🎙️Lion Talks EP#2: Priorizando Riscos que o Board Respeita

Início \ Produções \ 🎙️Lion Talks EP#2: Priorizando Riscos que o Board Respeita

Introdução: Transformando Vulnerabilidades em Inteligência Estratégica

No cenário atual da cybersegurança, um dos maiores desafios para as organizações não é apenas identificar vulnerabilidades técnicas, mas sim traduzi-las em riscos de negócio que realmente capturem a atenção da alta liderança. Neste episódio do podcast Lion Talks, recebemos Rafael Ferreira, um líder premiado na Qualis Conference 2023 por implementar um dos melhores programas de gestão de vulnerabilidades das Américas. Com mais de uma década de experiência, incluindo passagens por gigantes como IBM, KPMG e Bradesco, Rafael compartilha sua visão sobre como conectar a execução técnica à estratégia de negócios, priorizando riscos que o board respeita.

O Case de Sucesso: Gestão de Vulnerabilidades que Virou Referência nas Américas

Rafael foi responsável por implantar um programa de gestão de vulnerabilidades que o levou a palestrar no centro de convenções da Disney, em Orlando, para 600 CISOs e líderes globais. O case, que lhe rendeu o prêmio da Qualis, foi construído sobre um pilar fundamental: não se faz nada sozinho. O sucesso foi um trabalho de equipe, com o apoio de líderes como Caio, Bononato e Flávio Guerato, que lhe deram respaldo dentro da instituição financeira onde trabalhava.

A Metodologia: Priorização Baseada no Negócio, Não em Números

O grande diferencial do programa foi abandonar a métrica tradicional de correção por quantidade (ex: corrigimos 80 mil vulnerabilidades) e adotar uma priorização baseada no core business da empresa. O processo consistiu em:

  • Mapear os principais produtos da empresa: Identificar aquilo onde a organização realmente ganha dinheiro.
  • Identificar os ativos que suportam esses produtos: Tanto internos quanto externos, com uma visão clara de quem são os responsáveis (owners).
  • Utilizar um score inteligente (QDS da Qualis): Uma métrica que vai além do CVSS, considerando exposição, criticidade do ativo para o negócio e seu valor para o business.
  • Integrar múltiplas fontes de vulnerabilidade: Relatórios do Red Team, módulo de Web Application Scanning (WAS), descobertas de desenvolvedores e o módulo de patch management.

Rafael destaca que a aproximação com a área de negócio foi crucial. Seu apelido no banco era "vereador", devido à sua habilidade de conversar com todos os líderes de produto (banco digital, consignado, empréstimo veicular), almoçar com times e construir relacionamentos. Essa quebra da barreira entre cyber e negócio foi o que tornou o trabalho inovador e digno de reconhecimento internacional.

Os Erros Clássicos na Gestão de Vulnerabilidades

Apesar do case de sucesso, Rafael é enfático ao apontar as práticas ultrapassadas que ainda dominam o mercado. O erro mais comum é medir o êxito da correção de vulnerabilidades pela quantidade de falhas remediadas. Essa métrica é falha porque desconsidera o contexto de negócio.

O Problema da Priorização Exclusiva por CVSS

Outro equívoco grave é priorizar vulnerabilidades unicamente com base no CVSS (Common Vulnerability Scoring System). Rafael argumenta que uma vulnerabilidade com CVSS 9.8 em uma "lojinha de produtos que vende camisetas" não é necessariamente mais crítica do que um CVSS 6.5 em um sistema de produção que impacta diretamente o cliente ou transaciona dinheiro. A priorização deve conjugar o CVSS com a exposição do ativo e sua importância estratégica.

Risco Aceito Não É Risco Morto

Sobre o processo de aceitação de riscos, Rafael alerta: o risco aceito precisa ser revisado constantemente. A área de negócio deve estar completamente ciente do impacto (financeiro, regulatório e operacional) e a aceitação deve ter um prazo de validade. Deixar uma vulnerabilidade aceita engavetada pode levar à sua materialização no futuro, especialmente quando novos produtos ou funcionalidades são adicionados ao ecossistema.

A Importância do Inventário (CMDB) e do Processo

Para Rafael, o primeiro passo para estruturar um bom programa de gestão de vulnerabilidades é ter um CMDB (Configuration Management Database) robusto. Ele faz uma distinção crucial: não se trata de uma ferramenta, mas sim de um processo de estruturação que mapeie cada ativo, sua localização e seu owner responsável. A falta de um inventário completo é o calcanhar de aquiles da maioria das empresas, que muitas vezes colocam os ativos em funcionamento para depois se preocupar com governança.

Processo como Fator Crítico de Sucesso

Embora as ferramentas sejam importantes (e os atacantes as utilizem), Rafael afirma que o principal fator crítico de sucesso é o processo. As plataformas de segurança são, em sua maioria, muito parecidas (80% de similaridade), se diferenciando em pequenos detalhes. Sem um processo bem definido que integre a visão de negócio, a ferramenta mais cara do mercado será ineficaz.

O Pesadelo dos Incidentes: APIs sem Autenticação e Aplicações Fantasmas

Quando questionado sobre qual vulnerabilidade mais lhe tirou o sono, Rafael relembra as madrugadas em salas de guerra (war rooms). A principal causa de seus pesadelos foram as APIs sem autenticação e expostas na internet, que nem sequer constavam no inventário da empresa. A falta de uma ferramenta adequada para monitorar o tráfego de APIs, combinada com a liberdade que times de desenvolvimento tinham para subir sistemas sem passar pela esteira de DevSecOps, resultou em falhas críticas exploradas por atacantes.

O impacto emocional e operacional é imenso: ligações de CEOs e CFOs no meio da madrugada, perguntando sobre o prejuízo, e a necessidade de correr para o escritório para conter a crise. Rafael ressalta que estas são vulnerabilidades de processo, e não meramente técnicas.

Projetos Ousados e a Persuasão do Board

Rafael também é conhecido por projetos ousados, como a implementação de um Kill Chain e treinamentos obrigatórios de conscientização em segurança para novos colaboradores, visando mudar a cultura organizacional desde a base. Para convencer o C-level a investir nesses projetos, ele utiliza uma combinação de engenharia social e persuasão, falando a linguagem do negócio: dinheiro.

Ele recomenda apresentar o ROI (Retorno sobre Investimento), demonstrando que o custo da mitigação é muito menor do que o prejuízo financeiro caso o risco se materialize. A comunicação deve ser adaptada: com CTOs e CISOs, a conversa pode ser mais técnica; com CFOs e CEOs, a abordagem deve ser 100% focada no impacto ao negócio.

Primeiros Passos para Empresas com Maturidade Zero

Se Rafael assumisse hoje uma empresa sem nenhum programa de segurança, seus primeiros movimentos estratégicos seriam:

  1. Conhecer as pessoas certas: Os decisores e líderes de negócio que podem apontar as linhas de negócio mais importantes.
  2. Mapear os ativos críticos: Descer a um nível técnico para identificar quais ativos (URLs, APIs, servidores) suportam essas linhas de negócio, com o auxílio do time de arquitetura.
  3. Priorizar riscos de borda e internos: Focar em vulnerabilidades exploráveis externamente, sem esquecer de ameaças internas (insiders), que podem ser funcionários mal-intencionados ou descontentes.
  4. Integrar SOC e Threat Intelligence: Usar os alertas do SOC e as tendências de mercado (Zero Days) para priorizar correções de vulnerabilidades que estão sendo ativamente exploradas.

A Criatividade Brasileira vs. a Maturidade Internacional

Rafael analisa o cenário nacional e internacional com propriedade. Ele destaca que o atacante brasileiro é extremamente criativo, sendo referência global em fraudes, como o bypass de reconhecimento facial usando máscaras geradas por IA a partir de fotos de redes sociais. Essa criatividade força o mercado brasileiro a se desenvolver mais rapidamente.

No entanto, ele observa que os americanos são melhor regulados e levam os riscos mais a sério, implementando soluções de forma mais metódica. Enquanto no Brasil há uma tendência cultural de "não mexer no que está funcionando", os EUA priorizam a mitigação do risco identificado. Em termos de capacitação, os profissionais estrangeiros tendem a ser mais seniores e as certificações (como CISSP e CISM) são frequentemente obrigatórias para cargos de gestão, o que ainda não é uma realidade tão difundida no Brasil.

Lições de Liderança: Técnica, Relacionamento e Superação Etária

Rafael compartilha uma lição valiosa que aprendeu com seu mentor, Leandro Augusto (hoje diretor no Bradesco): 70% da sua carreira é construída com relacionamento e 30% com técnica. A mudança de mindset de um profissional focado apenas no notebook para um líder que resolve problemas indo até a mesa do colega foi o que impulsionou sua carreira.

Superando o Preconceito da Idade

Apesar de ter assumido posições de liderança muito jovem (aos 22 anos), Rafael afirma que o preconceito muitas vezes vem mais do próprio time do que do board. A chave para superar isso é a postura e o conhecimento. Ao conseguir explicar um incidente complexo em termos de negócio, desenhar o problema e apresentar a solução, o líder jovem ganha o respeito dos mais velhos. Ele aconselha os novos líderes a valorizarem as pessoas, independentemente da posição hierárquica, e a tratarem o trabalho como um propósito coletivo.

Dicas Finais: Para Iniciantes, Profissionais e o Board

Rafael deixa três dicas fundamentais baseadas em sua experiência:

  • Para quem está começando: Amplie o leque de conhecimento. Não se limite a uma subárea (ex: apenas Splunk ou apenas pentest de infra). Estude os fundamentos de redes, programação, diferentes tipos de pentest (web, mobile, IoT) e, após ter uma visão geral, escolha uma especialização. O mercado carece de profissionais com visão holística.
  • Para os profissionais de cyber em geral: Saiam de trás do notebook. Levantem-se, vão até a mesa do desenvolvedor ou do gestor de negócio e resolvam o problema juntos. Não basta encontrar a falha crítica; é preciso dar valor de negócio a ela e acompanhar a correção até o fim.
  • Para o Board e decisores: Parem de priorizar vulnerabilidades por quantidade. Olhem para o impacto no negócio. Invistam em profissionais capacitados e, assim como os técnicos devem aprender a língua do board, os líderes também devem se aproximar do mundo técnico, participando de conferências e ouvindo as equipes. A humildade para aprender com os mais novos é uma virtude.

A mensagem final é clara: a cybersegurança não é um fim em si mesma, mas um meio para proteger o negócio. A integração entre a visão técnica e a estratégica é o único caminho para construir programas de segurança maduros, eficazes e respeitados dentro das organizações.