Palavras que Funcionam: Neil Robinson, CISO da Virgin Money, sobre como falar de segurança para o poder.

Há algumas semanas, uma bomba explodiu no mundo da segurança.  

O modelo de IA de vanguarda da Anthropic, Claude Mythos, demonstrou ser capaz de encadear uma sequência de ataque de 32 etapas de forma autônoma. É o tipo de movimento lateral sofisticado e com múltiplos pontos de articulação que antes exigia que atacantes humanos de elite trabalhassem durante dias.  

Em poucas horas, os grupos de WhatsApp do CISO estavam em chamas. E em poucos dias, membros do conselho e executivos de alto escalão que nunca haviam feito uma pergunta sequer sobre segurança cibernética estavam, de repente, ligando para seus CISOs.  

Para muitos líderes de segurança que conheço, aquele momento representou uma mistura de validação e pressão.

Tive a oportunidade de aprofundar essa dinâmica com Neil Robinson, CISO da Virgin Money, em um episódio recente do podcast The Segment . Ele está há três anos implementando um programa de reforço de segurança de 52 milhões de libras na Virgin e refletiu profundamente sobre o que é realmente necessário para transformar discussões sobre segurança em ações organizacionais.  

Fluência em segurança: falar a língua do seu público

Logo no início da nossa conversa, Neil descreveu o papel do CISO como sendo, em muitos aspectos, o de um "contador de histórias principal". E então — porque Neil é, acima de tudo, honesto — ele imediatamente contestou a sua própria versão dos fatos.

“É verdade e é igualmente falso”, disse ele.

O que ele quis dizer é que o rótulo de "narrativa" pode dar a impressão de ser apenas propaganda ou marketing. Mas a verdadeira habilidade reside em traduzir riscos técnicos complexos e de rápida evolução em uma linguagem que realmente faça sentido para quem estiver falando, seja um cliente, um diretor de operações ou um engenheiro que precisa priorizar a aplicação de patches em detrimento do lançamento do produto.

Por exemplo:

• Com um cliente, pode ser uma conversa sobre como manter o software do telefone dele atualizado.  
• Com um diretor de operações (COO), o foco está nos serviços de negócios que estão em risco.  
• Com uma equipe de engenharia pressionada a entregar resultados mais rapidamente, surge o imperativo moral de proteger as pessoas cujos dados são de sua responsabilidade.  

Trata-se da mesma realidade de segurança, mas vista através da perspectiva de três conversas completamente diferentes.

Essa disciplina de priorizar o público é algo que muitos programas de segurança fazem de errado. As equipes de segurança tendem a adotar uma abordagem técnica, como pontuações CVE, MTTR ou métricas de superfície de ataque, enquanto as pessoas que precisam agir com base nas informações de segurança estão pensando em termos de impacto no cliente, continuidade operacional ou pressão competitiva.  

A lacuna entre essas duas linguagens é onde os programas de segurança perdem força.

Quando um ciclo de notícias se torna o ponto de partida perfeito para uma conversa sobre segurança

O momento marcante relacionado à IA que deu início à nossa conversa é, na verdade, um estudo de caso útil sobre como eventos externos podem alterar a dinâmica da comunicação interna para os CISOs.

Neil fez uma observação perspicaz: o anúncio atraiu tanta atenção em parte por causa de quem o fez.  

A Anthropic, uma empresa de IA de alto perfil com presença significativa na mídia, criou um evento noticioso que chamou a atenção de executivos e membros do conselho que normalmente não acompanham de perto a segurança cibernética.  

De repente, a conversa que os líderes de segurança vêm tentando ter há anos sobre operar na velocidade das máquinas e acompanhar o ritmo do cenário de ameaças encontrou um público interessado, em vez de indiferente.

“Há muitos membros do conselho e executivos comentando o anúncio da Anthropic”, disse Neil. “A capacidade de reagir na velocidade de uma máquina tem sido um tema que monitoramos na área de segurança cibernética há pelo menos um ano. Acho que o anúncio realmente ajuda nessa conversa.”

Para os líderes de segurança, a lição aqui não é sobre seguir modismos, mas sim reconhecer que eventos externos criam periodicamente oportunidades em que o interesse por conversas sérias sobre segurança no nível executivo aumenta consideravelmente. Os CISOs que estão preparados com uma narrativa clara e em linguagem simples sobre sua postura de segurança, seu perfil de risco e suas prioridades de investimento são os que realmente fazem progressos quando essas oportunidades surgem.

Neil teve o cuidado de abordar o assunto sem triunfalismo. Sim, é um momento de atenção redobrada. Mas também envolve partes interessadas que chegam ao tema a partir de pontos de partida muito diferentes e em ritmos distintos.  

“Precisamos dialogar seriamente com as pessoas que talvez estejam fora da bolha e não tenham acompanhado e observado as mudanças que estão acontecendo”, disse ele. “E temos que respeitar o fato de que as pessoas estão vindo de lugares diferentes em momentos diferentes.”

Esse tipo de paciência, de encontrar as pessoas onde elas estão em vez de onde você gostaria que elas estivessem, é uma habilidade prática que os CISOs precisam ter em seu conjunto de ferramentas.  

Conectar o trabalho de infraestrutura aos resultados para o cliente.

Um dos desafios mais persistentes em grandes programas de segurança é a enorme distância entre o trabalho técnico realizado no nível da infraestrutura e os resultados para o cliente que a organização realmente considera importantes.  

Aplicar patches em um dispositivo de rede, segmentar uma VLAN, atualizar um agente de endpoint — nada disso parece estar relacionado à segurança com que um cliente pode efetuar um pagamento ou à confiança de que seus dados estão protegidos.

Neil refletiu cuidadosamente sobre como colmatar essa lacuna dentro da Virgin Money, e a sua abordagem é direta. Tudo está interligado com o cliente.

“Nosso trabalho é manter os clientes do banco seguros, manter seus dados seguros, manter seus pagamentos seguros”, ele me disse. “Tudo o que fazemos é em prol disso.”

Isso parece óbvio quando você diz em voz alta. Mas manter essa orientação de forma consistente em uma equipe de segurança de 150 pessoas que fazem de tudo, desde gerenciamento de vulnerabilidades e segurança de aplicativos até controles de rede, exige um esforço deliberado.  

Mais importante ainda, requer líderes que consigam articular por que as coisas chatas são importantes. Por que a aplicação de patches em um sistema operacional antigo protege as economias do cliente. Por que um projeto de segmentação de rede limita o raio de impacto de um ataque de ransomware. Por que as horas dedicadas aos controles de conformidade ajudam a prevenir um evento regulatório que abalaria a confiança do cliente.

Isso é particularmente relevante para programas de Confiança Zero, onde grande parte do trabalho é invisível para os usuários finais e distante de qualquer resultado visível para o cliente.  

As equipes que desenvolvem políticas de microsegmentação ou implementam o princípio do menor privilégio não são as que ganham destaque na mídia. Tornar explícita, repetidamente, a conexão entre esse trabalho de infraestrutura e a missão central da organização é parte de como os líderes de segurança mantêm os programas financiados e priorizados.

O problema da correção: por que o julgamento humano ainda importa

Dedicamos boa parte da nossa conversa a algo que pode parecer banal, mas que na verdade é um dos testes de estresse mais reveladores de qualquer programa de segurança: o gerenciamento de patches.

O motivo pelo qual a aplicação de patches é tão difícil em grandes empresas é que a decisão sobre se deve ou não implantar um patch quase nunca é simples. O processo geralmente ocorre da seguinte forma:

• Você precisa saber o que está sendo executado no ativo.  
• Você precisa saber quem é o proprietário.  
• Você precisa saber quais aplicativos dependem dele e se eles foram testados com a atualização.  
• Você precisa de uma janela de alteração.  
• Você precisa de um aprovador.  
• Você precisa de evidências de que a correção realmente funciona em seu ambiente antes de implementá-la em produção.

Cada uma dessas etapas envolve decisões que abrangem várias equipes, e as consequências de errar em qualquer uma delas podem ser graves.

Neil descreveu um futuro com IA ativa, onde grande parte desse trabalho procedural é automatizado. Os agentes de IA serão capazes de percorrer bancos de dados de gerenciamento de configuração, correlacionar proprietários de ativos, apresentar o contexto relevante para aprovação humana e reduzir drasticamente o tempo entre a divulgação da vulnerabilidade e sua correção.  

Ele já viu startups criando protótipos exatamente desse tipo de fluxo de trabalho, principalmente para ambientes em nuvem.

Mas o motivo pelo qual ainda não chegamos lá, ele foi claro, é a governança. A implementação de agentes de IA autônomos em fluxos de trabalho operacionais críticos exige um nível de infraestrutura de controle de identidade, observabilidade e responsabilização que a maioria das organizações ainda não construiu.  

“É compreensível que sejamos muito conservadores em relação a permitir que modelos de IA operem de forma autônoma”, disse ele. “É preciso ter as proteções, e grande parte dessa infraestrutura também é bem restrita e monitorada.”

O desafio de comunicação para os líderes de segurança, neste caso, é exatamente o mesmo que o desafio geral. Como explicar a um conselho administrativo ou a uma comissão orçamentária por que investir em infraestrutura de governança para agentes de IA é uma prioridade de segurança, quando o benefício é abstrato e o custo é real?  

Você conta a história do que acontece se você não fizer isso. Significa que você terá um agente autônomo com acesso privilegiado, operando sem registros de auditoria, em uma arquitetura de segurança que nunca foi projetada para lidar com identidades não humanas.

Boa e honesta narrativa: o que os melhores líderes de segurança sempre souberam.

Existe um tema recorrente em tudo o que Neil disse que, na minha opinião, vai ao cerne da questão que faz com que os programas de segurança tenham sucesso ou fracassem em grande escala.  

A tecnologia quase nunca é o fator limitante. A questão é se os responsáveis pela segurança conseguem se comunicar com clareza suficiente, consistência suficiente e na linguagem adequada para o público certo, a fim de realmente mudar o comportamento em uma organização complexa.

Significa explicar a um diretor de operações (COO) o que "serviços empresariais importantes" realmente significam em termos de risco operacional. Mas também significa ser honesto sobre a incerteza.  

Neil foi sincero sobre o que ainda não sabemos a respeito das mais recentes capacidades de IA, como a viabilidade econômica da implantação desses modelos em escala criminal, o nível de ruído que geram ou a rapidez com que os equivalentes de código aberto atingirão a paridade.  

Uma boa narrativa de segurança comunica os níveis de risco, reconhece o que é desconhecido e concentra as ações naquilo que você pode controlar.

"Acho que, no fim das contas, chegaremos a um mundo melhor, onde os modelos de IA implantarão códigos seguros por conta própria", disse Neil. “Espero estar certo.”

Essa combinação de incerteza honesta sobre o futuro, fundamentada no otimismo em relação à trajetória e com um foco claro no que fazer agora, é exatamente o tipo de narrativa que impulsiona as organizações.  

É o que os melhores líderes de segurança sempre fizeram, e é mais valioso hoje do que nunca.

Ouça o episódio completo de The Segment: A Zero Trust Leadership Podcast em Podcasts da Apple, Spotify, ou nosso site.