Crucial Conversations With Your CEO

0:00:00 Emily Wearmouth: Olá e bem-vindos a mais uma edição do podcast Visionários da Segurança. Eu sou sua apresentadora, Emily Wearmouth, e hoje estou acompanhada de nossa primeira convidada do Brasil. Então, seja bem-vindo ao programa, Nycholas Szucko. Eu disse isso direito?

0:00:14 Nycholas Szucko: Isso mesmo. Você acertou em cheio. Muito obrigado. Estamos tão distantes, mas conseguimos nos conectar e nos comunicar. Estou muito feliz por estar aqui hoje.

0:00:23 Emily Wearmouth: Então, deixe-me apresentá-la aos ouvintes para que eles saibam por que a convidamos. Nycholas participa atualmente de seis conselhos de administração. Há muito mais em seu currículo, mas atualmente são seis, e ele também está fortemente envolvido com a Diversity on Boards, que é a maior organização mundial para profissionais de nível C e atua em 15 países. E os ouvintes assíduos saberão. Gosto sempre de descobrir a história de origem dos nossos convidados, de onde vieram e por que devemos ouvir os seus conselhos. Por que eles são visionários da segurança? E Nicholas, embora sua carreira tenha sido na área profissional de negócios, seus primeiros anos foram como analista de sistemas. É isso mesmo?

0:00:59 Nycholas Szucko: Preciso te contar uma coisa. Antes de me tornar analista, eu era músico. Eu pensava que ia ser violoncelista. Eu costumava tocar violoncelo por 10 anos. Eu costumava pagar para que menores de idade tocassem na orquestra filarmônica aqui em São Paulo. Infelizmente, sabemos o desafio que é ser músico, especialmente na música clássica, e essa é a minha maneira de ter sucesso na minha carreira e ganhar dinheiro para minha família. Eu era programador de computadores, mas a música me ajudou muito a ter sucesso na minha carreira, como ser um bom membro de equipe, saber me comunicar com os outros instrumentos da orquestra, com o grupo, como fazer com que todos estudassem e tocassem ao mesmo tempo. Bem, você faz parte de tudo que acabou se tornando apenas uma música. Toda essa experiência incrível me ajudou muito, e ler o que eu precisava para jogar me ajudou a desenvolver a lógica da programação computacional. Foi incrível como as coisas em nossas vidas estiveram conectadas ao
do
. 0:02:01 Emily Wearmouth: Sim. Sabe, eu já ouvi isso antes, e imediatamente nos desviamos completamente do assunto, mas já ouvi dizer que pessoas muito boas em música geralmente também são muito boas em matemática. Essa ligação entre ler música e escrever código faz sentido para mim. Não faço ideia do porquê, mas faz sentido.

0:02:16 Nycholas Szucko: Faz todo o sentido, sim. Depois disso, fui para a universidade e comecei a estudar ciência da computação, mas era muito técnico para a época, então decidi me tornar um empreendedor jovem, como um colega da universidade. Unimos forças para construir nossa primeira empresa. Naquela época, não se tratava de cibersegurança, porque há mais de 20 anos, a cibersegurança não era uma grande preocupação. Quando iniciei meu discurso, disse que, desde sempre, o maior desafio que enfrentamos na área de segurança cibernética é uma caixa de entrada cheia de spam ou um computador infectado por um vírus que simplesmente deixa os computadores lentos, nada além disso. E com certeza, depois disso, a segurança cibernética evolui muito. O desafio também. E comecei a desenvolver esse tipo de iniciativa para conectar não apenas o lado técnico, mas também o lado comercial. E quando olho para trás, acho que esse é o principal motivo. É porque eu começo a ser, eu interpreto isso desde cedo na minha carreira.

0:03:15 Emily Wearmouth: Bem, você tocou num ponto que eu adoro: o momento em que voltamos aos tempos áureos em que havia pouquíssimas ameaças, mas a segurança cibernética agora é absolutamente maior e mais importante. Existem riscos muito maiores por aí. Isso significa que, mesmo com a mudança ocorrida na última década, os líderes de segurança dentro das organizações estão se tornando muito mais expostos a conversas de negócios, com a alta administração e o conselho querendo saber o que eles estão fazendo. Os riscos que eles estão enfrentando estão no radar do conselho. E acho interessante, e o que vamos discutir hoje, é como pessoas que talvez tenham vindo de uma formação técnica ou mesmo de um departamento que, até certo ponto, tinha permissão para trabalhar de forma relativamente discreta, agora estão no centro das atenções do conselho. Que habilidades adicionais as pessoas precisam para lidar com esses relacionamentos e alcançar o sucesso que sabem que estão buscando? E vou basear grande parte da conversa de hoje em uma pesquisa que foi divulgada no final do ano passado; os ouvintes podem ir lá e procurá-la. Chama-se Conversas Cruciais. E os pesquisadores fizeram um trabalho realmente extenso. Eles conversaram com CEOs do mundo todo e os questionaram sobre como estão trabalhando com seus líderes de tecnologia dentro de suas organizações. O que eles querem deles? O que não está funcionando? Então eles foram até o CIO, conversaram com ele e meio que reproduziram a conversa para ele, obtendo assim a perspectiva do CIO. Em seguida, realizaram outra etapa, na qual visitaram a equipe do CIO e conversaram com pessoas em nível de vice-presidente, aquelas que estão diretamente envolvidas com a infraestrutura, para tentar entender o quão visíveis são essas conversas e o quanto elas conseguem captar o que os líderes de negócios desejam e aplicar isso às decisões que tomam no dia a dia. Então, essa é a pesquisa de base, e há muitos pontos de dados, e vou apresentar alguns deles a você, Nycholas, hoje, para ouvir seus pensamentos, opiniões e conselhos sobre como devemos prosseguir. A primeira pergunta que quero fazer a vocês está relacionada a um dado que me surpreendeu. 39% dos líderes de tecnologia relatam estar completamente desalinhados com seus CEOs em relação à tomada de decisões importantes, 39% estão completamente desalinhados e 31% relatam estar parcialmente desalinhados. Assim, quase um terço nem sequer tem certeza de que conseguiria dizer o que o CEO deseja. Então, como um líder de segurança, como um CISO, deve começar a preencher essa lacuna de alinhamento e entender o que o CEO deseja, para então começar a aplicar isso ao seu trabalho?

0:05:40 Nycholas Szucko: Do meu ponto de vista, tudo se resume à comunicação. Por mais que desejemos que o conselho de administração, o nível executivo (C-level), entendam a linguagem da cibersegurança, e mesmo que o CIO e o CTO compreendam a linguagem tecnológica, precisamos entender que o conselho de administração e o nível executivo têm muitas responsabilidades e uma agenda completa para diversos assuntos. Eles têm a questão fiscal, a macroeconomia, têm tudo para lidar, precisam encontrar uma maneira de priorizar. Sim, a cibersegurança pode gerar um impacto enorme, mas um contrato mal elaborado, esse tipo de grande problema que ocorre em todo o mundo, pode realmente arruinar uma empresa. E quando entendemos que é nossa função aprender mais sobre o negócio, aprender a linguagem que eles usam, que está completamente alinhada com risco, exposição e impacto nos negócios. E precisamos dizer a eles que somos uma parte fundamental da estratégia para garantir a continuidade dos negócios. Não reduzir o impacto, aumentar o nível de maturidade de nossa operação e proteger a filial. Somos os guardiões da marca, responsáveis por protegê-la, mas nós, como CISO, CIO e CTO com foco em tecnologia, precisamos ir além, aprender com o negócio e traduzir esse conhecimento para eles, porque, como eu disse, a área de atuação deles é repleta de assuntos diferentes e difíceis de entender. E quando começamos a falar de coisas técnicas, geramos uma desconexão, um desalinhamento, e criamos essa distância entre o conselho, a alta administração e o CISO e o CIO.

0:07:17 Emily Wearmouth: Há algo interessante aí quando falamos sobre comunicação ou sobre essas New habilidades que os líderes precisam adquirir. Dá-se muita importância à fala na comunicação, mas a comunicação envolve muita escuta. Caso contrário, não é comunicação, é apenas conversa. E esse dado realmente vai ao cerne da questão para mim, mostrando que não se trata apenas de saber se o CEO entende a tecnologia. Abordaremos isso daqui a pouco, mas trata-se de saber se o líder de segurança entende o CEO e está atento ao que a empresa deseja. E eu me pergunto se existem fóruns ou ambientes específicos nos quais os líderes de segurança podem se inserir para fazer um trabalho melhor de escuta e absorção do que a empresa deseja, para ajudá-los quando estiverem analisando as informações posteriormente?

0:08:02 Nycholas Szucko: Sim, aprendemos muito sobre como falar, mas muito pouco sobre como ouvir. E para uma comunicação bem-sucedida, precisamos garantir que as outras partes entendam, pois precisamos nos lembrar do nível executivo e do conselho. Eles têm muita experiência. Eles têm uma carreira repleta de cenários diferentes. Eles podem tomar decisões, mas precisamos informar sobre os indicadores, o risco em que nos encontramos neste cenário e compartilhar com eles o máximo de informações possível para uma melhor tomada de decisão. Porque precisamos lembrar que, no fim das contas, é uma decisão de negócios: investir ou não investir. Isso vai reduzir o risco ou não, dependendo da disposição para correr riscos. Às vezes, como a empresa precisa conquistar mais mercado nesse período, ela acaba assumindo mais riscos. É natural que a empresa passe por esse tipo de período de tempo. Mas agora que sou dono do mercado, preciso proteger meu negócio, vou investir mais em segurança cibernética e, quando faço minhas apresentações para CISOs ou CIOs, tento apresentar algumas técnicas que eles precisam aprender para se tornarem mais eficientes nesse tipo de conversa. O podcast que eu apresento se chama "Conselho e Membros do Conselho com o Diretor de Estratégia do Banco Bradesco". Ele é um profissional incrível, Glauco Sampaio. Ele é mais um cara que está focado no cargo de membro do conselho neste momento, estamos falando sobre isso. Quais são as New habilidades que o CSO e o CIO precisam ter? É comunicação, com certeza. Contar histórias. Precisamos encontrar uma maneira de contar a história de um jeito que gere conexão e faça sentido. No fim das contas, precisamos ter algum tipo de habilidade de venda. Sim, precisamos nos vender como profissionais. Precisamos convencer o conselho a aprovar o projeto. Isso é muito importante. O aspecto financeiro também é muito importante, porque, da forma como apresentamos os resultados, é muito difícil afirmar que a cibersegurança irá gerar retorno sobre o investimento (ROI). Mas sim, podemos proteger o preço da opção de ações. Sim, podemos ajudar a reduzir o risco, porque o impacto, que atualmente é de 20 milhões, pode ser reduzido para 10 milhões. Esse tipo de conversa, ou a forma como apresentamos o orçamento anual, é importante para aumentar as chances de aprovação e, assim, viabilizar o projeto. Habilidades de comunicação, narrativa e vendas. E sim, aprenda um pouco sobre finanças
isso vai te ajudar na sua carreira e te tornar
sucesso. 0:10:37 Emily Wearmouth: Outra coisa que surgiu na pesquisa, e vou apresentar aqui a pronúncia britânica e a americana. Os CEOs queriam um braço direito de confiança para o ouvinte americano, eles querem um braço direito de confiança. Eles estavam falando de alguém que dominasse a linguagem dos negócios, alguém com quem pudessem trabalhar. Mas aquela palavra de confiança pareceu-me muito importante. E eu me pergunto: como se passa de tenente a tenente de confiança? Como você conquista a confiança do CEO e constrói essa confiança?

0:11:04 Nycholas Szucko: Pela minha experiência, você precisa se colocar em uma posição na qual você realmente se importará. Sim, vamos cuidar da infraestrutura, sim, vamos cuidar dos trabalhos sujos da segurança cibernética, não apenas da tecnologia, mas também tentar educar a todos. Posicione-se como um comunicador, criando conexões com outras áreas. E assim que você estiver disponível para alguém de um nível executivo (C-level), você certamente construirá essa conexão de consultor de confiança. Ele vai falar bem de você na próxima vez. E a quantidade de tempo e energia que investimos neste primeiro projeto vai diminuir no próximo, talvez depois de um ou dois anos. Tirar um tempo não significa passar de um dia para o outro. Ofereça serviços a eles, comunique-se em seu idioma e seja proativo. Às vezes, quando algo surge nas notícias, traduza a linguagem deles para a linguagem do seu negócio e compartilhe como um treinamento, uma ferramenta de aprendizado para os executivos de alto escalão. E depois de talvez um ou dois anos, você terá a oportunidade de fazer uma apresentação de 10 minutos para o conselho. Isso vai ser incrível. Você precisa treinar bastante porque, ao apresentar para a diretoria, precisa estar concentrado, precisa obter números, comparar com os resultados e precisa fazer tudo isso em apenas 10 minutos. É um grande desafio. Você começa com vigilância, serviço, ajudando
os, apoiando a operação, e com certeza eles vão encontrar seu lugar no cenário e ter a chance de apresentar ao
. 0:12:38 Emily Wearmouth: Antes de fazer a próxima pergunta, quero apenas reconhecer o óbvio. O sol finalmente apareceu aqui no Reino Unido. Isso não acontece desde que começamos a gravar vídeos para nossos episódios, lá no outono passado. Então, de certa forma, não tínhamos previsto o que poderia acontecer quando o verão começasse a chegar no Reino Unido. Peço desculpas se minha imagem ficar muito, muito brilhante quando o sol surgir por trás das nuvens neste lindo dia de primavera. Outro aspecto que eu queria destacar na pesquisa era o amplo espectro de respostas dos CEOs em relação ao seu nível de conforto com o risco. E você mencionou anteriormente que o mundo mudou bastante. E embora há cinco anos pensássemos que o risco era ruim, hoje queremos evitá-lo. Mas, na verdade, nos negócios de hoje, não se pode evitar o risco, e é através do risco que se encontram as recompensas. Portanto, alguns CEOs se sentem muito mais à vontade para assumir riscos do que outros. E eu gostaria de saber se você tem alguma dica para ajudar os líderes de segurança a determinar qual o nível de conforto em relação ao risco que seu CEO possui? Porque não é algo que seja uniforme em todos os casos. Cada CEO será diferente. Como você psicoanalisa seu CEO para entender o nível de conforto dele com o risco?

0:13:48 Nycholas Szucko: Precisamos estudar muito, mesmo antes da primeira reunião. Estudamos a partir da experiência passada deste CEO ou dos membros do conselho. Algo que tenho feito recentemente é, quando preciso que os membros do conselho estejam presentes durante uma apresentação, realizar algumas simulações com a IA. Eu crio perfis para cada membro do conselho e realizo algum tipo de interação para entender a reação e estar bem preparado para a próxima reunião. É um dispositivo muito bom que todos podem usar agora mesmo e
lhes proporcionou
ótima preparação. 0:14:29 Emily Wearmouth: Como você está fazendo isso, Nicola? Nesse caso? Você está criando pequenas versões de IA de executivos individuais com quem você trabalha ou está buscando uma compreensão genérica de um CEO ou CFO por parte dos sistemas de IA?

0:14:42 Nycholas Szucko: Exatamente. E eles podem me orientar sobre a melhor forma de me comunicar, ou sobre uma palavra específica que vai chamar a atenção, ou sobre a abordagem que preciso ter desde o início para garantir o meu sucesso. Quando faço esse tipo de preparação, me sinto mais confortável diante dos membros do conselho, porque preciso dizer que, mesmo tendo muita experiência, às vezes sinto um frio na barriga quando estou em uma reunião importante. Quanto melhor me preparo, melhor será minha apresentação e meu desempenho na reunião. E eu vou me sentir mais confortável com isso. E eu ajudo vocês a entenderem primeiro o perfil dessa empresa e o setor em que ela atua. Apenas um exemplo: quando conversamos com startups, percebemos que elas são ágeis e podem assumir mais riscos. Não, e eles estão, como posso dizer, dispostos a fazer isso devido ao perfil da empresa ou talvez à idade dos executivos. Mas quando você entra no setor, o cenário é completamente diferente. Mas sim, neste momento, não. Os ciberataques podem atingir as fábricas e gerar um enorme impacto no processo produtivo da planta. Não, mas entendemos que eles são mais avessos ao risco. Não. Como você apresentará sua proposta para alguém que tem maior aversão ao risco? Minha sugestão seria primeiro entender a perspectiva profissional sobre a carreira dele. Podemos ver que esses níveis de habilidade em fala durante entrevistas em podcast proporcionam insights que ajudam a melhorar a comunicação. E em segundo lugar, entender o setor vertical, entender o quanto de risco o setor vertical está disposto a assumir.
terá muito sucesso na comunicação e na
. 0:16:31 Emily Wearmouth: Então, quero entrar em alguns detalhes agora, porque sabemos que os CEOs não querem saber muitos detalhes sobre o que está acontecendo em sua infraestrutura tecnológica e querem que seus líderes sejam capazes de resumir as informações e apresentar as principais métricas que são pertinentes para eles. Mas o que se mostrou consistente ao longo da pesquisa foi a frustração expressa pelos CEOs com essa tecnologia complexa e opaca, enquanto que, talvez no passado, eles pudessem visualizar os racks físicos em um data center e isso fizesse mais sentido para eles. Agora que tudo está na nuvem, tudo é um pouco mais virtual e eles estão realmente tendo dificuldades, buscando a ajuda de seus líderes de segurança para explicar melhor o que está acontecendo. E isso também foi constatado na pesquisa realizada junto a vice-presidentes, onde 61% deles relataram que seus CEOs estão frustrados com essa falta de transparência na infraestrutura. E eu gostaria de saber sua opinião sobre isso? E até que ponto os líderes de segurança e tecnologia devem ir ao tentar explicar o que está acontecendo dentro da caixa preta?

0:17:27 Nycholas Szucko: Acho que precisamos de uma abordagem diferente, mesmo com toda a tecnologia que temos hoje. Muitas vezes uso o quadro branco para fazer explicações genéricas, conceitos bem básicos da arquitetura, apenas os pontos principais. E eu sempre uso diariamente. Por exemplo, apenas um exemplo: autenticação de dois fatores. É um armário, dois armários. E quando falamos em camadas de proteção, você tem a sua parede e a parede que dá para a rua, tudo dentro da sua porta, e o cofre dentro de casa. Tente trazer exemplos desse tipo. Não se trata de detalhar muito a estrutura básica, mas sim de usar o quadro branco e apresentar exemplos correlacionados, pois isso tornará esse tipo de arquitetura e até mesmo os cenários mais claros para eles, tentando traduzi-los para o lado comercial. Só para dar um exemplo, quando eu trabalhava para a indústria, eles tinham todos os equipamentos necessários para entrar na fábrica, o capacete e tudo mais. O que precisamos fazer com nossos dados é o mesmo, mas a linguagem da indústria é completamente diferente da linguagem da área financeira. Agora tente correlacionar esses cenários, pois isso facilitará a explicação para o público. E quando você percebe que estão aumentando, o número de perguntas ou a questão fica mais relacionado. O que você está tentando explicar é quando percebe que está tendo sucesso nessa comunicação. Quando você chega a uma reunião, apenas fala e sai sem perguntas ou qualquer
, não será uma boa reunião e talvez você não seja convidado a participar novamente
0:19:14 Emily Wearmouth: É, você pode sair correndo da sala pensando "ufa!". Dessa vez eu me safei. Ninguém tinha perguntas. Mas
na verdade
é um indício de que eles possivelmente não estavam prestando atenção no que você estava dizendo, e perguntas costumam ser uma coisa boa. 0:19:25 Nycholas Szucko: Exatamente.

0:19:26 Emily Wearmouth: Quero falar sobre IA agente. Então, acho que havia uma estatística da Gartner, que tenho aqui, de que até 2028 15% das decisões de negócios diárias serão tomadas de forma autônoma usando IA agente. Faltando apenas dois anos para 2028, 15% das decisões de negócios serão tomadas por máquinas em vez de humanos, o que representa uma parcela considerável. E eu me perguntei se essa ascensão da força de trabalho proativa, se você está vendo isso mudar a forma como os conselhos administrativos enxergam os líderes de TI, se eles estão sendo vistos mais como líderes de RH? O papel deles está mudando de alguma forma porque agora eles são vistos como os mestres dessa New força de trabalho?

0:20:04 Nycholas Szucko: Sim. Um exemplo que eu estava dando para uma empresa de varejo era o seguinte: imagine seu departamento de compras composto apenas por agentes de IA, e cada agente de IA teria sua própria identidade, seu próprio cartão de crédito para poder tomar decisões e finalizar transações. E quando falamos sobre isso pela primeira vez, eles dizem: não, isso é impossível. Não, é possível neste momento. E você vai reduzir o custo de muitos no processo de aquisição. Sim, no início precisamos lembrar que o investimento inicial é maior que o retorno do primeiro ano, pois precisamos investir em cibersegurança, proteção de dados e no projeto para implementar esse departamento de IA para vocês. Mas depois disso, você vai se surpreender com a produtividade e os insights que esse departamento trará para o seu negócio. E quando falamos sobre esse tipo de abordagem, o CISO e o CIO podem desempenhar um papel muito importante para ajudar a compreender profundamente a tecnologia e como ela se traduz para o negócio, sendo eles os responsáveis por liderar o projeto em conjunto com o líder de compras. Porque o responsável pelas compras sabe tudo sobre o departamento, o processo e tudo o mais. E o CIO pode ensinar como
tecnologia pode ajudar nesses processos nas tarefas diárias e pode ser uma ótima forma
trabalho em equipe, alinhada aos negócios. 0:21:35 Emily Wearmouth: Sim, trabalho em equipe como na orquestra que você mencionou no início.

0:21:38 Nycholas Szucko: Ah, boa ideia.

0:21:43 Emily Wearmouth: Tudo bem. Sobre o que mais eu queria te perguntar hoje? Ah, aqui está uma. Uma frustração que surgiu das equipes de tecnologia durante a pesquisa foi que elas são envolvidas no ciclo de planejamento estratégico muito tarde, quando as decisões já foram tomadas, inclusive dentro das unidades de negócios, em relação a grandes iniciativas de IA ou New fornecedores de nuvem que estão sendo integrados à organização, e elas estão sempre correndo atrás do prejuízo. E creio que 63% dos líderes de TI disseram sentir-se completamente alheios às conversas estratégicas que moldam ativamente as decisões de TI. Como as pessoas podem se envolver muito mais cedo nessas conversas? Como você passa de uma postura reativa para uma postura quase consultiva
digamos assim
dentro da empresa? 0:22:28 Nycholas Szucko: Lembra das nossas conversas anteriores sobre prestar serviços à outra pessoa, ao outro departamento? Não, precisamos ser proativos porque a situação não vai mudar da noite para o dia. Não será algo forçado. Agora você precisa incorporar a cibersegurança para o futuro. E isso é difícil. Tente ser proativo, agende uma reunião, uma primeira reunião apenas para entender o departamento. Em segundo lugar, apenas para entender as necessidades. Terceiro, promover um diálogo mais amplo sobre as possibilidades. E essa pessoa vai entender que você não está lá para bloquear os projetos, porque lembre-se que muitos CIOs e CISOs do passado tinham esse tipo de abordagem. Você não vai lançar o produto, você não pode fazer isso. É preciso haver alinhamento como parceiro para viabilizar o negócio e o New produto, mas sempre compartilhando os riscos e os possíveis impactos. E a decisão final, você precisa se lembrar, não é uma decisão sua, é uma decisão de negócios. Quem é o proprietário do produto? O CEO que dirige a empresa. Você será um ótimo candidato se puder fornecer o máximo de informações possível. Auxílio nesse processo educacional para que seja possível participar desde o início. Vai levar tempo, mas você precisa começar a fazer isso agora mesmo. E me lembro de um caso com uma grande empresa financeira aqui no Brasil, em que ele conseguiu, como posso dizer, infiltrar uma pessoa da equipe de segurança cibernética em cada esquadrão da empresa. Mas sim, a pessoa infiltrada no sistema de cibersegurança não era necessariamente uma profissional com habilidades técnicas avançadas, mas sim alguém com melhores habilidades de comunicação e negociação. A
é outra habilidade muito importante para todos
0:24:24 Emily Wearmouth: É interessante porque, quando você pensa em como as grandes organizações são estruturadas, muitas vezes a equipe de RH tem, dentro do departamento, um parceiro de negócios alinhado a outras unidades de negócios, e a equipe de finanças terá parceiros de negócios alinhados ao marketing, por exemplo. Mas a equipe de tecnologia geralmente não atua como parceira de negócios, talvez nas maiores organizações, mas também não costuma atuar dessa forma
infiltrando-se em todas as outras equipes e tendo alguém trabalhando diretamente com elas para antecipar esses projetos ou influenciá-los imediatamente após
início. 0:25:01 Nycholas Szucko: Exatamente. Acho que essa é uma abordagem realmente muito boa. E a segunda é que o processo de educação se estende à empresa. Não é apenas no mês da cibersegurança, em novembro, que você terá seminários e palestrantes; você precisa encontrar uma maneira de falar sobre o assunto mensalmente. Não, apenas um exemplo. Quando trabalhamos em uma indústria, eles têm apenas um minuto para segurança. Quando o gerente geral da fábrica inicia a reunião, ele diz alguma coisa. Infelizmente, quando um incidente acontece, acontece. Por isso, o New processo ou procedimento é este New . Haverá um treinamento nas próximas semanas. Todos precisam comparecer para a segurança de todos aqui presentes. Por que você não pode dedicar um minuto sequer à segurança cibernética. Já que não temos apenas segurança, que tenhamos também proteção. Mas você precisa entender essas dinâmicas e tentar participar ou atenuá-las. Repita a mesma abordagem, pois ela já está funcionando.
não precisa reinventar tudo
0:26:07 Emily Wearmouth: Quero falar sobre, bem, aqui nós chamamos de curativos adesivos, Band-Aids. Não sei qual é
palavra portuguesa para curativo ou bandagem, mas é
isso que vamos falar a seguir. 0:26:16 Nycholas Szucko: Band-aid ressoa conosco.

0:26:18 Emily Wearmouth: Band-Aid funciona. Ok, vamos falar sobre curativos adesivos. A pesquisa constatou que soluções paliativas são frequentemente adotadas em compras de tecnologia justamente porque há uma falta de apoio da alta administração para implementar mudanças mais estratégicas, que todos sabem que precisam ser feitas. Todo mundo sabe que esses paliativos são soluções de curto prazo que tentam remediar um problema, mas que podem acabar criando outro no futuro. E a pesquisa com CIOs revelou que 36% deles, ou seja, um terço, acreditavam que seus negócios estavam investindo em infraestrutura de TI, mas ainda se limitando a soluções paliativas em vez de correções arquitetônicas mais robustas. E eu me perguntava se você teria alguma dica sobre como um líder pode ajudar a transformar esse investimento de "aqui está um problema pontual e vamos resolvê-lo" para "segure-me a mão, vou guiá-lo por algo que pode parecer bastante assustador, mas vamos fazer uma grande modernização para que possamos usar menos soluções paliativas no futuro". Como você muda essa conversa?

0:27:18 Nycholas Szucko: Só para dar um exemplo da minha carreira, eu trabalhava em um grande provedor de nuvem. Comecei a trabalhar nisso um ano antes da pandemia e, quando a pandemia começou, todos precisaram migrar para a nuvem no dia seguinte. E quando decidem migrar para a nuvem, fazem a migração tal como está. Da mesma forma que existem aviões dentro do meu centro de dados, eu me movo para a nuvem. Não é apenas um desastre do ponto de vista da segurança cibernética, porque a superfície de ataque é muito maior. Um pequeno problema transformou-se num problema enorme. Mas o consumo, porque se você operar da mesma forma que em nosso centro de dados, a fatura no final do mês será enorme. Era a primeira vez que eu tentava lidar com esse tipo de situação. Quando você é uma empresa nativa da nuvem, acho que é fácil porque você pode aproveitar todos os benefícios. Começamos a programar a nuvem, os contêineres e tudo o mais. Mas precisamos lembrar que muitas empresas são do ramo tradicional de negócios. Sim, eles têm parte do negócio na nuvem, mas também possuem muitos sistemas legados. Essa sugestão, porém, precisa ser analisada em partes, pois não vai resolver tudo de um dia para o outro. Não, a primeira coisa que sugiro é elaborar um plano das camadas de segurança cibernética que você possui em toda a empresa. O número que eu vi no passado era referente às grandes empresas: elas têm pelo menos 70 produtos para proteger a empresa e cerca de 30 fornecedores para dar suporte a esse processo. Agora que temos a tecnologia, é exatamente por isso que não podemos ter uma abordagem de plataforma com setenta participantes no mercado de cibersegurança. Talvez você tenha 30 bons, talvez 20.

0:29:06 Nycholas Szucko: E tendo essa abordagem de plataforma, você pode começar a integração nessa New arquitetura, todo o processo, os produtos. E, por favor, entenda que você terá talvez 5% da tecnologia presente no seu data center em um pequeno computador que você não poderá atualizar. Mas será em uma sala escura, com muita vigilância para evitar que alguém entre, sem acesso à internet. Mas é um projeto que exige que você diga: "Estamos aqui". O projeto, com duração de três anos, visa reduzir os riscos, aumentar a eficiência e tentar consolidar algumas operações. Porque
lembre-se, se você tiver 70 produtos para cibersegurança, terá muitos silos
é impossível conectar tudo da mesma forma e encontrar um incidente em meio a tantos eventos. 0:29:58 Emily Wearmouth: Sim. E acho que é aí que você se depara com uma crise de habilidades, porque precisa de especialistas para cada elemento dentro da sua estrutura. Você vai se deparar com problemas de equipe. Sim, exatamente. Então, suponho que o que você está dizendo é para construir uma estratégia de plataforma, mas depois você pode adotar uma abordagem passo a passo, integrando diferentes partes do negócio a ela. Mas se você tiver a plataforma certa, com o tempo poderá adicionar recursos a ela
de forma a seguir na direção correta sem
isso cause um grande impacto no sistema. 0:30:26 Nycholas Szucko: Isso mesmo. E o último conselho sobre isso seria focar nas coisas mais fáceis de alcançar. Porque você consegue imaginar depois de três meses, não. Na próxima reunião do conselho, vocês já demonstram bastante consolidação, talvez reduzindo o custo do contrato principal ou fazendo um contrato melhor, porque conseguimos consolidar mais tecnologia pelo mesmo preço. Ao garantir essa vitória para a próxima reunião, você ganhará pontos. Este é um jogo de acumular pontos para conseguir mais espaço na reunião e,
posso dizer,
responsabilidade neste processo também. 0:31:00 Emily Wearmouth: No Reino Unido, chamaríamos isso de "pontos extras" que você ganha com uma equipe de liderança sênior ideal.

0:31:05 Nycholas Szucko: Muito melhor.

0:31:08 Emily Wearmouth: Nycholas, esta foi uma conversa extremamente interessante e eu agradeço muito. Basicamente, apresentei vários dados e você os interpretou, oferecendo abordagens construtivas e práticas que nossos ouvintes podem adotar, motivados por comportamentos inadequados que os dados indicam, e como podem melhorar e otimizar as coisas em suas próprias organizações. Agradeço imensamente
todas as informações e conhecimentos que vocês compartilharam conosco hoje
0:31:35 Nycholas Szucko: Não, é um prazer estar aqui. Espero que o público consiga entender meu inglês. Talvez você possa adicionar legendas para garantir que todos entendam, mas foi incrível ter isso.

0:31:46 Emily Wearmouth: Brilhante.

0:31:47 Nycholas Szucko: Obrigado. E basicamente estou aqui no Brasil. Toda a minha experiência na América Latina vem da gestão de negócios aqui. Precisamos lembrar que somos uma região emergente. Talvez as coisas que estou compartilhando aqui, direcionadas a um público mais maduro, não sejam bem recebidas. Mas sempre podemos tirar boas ideias dessa conversa incrível. E obrigada pela oportunidade, Emily.

0:32:12 Emily Wearmouth: Acho que muito do que você disse terá repercussão e será muito útil para empresas em todo o mundo. Você esteve ouvindo o podcast Security Visionaries e eu fui sua apresentadora, Emily Wearmouth. Confira nosso catálogo anterior no Spotify, Apple Podcasts ou YouTube para outros episódios incríveis com especialistas excelentes compartilhando informações muito úteis. Todos os episódios são apresentados por mim ou pelos meus co-apresentadores, Max Havey e Bailey Popp. E nos vemos na próxima.