Uncategorized

O que os executivos não entenderam sobre CIBERSEGURANÇA

O especialista do MIT Stuart Madnick explica por que melhorar a tecnologia de prevenção aos ataques é insuficiente |

Compartilhar:

Os ataques cibernéticos estão nas manchetes. Todos os tipos de organizações – de Target, Yahoo!, Sony Pictures e Bangladesh Bank ao Comitê Nacional Democrata nos Estados Unidos – têm sido vítimas deles nos últimos anos. Como compreender melhor as ameaças à segurança cibernética e o que fazer para proteger as empresas? 

O especialista em segurança cibernética Stuart Madnick, professor do Massachusetts Institute of Technology (MIT), oferece algumas respostas. Nesta entrevista, ele faz uma afirmação que pode surpreender muitos executivos: “Se você não abordar os aspectos gerenciais, organizacionais e estratégicos da cibersegurança, estará negligenciando as partes mais importantes”. 

Saiba mais sobre STUART MADNICK

Quem é: professor de tecnologias de informação da MIT Sloan School of Management e de sistemas de engenharia da MIT School of Engineering.
Relação com cibersegurança: ele é diretor do consórcio interdisciplinar do MIT voltado para melhorar a cibersegurança de infraestrutura crítica, conhecido como IC, que reúne também empresas e especialistas governamentais.
Experiência: estuda segurança digital há muito tempo. Seu primeiro livro sobre o assunto foi lançado em 1979.

**Por que o consórcio de cibersegurança do MIT, que o sr. lidera, escolheu se concentrar na infraestrutura crítica dos Estados Unidos?**

Grande parte da preocupação sobre cibersegurança se concentra em eventos como fraudes com cartões de crédito – o que é importante, claro, e não negligenciamos isso. No entanto, surpreendentemente pouca atenção tem sido dada aos ataques cibernéticos à infraestrutura de um país, aquela essencial para que a economia e a vida cotidiana funcionem. 

Você não ouviu muito sobre a explosão do oleoduto turco ou o colapso da usina de aço alemã, não é? E sobre o ataque cibernético à rede elétrica ucraniana que aconteceu perto do Natal de 2015? Provavelmente não também. 

Esses eventos envolvendo ataques à infraestrutura não recebem muita atenção da mídia. Eles não são tão “sexy” quanto e-mails das estrelas de cinema sendo revelados, mas seu impacto tende a ser muito maior. 

Isso não significa que vamos ignorar o resto, mas achamos que precisamos aumentar a atenção que prestamos à segurança cibernética da infraestrutura crítica. 

Algumas coisas são particularmente únicas nesse tipo de ataque. Pense em prevenção, por exemplo. E se um ciberataque fizer com que a rede elétrica do estado da Nova Inglaterra caia e permaneça caída por três meses? Que tipo de prevenção o governador de Massachusetts, o prefeito de Boston ou o MIT elaboraram para ficar três meses sem energia, já que esta vem de lá? A resposta é provavelmente “insuficiente”. 

Ficar sem energia por tanto tempo não é uma ideia absurda e tem consequências graves. Se seu computador pessoal apaga por um tempo, o que você faz quando a energia volta? Você o reinicia. Se isso não funciona, você o reformata e reinstala o sistema. Mas imagine se uma turbina de usina elétrica quebra por causa de um ciberataque. Você não pode simplesmente ir até a loja de turbinas do bairro. 

A usina de cogeração do MIT teve uma falha de turbina recentemente – não por um ciberataque, mas por um problema mecânico provocado por uma peça defeituosa. E levou três meses para reparar a turbina! Essas coisas são enormes e muita coisa não está disponível para pronta-entrega. 

**O que os executivos podem fazer para diminuir as vulnerabilidades de segurança cibernética de suas empresas?**

Se você não abordar os aspectos gerenciais, organizacionais e estratégicos da cibersegurança, estará negligenciando as partes mais importantes. Muitas pessoas estão trabalhando no desenvolvimento de hardware e software para segurança mais eficientes, e isso é bom. Entretanto, é apenas uma peça do quebra-cabeça. 

Estima-se que entre 50% e 80% de todos os ciberataques são ajudados ou instigados por _insiders_, em geral sem intenção – tipicamente por meio de algum tipo de _phishing_ [fraude que envolve e-mails falsos contendo um link ou anexo para clicar]. Os e-mails de _phishing_ de massa não direcionados têm taxa de abertura de 1% a 3%. No entanto, o _spear phishing_, altamente direcionado, é muito mais eficaz, com taxa de abertura de cerca de 70%. 

No _spear phishing_, você recebe um e-mail que parece vir de um executivo do alto escalão de sua empresa, que se refere a você pessoalmente e lhe pede que tome alguma ação específica condizente com sua função, como autorizar o acesso de um novo funcionário ou transferir fundos para um novo fornecedor. 

Portanto, se você não abordar as questões de pessoal, estará ignorando os problemas de cibersegurança realmente difíceis. Muitas das vulnerabilidades que existem nas organizações vêm da cultura corporativa que criamos e das práticas que temos. 

Dou alguns exemplos. Trabalhamos com refinarias de petróleo e uma pessoa que visitou a sede de uma delas me contou que, se você estiver subindo ou descendo as escadas sem segurar o corrimão, alguém vai lhe dizer: “Por favor, apoie-se no corrimão, por segurança” – esse conceito de segurança já está entranhado. Se você estiver andando pelo corredor digitando em seu celular, alguém vai alertá-lo: “Pare. Ou você escreve ou você anda. Não faça as duas coisas”. Isso porque eles entendem que, se fizerem algo errado, a fábrica pode explodir e pessoas podem morrer. A organização está impregnada dessa mentalidade de segurança. 

Quando você entra em qualquer planta industrial, frequentemente vê uma placa dizendo: “Estamos há 520 dias sem acidentes”. É a prova cabal da cultura de segurança disseminada. 

Agora, você alguma vez entrou em um centro de dados e viu uma placa dizendo: “Estamos há 520 milissegundos desde o último ataque cibernético bem-sucedido”? Você ao menos sabe quantas tentativas de ciberataques acontecem em sua empresa em um dia normal? Não. 

As organizações precisam desenvolver na segurança cibernética o mesmo tipo de cultura e mentalidade que têm em relação a acidentes de trabalho. 

Eu posso colocar uma trava mais forte em minha porta, mas, se ainda deixo a chave sob o tapete, realmente tornei minha casa mais segura? Embora seja uma simplificação exagerada, é isso que ocorre nas empresas: estamos construindo portas mais fortes, mas deixando chaves em toda parte. É por essa razão que os aspectos organizacionais e gerenciais da cibersegurança são tão críticos. 

**A cibersegurança tem de ser feita só na empresa ou em toda a sua cadeia de valor?**

Em toda a cadeia. As pessoas costumam usar a expressão “e2e” (_end to end_), de ponta a ponta. Sua peça do quebra-cabeça pode ser perfeitamente segura, mas, hoje em dia, todo mundo está interligado de uma forma ou de outra. 

A varejista Target sofreu uma invasão por meio de uma empresa de manutenção de aquecimento, ventilação e ar-condicionado, que teve acesso a alguns de seus sistemas. A plataforma de mensagens Swift, para instituições financeiras, foi usada para explorar vulnerabilidades do Bangladesh Bank, que perdeu US$ 63 milhões com o caso. 

**A didática história do ciberataque na Ucrânia, por Stuart Madnick**

A Ucrânia tem várias redes de energia elétrica separadas, muito parecidas com as dos EUA [e do Brasil]. Em dezembro de 2015, três dessas redes foram atacadas e caíram, e cerca de 225 mil pessoas ficaram sem energia por muitas horas.
Vários especialistas, particularmente dos EUA, foram à Ucrânia para entender exatamente o que aconteceu, eu incluído. Fiquei particularmente surpreso com duas das conclusões dos investigadores:

1. O ataque foi pouco sofisticado e, em certa medida, simples de replicar. Os hackers usaram sete técnicas para derrubar a rede elétrica, e todas estavam prontamente disponíveis para venda na internet. Nenhuma nova arma precisou ser desenvolvida; existe um enorme ecossistema de cibercrime operando na internet.
2. O ataque foi extremamente bem organizado. Os hackers montaram as sete armas em conjunto e fizeram coisas muito inteligentes. Eles não só derrubaram a rede elétrica, como desligaram o sistema de backup, por isso a empresa de energia teve dificuldade para voltar a operar. Também apagaram todos os discos rígidos, o que dificultou rastrear o que tinham feito. E eles ainda sobrecarregaram o centro de chamadas da provedora de energia para que os clientes não pudessem avisar da falta de luz.

**O sr. vê algum setor de atividade fazendo um bom trabalho na gestão de cibersegurança?** 

Eu classificaria os setores de ruins a terríveis. Nessa escala, os serviços financeiros provavelmente estão fazendo um trabalho melhor do que a maioria das outras indústrias. Por outro lado, são eles os alvos do maior número de ataques. Assim, mesmo que sejam duas vezes melhores na segurança cibernética, se sofrem quatro vezes mais ataques, não estão bem. 

Eu não sei qual setor é o mais fraco, mas os hospitais claramente estão disputando essa posição. Falemos dos ataques de ransomware, nos quais os computadores ficam “reféns”, a menos que os usuários paguem. Segundo um relatório recente, 88% de todos os ataques desse tipo em organizações ocorrem em hospitais, porque eles são alvos fáceis. Se um hospital está com seu sistema bloqueado por um _ransomware_, ele paga o resgate. 

Afinal, se seus computadores foram sequestrados, os pacientes estão em maior risco: a equipe não tem mais acesso a registros médicos atualizados, como resultados de exames e alterações de medicação, o que pode colocar a vida das pessoas em risco. 

**Que conselhos o sr. gostaria de dar aos executivos nessa área?**

Que pensem em uma abordagem com três vertentes: prevenção, detecção e recuperação. 

Prevenção é importante, mas não foi à toa que o Gartner Group recentemente publicou um relatório intitulado “Prevenção será inútil em 2020”. Isso é coerente com o que penso: se o Pentágono pode ser invadido, se a NSA [agência de segurança nacional dos EUA] pode ser hackeada, se as forças de defesa israelenses podem ser invadidas, por que você acha que sua empresa não vai ser atacada? 

Prevenção é importante, mas é preciso dar todos os três passos. Sabia que,de acordo com vários estudos, uma ciberinvasão pode levar mais de 200 dias para ser detectada? Eu li um relatório recente que diz que na Ásia essa média é de 520 dias – mais que o dobro. Ou seja, detecção é fundamental; nossa capacidade de detectar que algo estranho está acontecendo é muito fraca. 

No momento em que você descobre um ataque, os hackers provavelmente já reviraram tudo, roubaram documentos e fizeram um monte de coisas por bastante tempo. 

Eu brinco que, se todos os dias, às 4 horas da tarde, uma das pessoas que saem de um banco saísse com um carrinho de mão cheio de dinheiro, você acha que alguém notaria depois de alguns dias? Sim, provavelmente! Mas coisas como essas acontecem o tempo todo em sistemas de computador e ninguém está prestando atenção. Talvez não seja tão visual. 

Já a recuperação é feita muito ao acaso. Em geral, um CEO é pego despreparado quando alguém empurra um microfone na frente dele para falar sobre o ciberataque que foi descoberto em sua empresa. E isso é apenas parte da recuperação. Outras questões precisam ser descobertas: realmente limpamos nosso sistema ou o ataque ainda está acontecendo? Como ter certeza de que isso não acontecerá de novo semana que vem? 

A maioria das organizações é pobre na prevenção, muito ruim na detecção e terrível na recuperação. 

Outra brincadeira que faço é que, até pouco tempo atrás, a cibersegurança era uma tarefa que você atribuía ao estagiário assistente do programador júnior, e seu trabalho era ir de PC em PC para instalar os patches mais recentes da Microsoft. Agora vemos o CEO da empresa falando na TV quando um ciberataque é descoberto. Houve uma inversão total! 

Várias perguntas devem ser respondidas: qual é a educação sobre cibersegurança necessária em cada nível da organização? Qual é a preparação necessária? Como lidar com esses ataques? Os executivos precisam levar essas questões a sério.

Compartilhar:

Artigos relacionados

Quando um legado familiar redefine um pedaço da cidade

Construído sobre a área que durante décadas abrigou a fábrica e a recreativa da Tigre, o Cidade das Águas nasceu de uma pergunta pouco comum ao mercado imobiliário: antes de erguer torres, que tipo de bairro vale a pena construir?

A energia invisível da liderança – revelando a verdadeira natureza do “Ki” irradiado por Masao Ogura, da Yamato Transport

Da criação do Takkyubin à reinvenção da logística japonesa, a história de Masao Ogura, responsável por transformar a Yamato Transport em um dos maiores cases de inovação logística do Japão. Este artigo revela como os princípios das artes marciais podem oferecer novas perspectivas sobre cultura organizacional, inovação, tomada de decisão e liderança em tempos de transformação.

Ageivism: o que acontece quando as organizações envelhecem, mas suas ideias não?

Enquanto a longevidade transforma a composição da sociedade e do mercado de trabalho, muitas organizações continuam operando com modelos de gestão construídos para uma realidade demográfica que já não existe. Este artigo discute o conceito que desafia o jovem-centrismo corporativo e convida líderes a repensarem o valor da experiência, da diversidade geracional e da longevidade nas empresas.

Tecnologia & inteligencia artificial, Inovação & estratégia
16 de julho de 2026 08H00
Robôs humanoides deixaram de ser protótipo e entraram em produção comercial em série. Enquanto conselhos ainda debatem a IA generativa, a automação física avança sem esperar. O atraso não aparece no balanço, mas se acumula como dívida de reação.

Marcelo Murilo - Co-Fundador e VP de Inovação e Tecnologia do Grupo Benner, Embaixador e membro do Senior Advisory Board do Instituto Capitalismo Consciente Brasil. Embaixador e Membro da Comissão ESG da Board Academy BR.

10 minutos min de leitura
Empreendedorismo
15 de julho de 2026 15H00
Construído sobre a área que durante décadas abrigou a fábrica e a recreativa da Tigre, o Cidade das Águas nasceu de uma pergunta pouco comum ao mercado imobiliário: antes de erguer torres, que tipo de bairro vale a pena construir?

Sandra Regina da Silva - Jornalista especializada em gestão, inovação e negócios

12 minutos min de leitura
Inovação & estratégia, Marketing & growth, User Experience, UX
15 de julho de 2026 08H00
Enquanto a IA assume processos, diagnósticos e tarefas repetitivas, cresce a importância de competências exclusivamente humanas. O desafio das lideranças não é automatizar mais, mas decidir onde a presença humana gera valor que nenhuma tecnologia consegue reproduzir plenamente.

Ana Flavia Martins - CMO da Algar

3 minutos min de leitura
Liderança, Cultura organizacional, Inovação & estratégia
14 de julho de 2026 18H00
Da criação do Takkyubin à reinvenção da logística japonesa, a história de Masao Ogura, responsável por transformar a Yamato Transport em um dos maiores cases de inovação logística do Japão. Este artigo revela como os princípios das artes marciais podem oferecer novas perspectivas sobre cultura organizacional, inovação, tomada de decisão e liderança em tempos de transformação.

Kei Izawa - 7º Dan de Aikikai e ex-presidente da Federação Internacional de Aikido

16 minutos min de leitura
Lifelong learning, Estratégia, Marketing & growth
14 de julho de 2026 14H00
Este artigo mostra como os eventos corporativos se tornaram ambientes estratégicos de inteligência coletiva, capazes de ampliar repertório, antecipar tendências e reduzir incertezas para líderes e organizações.

Sidnei Metzner - Gestor nacional de vendas da WK

3 minutos min de leitura
Gestão de pessoas & arquitetura de trabalho, ESG
14 de julho de 2026 08H00
Enquanto a longevidade transforma a composição da sociedade e do mercado de trabalho, muitas organizações continuam operando com modelos de gestão construídos para uma realidade demográfica que já não existe. Este artigo discute o conceito que desafia o jovem-centrismo corporativo e convida líderes a repensarem o valor da experiência, da diversidade geracional e da longevidade nas empresas.

Fran Winandy - CEO da Acalântis Services, Consultora, Palestrante e Professora nas áreas de Diversidade Geracional, Etarismo e Longevidade

3 minutos min de leitura
Bem-estar & saúde, Cultura organizacional
13 de julho de 2026 14H00
Dados mostram o avanço da solidão no ambiente de trabalho, especialmente entre profissionais remotos. O texto propõe uma reflexão sobre como relações de confiança, segurança psicológica e capacidade de convivência se tornaram ativos estratégicos para a saúde organizacional.

Daniela Cais - Designer de Relações Profissionais, TEDx Speaker, Mentora de Comunicação para Carreiras e Negócios

7 minutos min de leitura
Inovação & estratégia
13 de julho de 2026 08H00
Durante décadas, empresas competiram por telas, cliques e atenção. Agora, à medida que agentes inteligentes passam a interpretar intenções e executar tarefas, o valor começa a migrar para outro lugar: dados, contexto e capacidade de decisão.

Ale Fu - Executiva de Tecnologia, Professora, Palestrante, além de coordenadora da Comissão de Estratégia e Inovação do IBGC e membro do Grupo de Trabalho de Inteligência Artificial da ABES

7 minutos min de leitura
Cultura organizacional, Gestão de pessoas & arquitetura de trabalho, User Experience, UX
12 de julho de 2026 13H00
Durante décadas, o mercado tratou a satisfação do cliente como prioridade absoluta. Este artigo questiona os limites dessa lógica e mostra como a normalização de abusos, agressões e desgastes emocionais está afetando a saúde mental dos trabalhadores e comprometendo a própria cultura das organizações.

Rennan Vilar - Diretor de Pessoas e Cultura do Grupo TODOS Internacional

5 minutos min de leitura
User Experience, UX, Inovação & estratégia
12 de julho de 2026 08H00
Em um mundo onde quase tudo pode ser comprado, o verdadeiro luxo deixou de ser exclusividade e passou a ser simplicidade. Este artigo mostra por que as empresas mais valiosas da próxima década serão aquelas capazes de eliminar complexidade, reduzir decisões e transformar experiência em significado.

Bruno Mazanek - CEO da Zanek

5 minutos min de leitura

Baixe agora mesmo a nossa nova edição!

Dossiê #173

A Geoeconomia entra no mundo corporativo

Baixe agora mesmo a nossa nova edição!

Dossiê #173

A Geoeconomia entra no mundo corporativo