a Kaspersky relata que funcionários seniores que não são de TI são demitidos em 27% das empresas (aquelas com mais de 1 mil funcionários) que sofrem uma violação -, suas posições podem ficar em risco se houver falhas claras na segurança.

Uma pesquisa da Nominet com mais de 400 CISOs nos EUA e no Reino Unido, realizada pela Osterman Research, constatou que 6,8% dos CISOs nos EUA e 10% no Reino Unido acreditavam que, em caso de violação, eles perderiam o emprego. Pouco menos de 30% dos participantes da pesquisa acreditavam que receberiam um aviso oficial.

Confira sete grandes incidentes de segurança que custaram aos CISOs seus empregos nos últimos anos. Aproveite para entender cada caso como uma oportunidade de aprendizado.

1. Capital One

Em julho de 2019, a Capital One anunciou que um hacker obteve acesso às informações pessoais de mais de 100 milhões de clientes. O banco soube do ataque meses após o fato, graças a uma denúncia de um pesquisador de segurança. O suposto atacante, um ex-funcionário da Amazon, teria aproveitado um firewall mal configurado. A empresa disse que a previsão é de que o incidente custe entre US$ 100 milhões e US$ 150 milhões. Em novembro de 2019, o Wall Street Journal informou que a Capital One substituiu Michael Johnson, CISO da empresa desde 2017, pelo CIO da companhia. Johnson continua na Capital One como consultor para ajudar a direcionar as respostas do banco à violação de dados.

2. Equifax

Em 2017, a Equifax foi comprometida por meio de um portal de reclamações de consumidores sem patches. O resultado foi o roubo de 143 milhões de registros de clientes – incluindo nomes, endereços, datas de nascimento, números de previdência social e números de carteira de motorista. Além da falta de correções, o ataque não foi detectado por meses devido à falha da empresa em atualizar um certificado de ferramentas de segurança. A companhia também falhou ao divulgar a violação depois de mais de um mês da descoberta. O Comitê de Supervisão e Reforma Governamental da Câmara dos Deputados dos EUA chamou o incidente de “inteiramente evitável”, enquanto o Subcomitê Permanente de Investigações do Senado dos EUA acusou a empresa de “negligência de segurança cibernética”.

O manuseio das consequências também foi ruim. A equipe de mídia social da empresa enviou a URL errada para lidar com o caso – e o site dedicado ao assunto estava mal protegido. Para complicar, Jun Ying, CIO da Equifax US Information Solutions, foi preso por quatro meses e multado em US$ 55 mil por uso de informações privilegiadas após a violação. O custo do incidente é estimado em US$ 1,35 bilhão. A empresa pagou US$ 575 milhões (com potencial para chegar a US$ 700 milhões) a Federal Trade Commission e outros. A CSO Susan Mauldin e o CIO David Webb deixaram a empresa semanas após a violação. O CEO da Equifax, Richard Smith, também se aposentou depois do caso. Mauldin foi substituído pelo CISO interino Russ Ayres (anteriormente vice-presidente de TI da Equifax) antes de Jamil Farshchi assumir o papel permanentemente.

3. Uber

No final de 2017, a Uber revelou que os dados de 57 milhões de motoristas foram roubados, incluindo nomes, endereços de e-mail, números de telefone e números de carteira de motorista. Os invasores acessaram o repositório da companhia – que a empresa admitiu não ter autenticação multifator ativada – e usaram credenciais de login armazenadas para acessar as instâncias do AWS S3. Além disso, o CSO da empresa, Joe Sullivan, estaria envolvido em um acobertamento que incluía o pagamento de US$ 100 mil aos criminosos.

A notícia só foi divulgada depois que o novo CEO Dara Khosrowshahi assumiu a posição, apesar de a empresa ter entrado em conflito com a FTC por não divulgar uma violação de dados ocorrida em 2014. “Você pode estar se perguntando por que estamos falando disso agora, um ano depois”, disse Khosrowshahi em comunicado anunciando a violação. “Eu fiz a mesma pergunta. Nada disso deveria ter acontecido, e não darei desculpas por isso.” Sullivan, que atuou como CSO do Facebook por cinco anos, foi demitido da Uber depois de dois anos e meio. Desde então, ele trabalha na Cloudflare, também como CSO.

4. Facebook

Nem todos os líderes de segurança deixam as empresas por conta de incidentes específicos. Alex Stamos, CSO do Facebook desde 2015, deixou o cargo da empresa três anos depois para assumir uma posição na Universidade de Stanford, depois de ter discordado do modo como a companhia lidou com o escândalo da Cambridge Analytica. Stamos aparentemente defendia uma resposta mais transparente ao divulgar o ocorrido. Mais tarde, ele disse à MSNBC que era um “grande erro” que a empresa não se manifestasse sobre a gravidade do incidente. “Ninguém mentiu e ninguém encobriu nada”, afirmou o executivo, “mas sinto que a maneira inicial como essas coisas foram comunicadas realmente definiu a barreira de saber se a empresa seria ou não vista como parte da solução ou parte do problema. O Facebook não aproveitou a oportunidade para dizer ‘somos parte da solução’”.

Anteriormente, Stamos também renunciou seu cargo no Yahoo, depois que a empresa construiu uma ferramenta para as autoridades de inteligência dos EUA que podiam verificar as contas de email dos usuários. A empresa de mídia social anunciou que não substituiria Stamos e, em vez disso, incorporou engenheiros de segurança, analistas, investigadores e outros especialistas em suas equipes de produtos e engenharia para “enfrentar melhor as ameaças emergentes à segurança”.

5. Target

O ataque de 2014 à Target foi um dos casos mais notáveis ​​de um ataque bem-sucedido à cadeia de suprimentos. Na ocasião, hackers exploraram a baixa segurança em um fornecedor de HVAC para comprometer os sistemas de pagamento da Target e roubar os detalhes de pagamento de cerca de 40 milhões de clientes. A CIO Beth Jacob deixou a Target nos meses seguintes ao ataque, quando a empresa reformulou sua postura de segurança e nomeou seu primeiro CISO, Brad Maiorino. Desde então, Jacob foi contratada pela SPS Commerce e Tivity Health. Como costuma acontecer em ataques de alto nível, o CEO da Target, Gregg Steinhafel, renunciou a todas as suas posições nos meses seguintes à violação (apesar de a expansão fracassada da empresa no Canadá também ter sido um fator). Outros CEOs que saíram na sequência de incidentes de segurança cibernética foram Amy Pascal, da Sony, e o CEO da empresa austríaca aeroespacial FACC, Walter Stephan.

6. JP Morgan

Em 2015, o CSO do JPMorgan Chase, Jim Cummings, e o CISO Greg Rattray, foram transferidos para novas posições dentro do banco após uma violação de mais de 83 milhões de contas nos EUA em 2014 , incluindo nomes, e-mail, endereços e números de telefone. Rattray foi nomeado chefe de parcerias cibernéticas globais e estratégia governamental e substituído como CISO pelo ex-executivo de segurança da Lockheed Martin, Roham Amin.

7. Universidade Estadual de São Francisco

Em 2015, Mignon Hoffman, oficial de segurança da informação da Universidade Estadual de São Francisco, teria sido demitida pelo que viu como uma tentativa de varrer uma violação de 2014 dos registros dos alunos para “debaixo do tapete”. Ela processou a organização por rescisão indevida e retaliação, pedindo mais de US$ 1 milhão de indenização. Em 2014, Hoffman foi informada sobre uma vulnerabilidade em um servidor de aplicativos Oracle da universidade. Segundo a executiva, as melhorias recomendadas para a segurança do banco de dados foram rejeitadas pelos seus superiores por conta de restrições orçamentárias e aceitações de riscos de segurança, e na sequência do incidente, o CIO provisório não quis relatar uma violação de segurança “no seu turno”.

A universidade confirma que houve um incidente de segurança no qual informações foram potencialmente acessadas. Como a entidade alega que não houve violação de dados pessoais, os estudantes não foram notificados, pois a universidade considerou que os alunos não tinham motivos para se preocupar. A universidade negou que a rescisão de Hoffman estivesse relacionada ao incidente.

Se você mantiver seu emprego, incidentes podem ser bons

Embora um incidente possa deixar alguns CISOs temendo por seus empregos, o oposto pode ser verdadeiro e pode trazer benefícios tanto à sua carreira quanto à sua saúde pessoal. Um estudo da Universidade Goldsmiths de Londres e da Symantec pesquisou mais de 3 mil tomadores de decisão de segurança na França, Alemanha e Reino Unido e descobriu que passar por uma violação de dados pode ter um efeito positivo. Cerca de um quarto (26%) dos entrevistados sofreu uma violação e era muito menos provável que estivessem estressados ​​com problemas relacionados ao trabalho. Os sentimentos relatados de desgaste entre os pesquisados ​​foram de quase metade (23%) no grupo que sofreu uma violação em comparação aos que não tiveram (47%). Apenas 14% deste grupo consideram que o compartilhamento de informações sobre um incidente ocorrido afetará negativamente a sua carreira, em comparação com 18% das pessoas que não sofreram uma violação.

A porcentagem de pessoas que temiam ser demitidas como resultado de um incidente também foi muito menor entre as que já haviam sofrido violações: 19% contra 28%. Um estudo semelhante realizado pela Optiv Security constatou que a maioria (58%) dos 200 CISOs do Reino Unido e dos EUA pesquisados ​​considerou que sofrer uma violação de dados os torna mais atraentes para possíveis empregadores. Apenas 6% dos CISOs no estudo disseram que não permaneceram na empresa durante o período de recuperação após um incidente.

“Os profissionais de segurança cibernética que testemunharam um ataque em primeira mão devem ser aplaudidos, nem difamados”, diz Ewen O’Brien, vice-presidente de empresas da EMEA da BitSight. “Eles devem se sentir confiantes de que sua experiência pode ajudar suas organizações a estarem melhor preparadas para o futuro. Suas experiências – e o conhecimento que obtiveram com essas experiências – podem ser usadas para reforçar o gerenciamento de desempenho de segurança e criar uma frente formidável contra possíveis ameaças.”

Incidentes podem ser uma experiência de aprendizado

Em vez de se preocupar em ser demitido após um incidente, os CISOs devem se concentrar em como aprender com os erros e onde melhorar. “Eu era diretor de segurança da informação quando o vírus ILOVEYOU e coisas do tipo estavam acontecendo”, explica o Dr. Steve Purser, chefe de operações principais da ENISA. “As grandes lições, mesmo naqueles dias, foram sobre como você se comunica com sucesso quando está sob pressão? Como você se concentra nas coisas certas, troca as informações certas e garante que está atuando em uma ordem priorizada?”

Purser foi CISO em diversas instituições financeiras desde o início dos anos 90 até ingressar na ENISA em dezembro de 2008. Quando questionado se uma violação no currículo de alguém os tornaria mais empregáveis, ele diz que tudo depende de como os profissionais utilizam as suas experiências no futuro. “Eu iria verificar o que eles aprenderam com a experiência”, afirma. “A diferença entre um bom gerente de segurança e um gerente de segurança ruim é como ele garante que não cometará os mesmos erros novamente.” “Apenas passar por uma brecha não significa necessariamente nada”, continua Purser.

“Analisando, entendendo o que deu errado, tomando medidas proativas para garantir que isso não aconteça novamente e demonstrando um processo de aprendizado. Isso é algo que eu acho extremamente valioso. É o que eu tentaria avaliar em qualquer exercício de recrutamento.”

Da mesma forma, as organizações podem pensar que aprenderam ao passar por um incidente, mas a prova geralmente está na implementação de mudanças enquanto a experiência ainda é recente e as pessoas estão focadas nela. “Se eles realmente analisaram o que deu errado e realmente aprenderam com isso, a empresa deveria se sentir mais forte porque, obviamente, eles aprenderam algo”, diz Purser.

“Isso se torna problemático, é claro, se você realmente não aprender nada com isso. Tudo depende da capacidade da empresa de analisar a si mesma, definir medidas corretivas, reformular procedimentos, tecnologia, ferramentas etc. para que esteja melhor preparada da próxima vez.”

Simulações e compartilhamento de informações são experiências de aprendizado mais seguras

Purser acrescenta que exercícios e simulações são uma oportunidade de aprendizado útil para CISOs e suas organizações, já que apresentam menos riscos do que depender de incidentes reais. Como parte de sua função na ENISA, ele ajuda a executar exercícios como parte dos esforços da UE para melhorar a sua postura de segurança cibernética. “Acho que simulações são essenciais”, observa.

“Eles são incrivelmente valiosos para aprender sobre o que funciona e o que não funciona como nível operacional [durante os exercícios da ENISA]. Realmente revela os pontos fracos. O que aprendi no início da minha carreira foi que, sem exercícios, você tende a ter uma dependência excessiva de documentos. Uma experiência prática insuficiente significa que é difícil descobrir quando um procedimento é fraco. Exercícios são a chave para isso.”

O estudo da Symantec constatou que os profissionais de segurança são mais propensos a discutir experiências pessoais com colegas de fora da organização em casos de violação, mas a maioria acredita que não há compartilhamento suficiente entre as indústrias sobre segurança cibernética. Purser diz que, embora exista uma enorme quantidade de informações táticas, há uma distinta falta de informações estratégicas por conta do esforço envolvido para coletar, analisar e criar algo útil para a tomada de decisões.

“É tudo sobre comunicação. É sobre entender com o que você está lidando. Trata-se de garantir que as informações corretas cheguem às pessoas certas no momento certo para resolver um problema específico ”, explica Purser. “Você pode ser infeliz o suficiente para ser pego por uma brecha, mas se você for inteligente ao lidar com isso e tiver a presença de espírito para manter um registro do que deu errado, isso pode realmente ensinar muito sobre processos e como eles podem ser melhorados.”

Fonte: CIO