Emily Wearmouth: Olá e bem-vindos ao podcast Security Visionaries, um lugar onde convidamos líderes em segurança cibernética para conversar conosco sobre assuntos interessantes. E hoje estamos fazendo exatamente isso, discutindo o papel de um NED ou diretor não executivo. Sou a anfitriã, Emily Wearmouth, e vou apresentar meus convidados. Richard Starnes é o CISO da Six Degrees e também é diretor não executivo do Cyber Resilience Centre for London, além de diretor da escola Lenham School, em Kent, como parte do Cyber Governors Scheme. Ele trabalhou nos Estados Unidos e no Reino Unido e se junta ao nosso clube de elite de convidados que também ocuparam cargos policiais, o que eu sempre gosto de envolver no podcast. Ele recebeu o prêmio ISC2 CEO e foi nomeado um dos 50 melhores profissionais de segurança da informação.
Richard Starnes: Muito obrigado, senhor.
Emily Wearmouth: Minha segunda convidada é Homaira Akbari, ela é presidente e CEO da AKnowledge Partners, uma empresa de consultoria global, e ocupou cargos de gerência sênior em várias grandes organizações, incluindo Microsoft e Thales. Mas nós a convidamos para se juntar a nós hoje porque ela tem uma vasta experiência em liderança de conselhos, atuando em seis conselhos de administração de empresas públicas e 15 de empresas privadas. Atualmente, ela é diretora não executiva no conselho do Banco Santander e também desempenha a mesma função na Landstar System. Como se isso não bastasse, ela também é autora de mais de 50 artigos científicos em revistas internacionais. Ela tem duas patentes e um doutorado em física de partículas, o que é muito legal, por isso estou muito feliz que a senhora tenha se juntado a nós hoje. Obrigado por estar aqui, Homaira.
Homaira Akbari: Bem, obrigada, Emily.
Emily Wearmouth: Então, vou começar com a pergunta óbvia e vou começar fazendo essa pergunta para o senhor, Richard. O que é um diretor não executivo?
Richard Starnes: Vou usar uma frase em inglês que é um pouco como uma pergunta sobre o comprimento de um pedaço de barbante, que varia muito dependendo do setor em que o senhor tem um cargo de NED, do tamanho e de uma infinidade de coisas diferentes. Portanto, depende um pouco.
Emily Wearmouth: [risos] Homaira, a senhora pode nos ajudar? O senhor pode se aprofundar um pouco mais? Quais são algumas das características gerais da função de um diretor não executivo?
Homaira Akbari: Sim, todas as empresas, sejam elas privadas ou públicas, devem ter uma governança. O que significa governança? Significa um grupo de pessoas chamado conselho de administração, que assume a responsabilidade e a responsabilidade fiduciária, especificamente fiduciária, e o dever de cuidar de todos os princípios dessa empresa, a partir dos estatutos e do ritmo dos negócios, dos objetivos da estratégia, e realmente tem controle e equilíbrio também em relação aos regulamentos e à conformidade.
Homaira Akbari: Então, esse é o conselho de administração. E dentro do conselho de administração, o senhor tem um grupo de pessoas que, por exemplo, o diretor executivo da empresa, que normalmente se tornaria um diretor da empresa, mas obviamente é um executivo. No Reino Unido, é comum que o CFO, diretor financeiro, também seja diretor, mas nos EUA ou em muitos outros países, na verdade, essa tendência ou prática foi descontinuada. Normalmente, apenas o CEO é o executivo e o senhor pode ter ex-executivos que fazem parte do conselho de administração. Mas quando o senhor tem alguém que é independente da empresa, que não trabalhou para a empresa no passado, nem prestou consultoria à empresa no passado, nem esteve intimamente associado a ela, pelo menos no passado recente, às vezes cinco anos, por exemplo, um auditor, sócio de grandes empresas de auditoria, então o senhor os chamaria de diretores não executivos.
Emily Wearmouth: Richard, a distância, a maior independência da equipe executiva implica que eles não são pagos? Isso ainda é um relacionamento comercial? O senhor ainda tem algum tipo de emprego?
Richard Starnes: Acho que emprego pode ser um tipo de distinção interessante, mas alguns são pagos e outros não. Isso depende da própria placa. Para organizações sem fins lucrativos menores ou para diretorias profissionais menores, geralmente não são remuneradas, certamente no nível da Homaira. E tenho que ser honesto, depois de ouvir sua apresentação, Homaira, estou sentindo um pouco da síndrome do impostor aqui.
Emily Wearmouth: Ela é impressionante, não é?
Richard Starnes: Muito impressionante. Que diabos estou fazendo aqui? Mas esses tipos de cargos são obviamente remunerados.
Homaira Akbari: Se me permite acrescentar, antes de mais nada, Richard, muito obrigada ao senhor. E estou muito feliz por estar com o senhor nesta ligação. E acho que as diferentes origens tornam isso muito interessante. Mas a senhora mencionou, Emily, o comercial. Na verdade, não há nenhuma relação comercial entre um NED, ou não deveria haver, porque eles são, de fato, responsáveis fiduciários por todos os acionistas, mesmo os sem fins lucrativos. Também estou, como disse Richard, em uma organização sem fins lucrativos, não apenas o senhor não é pago, mas realmente paga. O senhor precisa pagar porque não tem fins lucrativos e eles precisam de fundos. Mas, independentemente de ser com ou sem fins lucrativos, o senhor tem efetivamente responsabilidade fiduciária para com outros acionistas da empresa ou outros participantes, se preferir, ou membros.
Homaira Akbari: E, portanto, quando o senhor mencionou a palavra comercial, eu diria que há uma relação comercial. Mas, sim, as diretorias de empresas com fins lucrativos geralmente são pagas. E a razão para isso é que há muito trabalho envolvido em fazer isso. E, novamente, o senhor tem o dever de cuidado e a responsabilidade fiduciária. E se o senhor não cumprir essa responsabilidade fiduciária, estará sujeito a ações judiciais por parte dos acionistas. Portanto, o senhor é pago de forma geral. A maioria dos conselhos paga adequadamente, mas não é lucrativo se o senhor quiser.
Emily Wearmouth: Na verdade, fui a um evento recentemente e ouvi dois NEDs conversando, e ambos concordaram que ninguém entra na empresa pelo dinheiro. O senhor entra nisso por vários motivos. E há uma compensação, mas ninguém está nisso pelo dinheiro. Mas eu estava bastante interessado, eles estavam falando sobre, e os dois senhores também estão desempenhando vários papéis ao mesmo tempo. Então, qual é o tipo de compromisso médio de tempo? Existe uma média ou ela varia?
Homaira Akbari: Sim. Isso varia de acordo com a placa. Mas, em média, se falarmos de um conselho de administração público e, digamos, de um conselho de administração de média capitalização, uma capitalização de mercado de 10 bilhões, e talvez eu use a European, a empresa europeia, que é de média capitalização, eles geralmente se reúnem cinco vezes por ano, das quais quatro vezes por ano são realmente reuniões do conselho. E uma vez por ano é uma estratégia, se o senhor preferir. Portanto, eles não fazem um conselho, mas fazem uma estratégia. Eles visitam as subsidiárias, visitam as operações. E para essas cinco vezes, se quiser, o senhor provavelmente, dependendo de onde vem, viajará de dois a três dias, incluindo as reuniões. Assim, pode-se dizer que o senhor se envolve com um conselho de administração cerca de 15 a 17 dias pessoalmente e, depois, provavelmente mais 10 a 15 dias espalhados pelo ano virtualmente para chamadas virtuais e também para a preparação das reuniões. Portanto, para uma única diretoria, o senhor pode considerar algo entre 25 e 30 dias por ano, o que é muito, mas não muito.
Emily Wearmouth: Certo. É muito. Sim. Sim. Certamente não é um trabalho de tempo integral, mas acho que é mais do que eu talvez estivesse pensando, pois o número de diretorias em que algumas pessoas participam parece exigir bastante tempo. Richard, qual é a experiência do senhor? E estou bastante interessado nesse programa de governadores cibernéticos, portanto, falaremos sobre isso com um pouco mais de detalhes daqui a pouco, mas quando o senhor está pensando em se envolver nessas funções em uma organização menor, talvez uma organização sem fins lucrativos, talvez uma escola, qual é o tipo de compromisso de tempo que isso implica?
Richard Starnes: Eu diria que o compromisso de tempo tende a ser de 15 a 20 dias por diretoria. Não é tão pesado quanto um compromisso, mas uma das coisas que Homaira estava falando é sobre o que eu diria que seria uma situação normal. Há um cuidado com diferentes tipos de diretores sobre o qual eu gostaria de falar. Os senhores têm diretores que, às vezes, perdem o rumo do que deveriam estar fazendo e começam a deixar de ser diretores e passam a ser... Eu diria que um executivo ou um conselho é um pouco mais ativo nos aspectos operacionais da empresa do que deveria. Esse é um tipo de advertência, eu diria que o senhor precisa se lembrar do que está fazendo e por que está fazendo.
Emily Wearmouth: Nesse sentido, este é um podcast ouvido por pessoas que são líderes em segurança cibernética. E a razão pela qual estamos tendo essa conversa é que percebi que muitas pessoas, à medida que avançam em suas carreiras, começam a ver funções de diretor não executivo adicionadas aos currículos e aos perfis do LinkedIn à medida que as pessoas sobem na carreira. E eu queria saber qual é a perspectiva do senhor sobre o motivo disso? Qual é o apelo para assumir essas funções à medida que o senhor se torna uma pessoa sênior na área de segurança cibernética? Richard, o que atraiu o senhor?
Richard Starnes: Para mim, foi... Estou começando a chegar ao final da minha carreira e estou cada vez mais consciente de que devo retribuir. Sempre retribuí ao longo da minha carreira, mas acho que cabe a mim, neste momento da minha carreira e da minha vida, começar a retribuir mais à profissão e mais à comunidade. E é por isso que participei desses dois conselhos para fazer isso.
Emily Wearmouth: Então, isso parece deliciosamente altruísta, mas certamente há também uma espécie de benefício profissional em ter esses nomes em seu currículo. Homaira, qual é a sua opinião? O que levou o senhor a esse tipo de papel?
Homaira Akbari: Bem, acho que o que o senhor descreveu é absolutamente verdadeiro. Em geral, e historicamente, isso tem sido feito...&Participar de conselhos de administração, principalmente quando se entra na segunda metade da carreira ou na terceira metade da carreira, se estiver na terceira parte da carreira, mas também porque é preciso ter experiência, e isso é muito importante, experiência em governança, ou experiência executiva, ou ser CEO e administrar uma empresa e ser proprietário de uma empresa, porque é preciso ter uma experiência completa quando se está no conselho. Dito isso, há cerca de 15 anos, ou até mesmo em algum lugar entre 15 e 20 anos atrás, começou uma tendência, que começou primeiro na Europa e, especificamente, na Noruega, onde eles perceberam que muitos conselhos de administração, se não todos, eram ocupados por homens e eles queriam fazer a diversificação de gênero.
Homaira Akbari: E, como resultado, eles criaram leis que obrigam todos os conselhos de administração a ter entre 30% e 40% de mulheres em seus quadros. Como resultado, muitos conselhos de administração começaram a se diversificar antes de a regra entrar em vigor e passaram a ter membros do conselho do sexo feminino, que talvez fosse a primeira vez que eram membros do conselho e, com frequência, eram mais jovens e não necessariamente na segunda metade ou terceira parte da carreira. Portanto, hoje em dia, se o senhor observar os conselhos de administração, eles estão muito mais diversificados, não apenas por gênero, mas também por raça, mas também por idade. Então o senhor tem... E isso se tornou ainda mais pronunciado quando a digitalização se tornou uma realidade e todos perceberam, todas as empresas perceberam que precisavam fazer a transformação digital. Adivinhe? A maioria das pessoas que sabiam como fazer a transformação digital era mais jovem. Assim, os conselhos tornaram-se mais flexíveis para, por exemplo, ter membros do conselho com até 35 anos de idade ou até mais jovens do que se o senhor voltasse três décadas atrás, a idade média seria muito, muito maior do que isso, provavelmente no final dos anos 50 ou 60. Atualmente, a idade média está diminuindo um pouco a cada ano.
Homaira Akbari: Mas eu acredito muito que o senhor precisa de tudo em um quadro. O senhor precisa dessa diversificação em termos de idade, tecnologia, experiência, formação, gênero, raça... E acho que os conselhos que fizeram isso, a maioria dos conselhos públicos, se beneficiaram muito com isso.
Emily Wearmouth: Eu vi uma pesquisa da McKinsey que dizia... Esse estudo analisou especificamente 100 conselhos de administração e disse que aqueles com uma equipe mais diversificada tiveram melhor desempenho nos resultados. Portanto, definitivamente parece ser a direção certa para um conselho de administração seguir.
Richard Starnes: Absolutamente, não poderia concordar mais com o senhor. Convocamos um conselho consultivo para o Centro de Resiliência Cibernética de Londres e eu o presidi e fui muito, muito específico ao analisar os dados demográficos de Londres e garantir que os dados demográficos de Londres correspondessem aos dados demográficos do conselho. E acho que nos beneficiamos muito com isso. 40% do nosso conselho consultivo são mulheres.
Emily Wearmouth: É muito bom ouvir isso.
Homaira Akbari: Fantástico. Parabéns.
Emily Wearmouth: Posso afirmar, então, que se a transformação digital foi um fator que impulsionou a obtenção de maior diversidade e, talvez, uma composição mais jovem em um conselho de administração, poderíamos analisar alguns dos desafios que as organizações estão enfrentando atualmente e um deles, o que está no topo do meu radar, é um cenário de ameaças que evolui muito rapidamente. Isso poderia significar que alguém com experiência cibernética está trazendo hoje um conjunto de habilidades muito mais atraente para um conselho de administração do que talvez trouxesse há 10 anos e, portanto, poderíamos ver um aumento no número de profissionais de segurança cibernética que encontram esses cargos no conselho?
Homaira Akbari: A resposta é sim e não. [risos] No sentido de que, obviamente, se o senhor tiver conhecimento de segurança cibernética e se quiser, poderá ser considerado especialista em segurança cibernética. Isso é positivo, mas, por si só, não é suficiente.
Emily Wearmouth: Certo.
Homaira Akbari: Embora isso possa acrescentar muito à sua candidatura, não é suficiente. Porque no conselho, o senhor se lembra, os conselhos variam, seu tamanho varia de sete a 15 ou mais, e todos são importantes nos conselhos. E, como discutimos anteriormente, por exemplo, se o seu conselho tiver 12 membros, talvez três ou quatro sejam executivos ou ex-executivos. Portanto, agora o senhor só tem sete ou oito membros para escolher, e todos esses sete ou oito, se for, por exemplo, uma empresa internacional com presença no Brasil ou na China, vai querer uma representação dessas regiões geográficas, pois isso é muito importante. Portanto, o senhor não pode simplesmente escolher alguém só porque ele é brasileiro e, certo, ele foi um empresário no Brasil, portanto, preciso de alguém do Brasil. O que o senhor precisa fazer é que todos tenham várias coisas que possam trazer para a mesa.
Emily Wearmouth: Certo.
Homaira Akbari: Não há apenas uma aptidão, portanto, a segurança cibernética por si só não é suficiente. O que tenho visto, e aconselho muitos CISOs que, na verdade, estão interessados em participar de conselhos, é realmente expandir sua base de conhecimento, sua carreira, não apenas ser diretor de segurança da informação durante toda a vida, mas também fazer outras coisas. E, de fato, vimos CISOs que conseguiram fazer isso. E temos um exemplo muito poderoso no Banco Santander, onde nosso CISO, que estava lá há sete anos, agora fez a transição para se tornar o proprietário da P&L e o chefe de transformação para varejo e comercial, que é realmente um cargo muito importante na empresa.
Homaira Akbari: E esses exemplos são muito positivos. Eles são raros e muito poucos, mas estão começando a acontecer. A propósito, o mesmo se aplica ao CIO ou a qualquer outro, por exemplo, se o senhor for diretor de IA ou diretor de dados e tiver a ambição de se tornar membro do conselho, deve perceber que precisa se diversificar, diversificar sua carreira e ser uma pessoa completa. Porque é disso que a diretoria precisa. Agora, em todos os conselhos, fazemos uma matriz de escala e, na matriz de escala, dizemos: "Tudo bem, quais são as coisas de que precisamos para o conselho e quais são as que o senhor está trazendo para a mesa? E se o senhor marcar apenas a marca 2 de 15, isso não é suficiente.
Emily Wearmouth: Richard, há algo em que o senhor tenha trabalhado conscientemente e expandido sua experiência e suas credenciais para oferecer mais valor aos conselhos que atende?
Richard Starnes: Na verdade, nunca participei de um conselho como CISO. Vou dar um passo atrás e responder à sua pergunta original. A pergunta entre os CISOs tem sido, às vezes, mal formulada: um CISO deve fazer parte do conselho de administração? E minha resposta geral é não. E o motivo é que o senhor não pode fazer parte de um conselho de administração por causa de uma função específica que desempenha. O senhor tem que ser muito mais diversificado no que faz e suas experiências são uma coisa. A outra questão é: os CISOs devem se reportar à diretoria? Acredito que esse deveria ser o caso. E quando digo relatório, eles devem poder ter relatórios sobre o que estão fazendo. Se não for esse o caso, o conselho terá algum tipo de estrutura com comitês de risco ou de segurança que contarão com um membro do conselho. E eles certamente deveriam fazer parte disso. Mas, na minha opinião, o senhor não se torna um CISO só porque é um CISO.
Emily Wearmouth: Sim. E acho que o senhor entra no território de marcar sua própria lição de casa até certo ponto, não é? Se o senhor for tanto o CISO quanto o conselho que verifica o trabalho do CISO, há um pequeno conflito potencial.
Richard Starnes: Em geral, recomendo que os conselhos de administração tenham um especialista em segurança cibernética e/ou risco de segurança cibernética que não seja o CISO, porque alguém precisa verificar essa lição de casa.
Emily Wearmouth: Sim. Parece que isso faz sentido. Homaira, há... Seja por sua experiência pessoal ou por pessoas que a senhora viu entrar em alguns dos conselhos em que atua, há indivíduos que vieram de uma formação específica em segurança cibernética? Possivelmente, em uma organização muito diferente da diretoria que eles pretendem integrar. E o senhor tem alguma opinião sobre quais habilidades eles acrescentaram às suas credenciais de segurança cibernética para justificar seu lugar no conselho da empresa? Eles deveriam sair correndo e encontrar habilidades financeiras, por exemplo?
Homaira Akbari: Sim. Houve casos, devo dizer, em que a parte mais importante da carreira dessa pessoa foi fazer parte do ecossistema de segurança cibernética. Mas, novamente, eu disse antes, eles são muito mais amplos do que isso apenas. E, frequentemente, a propósito, mesmo para qualquer pessoa que queira se tornar membro de um conselho, se quiser estabelecer conjuntos de habilidades para ser membro de um conselho, o senhor pode começar com conselhos menores e, especificamente, conselhos privados, conselhos não públicos, conselhos apoiados por empreendimentos. E nesses conselhos, por exemplo, se a empresa for apoiada por capital de risco e for uma empresa cibernética, o senhor teria a oportunidade, mesmo como CISO, de fazer parte do conselho.
Homaira Akbari: E isso lhe dá, esse início lhe dá o gosto e as funções, as altas funções e o senhor vai aprendendo. Portanto, eu definitivamente sugeriria isso. Mas, mais uma vez, para as empresas de capital aberto, isso está se tornando muito competitivo e o senhor precisa ter a matriz de habilidades e o histórico, o histórico e a experiência necessários. Provavelmente, o senhor terá de marcar as marcas 10 a 12 para estar nessa empresa pública. E que, além da raça, do gênero e da diversidade da experiência e do histórico, o senhor já foi CEO? O senhor já foi responsável pelo P&L? E ou o senhor a tem ou não a tem. Se o senhor não tiver, não poderá marcá-las. Por isso, há algumas perguntas difíceis que o senhor precisa responder e leva tempo para chegar lá, e é por isso que, originalmente ou anos atrás, a maioria dos membros do conselho era formada por pessoas muito mais velhas, porque elas tinham feito muitas coisas diferentes ao longo de sua carreira e poderiam ter marcado essas responsabilidades ou matriz de habilidades.
Richard Starnes: Nós, no Reino Unido, temos governadores. Eles são semelhantes aos conselhos escolares nos EUA em alguns aspectos, mas não em todos. Pode ser chamado de programa do governador ou conselho do governador, mas é um cargo do tipo conselho não executivo. E esse é um bom lugar para aprender como os conselhos funcionam e identificar os membros do conselho que já estão lá há algum tempo e obter algum nível de contribuição e tutoria deles para aprender como funcionam todos esses processos, como funciona a governança, caso o senhor ainda não saiba, e fazer esse tipo de contribuição. O Cyber Governors Program (Programa de Governadores Cibernéticos) é um programa que está enfrentando alguns desafios, especialmente no que se refere à segurança cibernética no Reino Unido. E eles estão tentando trazer pessoas com experiência em segurança cibernética e TI para esses conselhos para ajudar as escolas a lidar com essas questões. Mas essa é uma boa maneira de o senhor obter algo do ponto de vista da experiência da diretoria e as diretorias obterem sua experiência do ponto de vista de TI, e o senhor obter algo e dar algo em troca ao mesmo tempo.
Emily Wearmouth: Essa parece ser uma ótima maneira de começar a marcar algumas das caixas de que Homaira falou e demonstrar que o senhor tem experiência em certos tipos de funções mais amplas. Mas eu também queria saber como o senhor faz para encontrar esse tipo de papel? Há algumas semanas, chamei minha atenção para um site que se parece um pouco com um quadro de empregos, mas para cargos de diretor não executivo. E eu estava dando uma olhada lá e há algumas coisas fascinantes listadas. Essa é a principal maneira pela qual os conselhos de administração encontram novos diretores não executivos ou é mais um toque discreto no ombro de alguém que conhece alguém? Na realidade, como essas funções estão identificando os candidatos e como os candidatos estão encontrando as funções?
Homaira Akbari: Claro. Há várias possibilidades. Por exemplo, há algo chamado BoardProspects. Acho que o senhor poderia acessar o site boardprospects.com... Há... Conheço algumas redes que são todas femininas. Às vezes, o senhor precisa fazer parte de um conselho de administração para entrar nessas redes. Acho que em todos os países existem institutos diretores. Por exemplo, nos EUA, é a National Association for Corporate Directors (Associação Nacional de Diretores Corporativos). E o senhor pode se tornar um membro, mesmo que não seja um diretor corporativo, participar de seus eventos e começar a conhecer pessoas. Portanto, há várias dessas situações.
Homaira Akbari: Também na segurança cibernética, há várias redes das quais o senhor pode fazer parte. Como eu disse anteriormente, uma das maneiras de aprender é também se tornar membro do conselho de administração de empresas privadas, pequenas empresas privadas. Isso significa que, se o senhor tiver um relacionamento com capitalistas de risco ou private equity, poderá tirar proveito disso e alavancar essa situação. Mas não há dúvida de que o senhor precisa fazer networking. Se o senhor acha que pode simplesmente sentar, ir a um site e se candidatar, é um pouco mais difícil do que, eu diria, encontrar um emprego.
Richard Starnes: A outra coisa que o senhor precisa considerar é que, em alguns aspectos, isso não é diferente de procurar emprego. Além do fato de que, só porque um conselho o aceita, o senhor precisa ter certeza de que quer fazer parte desse conselho. Especialmente se estiver abordando isso pela primeira vez, o senhor não pode simplesmente dizer: "Já me pediram, então sim". O senhor precisa se certificar de que há um bom ajuste, assim como faria em um emprego. E isso é do ponto de vista do que a empresa faz, qual é o nível de maturidade da empresa na governança em particular. Portanto, esses são os aspectos que o senhor também deve considerar.
Emily Wearmouth: Agora, quero virar um pouco a conversa de cabeça para baixo. Já falamos sobre o que os líderes de segurança cibernética podem trazer para uma função no conselho. Agora, quero dar uma olhada, pois vi os dois senhores falando no passado sobre opiniões a respeito do conhecimento de segurança cibernética que existe ou não entre os membros mais amplos do conselho, pessoas que não têm experiência em segurança cibernética. Só para começar, uma pergunta bem binária: o conhecimento sobre segurança cibernética nos conselhos de administração em geral é bom o suficiente?
Homaira Akbari: Algumas coisas. O senhor precisa perceber que muitos membros do conselho não apenas não conhecem a tecnologia cibernética, mas também não precisam... Hoje em dia, especialmente hoje em dia, os membros do conselho de administração não têm uma boa formação em tecnologia, porque eles passaram por isso e nem sequer... Por exemplo, quando foram para a faculdade de administração, a segurança cibernética não foi ensinada. Não era um curso. Hoje, a segurança cibernética é ensinada, a transformação digital é ensinada nas escolas de negócios. Portanto, para eles, esse é um tema bastante abstrato. E acho que uma das coisas que vimos com frequência é que eles não entendem o conceito do fato de que o senhor nunca está 100% seguro, não importa quanto dinheiro gaste. Portanto, o senhor precisa explicar isso a eles. E como o senhor tem que explicar, vai ser violado. Portanto, sua organização precisa estar preparada quando houver uma violação, como identificar a violação, como contê-la, como reagir a ela e como se recuperar dela.
Homaira Akbari: E isso é algo que eles não entendem, nem entendem qual é o investimento necessário para fazer isso. Proteção, eles entendem melhor. O senhor está bem. Construo muros e me protejo. O mesmo acontece com a cibernética. No ano passado, co-publiquei um livro chamado "Cyber Savvy Boardroom", que realmente tenta fornecer modelos mentais para os membros do conselho e dar a eles os conceitos básicos de segurança cibernética para que possam internalizar o conhecimento. Essa é a palavra-chave. O senhor precisa ser capaz de internalizar o que isso significa, cibernética e segurança cibernética, e como se defender. O senhor não precisa ser um especialista, mas precisa entender os conceitos. E os motivos pelos quais os hackers e os bandidos perseguem todas as empresas e o fato de que hoje, por causa do ransomware, todas as empresas são um alvo.
Homaira Akbari: Há dez anos, não era esse o caso. Somente se o senhor estivesse em determinado setor, seria visado, seja no setor financeiro ou de saúde. Mas o transporte era menos importante. Eles não têm muitos dados interessantes. Mas hoje, quando o senhor pode realmente usar ransomware e obter dinheiro até mesmo de municípios, até mesmo de organizações sem fins lucrativos, porque interrompe suas operações, ninguém mais está seguro. Portanto, essa é a chave. Portanto, acho que se trata de educação continuada. Acho que é continuar dando ênfase a isso. Isso não tem fim, com certeza. Mas tenho certeza de que o senhor Richard tem muitas... O senhor poderia acrescentar muito a este tópico.
Richard Starnes: Em resposta à pergunta, não, não têm. Mas minha resposta é: por que deveriam? Eles são executivos em seus próprios direitos e muito bons em suas próprias áreas de especialização. Minha resposta a isso é que, em geral, os CISOs precisam aprender a falar com a diretoria em uma linguagem que eles entendam, que é o risco comercial, que as diretorias entendem muito bem. E essa é a tradução que deve ser feita pelos CISOs. O senhor não sabe o que é um firewall, e não vou perder 15 minutos do seu tempo explicando-o, porque o senhor não se importa e não deveria. Mas o que um firewall faz é o seguinte. Isso reduz esses riscos para a empresa, e é por isso que os temos. Portanto, esse é o tipo de mudança de linguagem que eu acho que precisamos fazer entre a comunidade CISO: falar em linguagem de negócios.
Homaira Akbari: Concordo plenamente com o Richard. Acho que esse idioma... Lembro que participei de um evento com vários membros da diretoria, onde fiz um pequeno discurso e depois houve um debate. E então uma das integrantes do conselho me disse, bem, e ela realmente estava falando sério. Ela disse: "Acho que algumas dessas pessoas não falam inglês. Deveríamos mandá-los para aulas de idiomas."
[risos] Homaira Akbari: E eu pensei, ok. É exatamente o que o senhor acabou de dizer. Ela disse que, na verdade, eles não falam inglês.
[ Emily Wearmouth: É um ponto muito bom. Eu me pergunto se, quando esses incidentes ocorrem e, de repente, a segurança cibernética pode estar no topo da agenda de um conselho de administração, porque eles estão no meio de um incidente, e até mesmo vimos isso, algumas das escolas no Reino Unido, Richard, o senhor deve estar familiarizado com isso, sendo submetidas a ataques de ransomware e tendo pedidos de resgate feitos a elas. Essas são escolas públicas, ou seja, com dinheiro do governo. Eles não têm o dinheiro, mas todo mundo está sendo vítima disso. Quando esses incidentes ocorrem, ou quando os setores tomam conhecimento de incidentes ocorridos em organizações semelhantes, a situação muda e, de repente, o ciberespaço se torna desproporcionalmente focado na diretoria ou não? Estou tentando imaginar como essas conversas fluem e refluem nas considerações do conselho. Ele se move com os incidentes?
Homaira Akbari: A resposta é sim. Se eles não tinham um bom programa cibernético e foram pegos de surpresa, e há vários exemplos, não quero apontar, especialmente porque estou no setor. Mas talvez eu o faça, Target, Equifax, SolarWinds. E o impacto dessas violações foi enorme. E quando essas organizações não estavam totalmente preparadas e não tinham um programa completo, a situação se torna bastante caótica. E tem algumas consequências importantes, o que aconteceu com todas essas três empresas que citei, e continua acontecendo.
Richard Starnes: Escrevi um artigo recentemente sobre esse mesmo assunto, e estou sorrindo porque precisava de um gráfico para ele, e pedi à Dolly que escrevesse um gráfico sobre como é quando um conselho de administração está lidando com um incidente cibernético. E ele me desenhou um conselho de administração sentado em uma mesa. Havia papéis voando por toda parte. Havia pessoas gritando e berrando, e havia telas vermelhas piscando por toda parte, e minha reação imediata foi: se é assim que seu conselho se parece durante um incidente, a primeira coisa que o senhor deve fazer é demitir seu CISO. O senhor treinou para isso e, portanto, saberá como reagir a eles. A diretoria deve estar engajada. Eles deveriam passar por pelo menos um cenário por ano para entender completamente como essas coisas funcionam.
Richard Starnes: O ransomware é uma boa opção, e é muito fácil para certas pessoas... Sou ex-agente da lei, portanto, com meu chapéu de agente da lei, não quero pagar o resgate, quero colocar essas pessoas na cadeia. Mas, infelizmente, não é tão simples assim. Quando o senhor é uma empresa e sua capacidade de ganhar dinheiro ou sustentar a empresa lhe foi tirada, e está acumulando dívidas e perdendo clientes a cada minuto, às vezes é preciso fazer o impensável, que é pagar. Isso é altamente possível, mas o senhor precisa ser capaz de já ter passado por isso mentalmente e ter feito alguns desses cálculos para economizar tempo. E isso ocorre por meio de coisas como cenários.
Emily Wearmouth: Sim. Isso parece muito sensato. Costumava-se dizer que da boca das crianças brota a verdade. E acho que agora, pela boca de uma solicitação de IA, o senhor tende a descobrir quais são os estereótipos dos quais ela se alimenta. Fascinante. Portanto, vejo que estamos com pouco tempo. E Homaira tem uma reunião para ir. Presumo que seja uma reunião de diretoria. Então, vou encerrar por aqui. Mas muito obrigado aos senhores pelo seu tempo. O senhor está ouvindo o podcast Security Visionaries. Eu fui sua anfitriã, Emily Wearmouth. Se o senhor ainda não o fez, assine o podcast. Meu co-apresentador, o maravilhoso Max Havey, e eu gravamos novos episódios a cada duas semanas. Portanto, abordamos todos os tipos de tópicos interessantes e há algo para todos. Muito obrigado, Homaira. Obrigado, Richard, por estar conosco. Foi muito bom ter o senhor aqui.
Por que Netskope 
){kind=icon}
