Estamos disputando mão de obra com o crime organizado, diz especialista em cibersegurança

Denize Bacoccina

Um mercado bilionário, que tem vagas em aberto e dificuldade de encontrar profissionais qualificados em número suficiente. É assim o mercado de cibersegurança, um segmento da Tecnologia da Informação que cresce bem acima da média do setor e é essencial para todas as empresas, tenham ou não a tecnologia como base de seus negócios. O relatório IDC Predictions Brazil 2024, da consultoria especializada em inteligência de dados IDC, estima que o mercado de segurança da informação vai movimentar US$ 1,7 bilhão no Brasil neste ano, um aumento de 16% sobre o ano passado e três vezes superior à expansão do mercado de TI como um todo, que deve crescer 5,2% em 2024.

A IDC também estima que o mercado brasileiro terá um déficit de 140 mil profissionais de cibersegurança até 2025. Uma situação que não é só exclusividade do nosso país. No mundo todo, estima-se uma carência de 4 milhões de profissionais especializados no tema. No Brasil, a situação é agravada pela existência de quadrilhas dedicadas a fraudes nos meios digitais. “Nós estamos disputando hoje mão de obra com o crime organizado”, diz Anderson Ramos, fundador e CEO da Flipside, empresa especializada em segurança digital.

Ele participou, em abril, do Tech Experience, do Experience Club, e concedeu esta entrevista à [EXP].

[EXP] – Você falou que existe uma escassez de 4 milhões de profissionais de cibersegurança no mundo. Isso significa que, mesmo que as empresas queiram, elas não conseguem investir tudo que elas precisam?

Anderson Ramos – É verdade. E isso está inserido dentro de um contexto pós-pandêmico. Não que essa escassez não existisse antes, mas como a pandemia acelerou os processos de transformação digital, também aprofundou uma escassez estrutural de mão de obra técnica. Não só de cibersegurança, mas no caso da cibersegurança é ainda pior, porque é uma área que requer muita qualificação técnica e exige responsabilidades muito grandes dos profissionais.

E existe também a questão da saúde mental, que é muito valorizada pelas novas gerações de profissionais. Uma pessoa que está se formando na área de tecnologia hoje, e pode trabalhar como desenvolvedor ou como especialista de segurança de aplicações, se o salário for parecido, ela só vai trabalhar com segurança se for realmente a paixão dela. Esse é um problema sistêmico que a área de cybersecurity sempre teve e que agora piorou.

Com a aceleração dos processos de transformação digital, o crime se adaptou, a própria pandemia trouxe isso. Estamos vendo no mundo inteiro o crime se digitalizando, se profissionalizando. Golpes via internet, desvio de dinheiro, quadrilhas mais especializadas atacando grandes empresas com estratégias de sequestro de dados.

E como o mercado está hoje nesse sentido?

Acho que hoje isso está se consolidando. Vemos um movimento em grandes empresas de aproximar, por exemplo, departamentos de fraude dos departamentos de cybersecurity, que eram coisas completamente apartadas no passado.

Por quê?

Porque praticamente já não tem mais fraude que não seja digital. Muitas vezes, a maneira de prevenir, controlar ou mitigar aquele risco inevitavelmente envolve medidas de cunho técnico, e quem entende melhor disso é o pessoal de cybersecurity.

Hoje existe um desafio muito grande de reter os profissionais. Em parte por causa dos riscos que os profissionais acabam se expondo. Uma coisa é você ser um profissional de cybersecurity, outra coisa é você ser um analista de fraude.  Você começa a se aproximar do crime e isso pode cobrar um pedágio emocional adicional.

Tem também a sofisticação do crime, que está cada vez mais organizado. E o crime organizado não é aquele cara que telefona e ameaça matar a família. O crime organizado gosta de fazer negócio. Começa a ligar para as pessoas no call center, para as pessoas de TI e fala: cara, olha, você não quer 20 mil para me dar uma senha? Você não quer 50 mil? Então, à medida que vai tendo essa aproximação, você começa a ter que lidar com esse novo desafio também.

Recentemente vimos uma invasão ao Siafi (sistema de pagamentos do governo federal) com transferência de R$ 3,5 milhões de dinheiro público. Ou seja, até os sistemas de governo de pagamentos de contas públicas estão sob ameaça.

Sim, é que é uma coisa muito curiosa em termos de Brasil, acho que pegou até os políticos de forma desprevenida. Quando a gente fala de desvio na administração pública, estamos mais acostumados com os casos de fraude e corrupção tradicionais, quase sempre envolvendo políticos. Quando vem a notícia de que roubaram dinheiro do governo e não foi esse pessoal, eu acho que realmente ligou um sinal de alerta para mostrar que é toda uma exposição a risco que não estava nem prevista.

Ao mesmo tempo o governo digital é uma das soluções mais eficazes para combater fraude e corrupção no governo como um todo. E a questão da segurança da informação é estruturalmente desafiadora em termos de velocidade. As ameaças se adaptam muito rápido, os bandidos se adaptam, o que coloca um desafio adicional quando o assunto é o governo. Eu acho que só não é uma tragédia porque o governo tem acesso à Polícia Federal e o nível de capacidade dela para esse tipo de investigação é muito alto. Isso acaba funcionando como um mecanismo de dissuasão.

Eu tenho uma teoria de que sempre dá problema naquilo que a gente não olhou recentemente. Todo mundo olhando como evitar fraudes no sistema de licitações e de repente aparece um negócio meio fora do radar de preocupações. Novos riscos costumam ter esse tipo de característica.

Isso tudo sem considerar que num cenário de uma guerra, num ambiente mais conflagrado, a tendência é piorar ainda mais, porque os profissionais de segurança vão acabar sendo drenados por essa máquina de guerra. Isso já é uma realidade hoje.

Você quer dizer que eles vão ter que trabalhar para os governos e não vão poder trabalhar para as empresas?

Já fazem isso hoje. Vamos fazer uma analogia, esses profissionais certamente vão trabalhar no conflito e vão voltar muito mais capacitados. Se a gente conseguir absorver todos na iniciativa privada, show. Mas sempre existe a preocupação de que uma fatia disso vai continuar. Nós estamos disputando hoje mão de obra com o crime organizado.
 
No Brasil esse já é o cenário?

Já é um cenário. Não no sentido de quem tem alguém fazendo uma oferta. Começa a haver uma preocupação de profissionais sendo assediados pelo crime. A pessoa tem um trabalho super estressante, de muita responsabilidade, e que é bem remunerado. Só que ninguém consegue competir com a remuneração do crime. Felizmente, não fosse a retidão moral das pessoas, a gente estaria bem pior. O problema é o potencial de estrago.

Eu tenho amigos que são CISO (Chief Information Security Officer), um deles é CISO de banco e ele já viu funcionário saindo algemado da empresa. Ontem eu ouvi uma história de um telemarketing terceirizado que a pessoa foi pega e assumiu, na entrevista de desligamento, que estava entregando as senhas.

Eu acho que esses casos extremos talvez sejam exceção. Mas uma conflagração mais generalizada, com piora na geopolítica mundial, certamente vai lembrar todo mundo a respeito da importância desse tema.

Quando hackeiam o celular do Sérgio Moro, no dia seguinte o telefone das empresas de cybersecurity não para de tocar. Todo mundo quer tirar os projetos do papel, mas 90 dias depois o residual é pequeno. Num cenário de conflagração permanente eu vejo isso respingando para as empresas de forma um pouco mais perene e estrutural, porque a cadeia de suprimento da máquina de guerra é muito ampla.

Você está considerando que uma guerra mais ampla seria uma guerra de cibersegurança?

Eu considero que uma futura guerra seria marcada definitivamente pela entrada da cibersegurança como um dos comandos. Já existem exércitos assim. No caso do exército americano, eles chamam de quinto comando, junto com ar, terra, água, fuzileiro naval.
A grande preocupação num conflito generalizado das grandes potências é a derrubada de satélites e aí parar de funcionar GPS, as redes de comunicação, cortar os cabos submarinos.

Não temos ideia de como a infraestrutura da qual o planeta passou a depender para operar e funcionar no seu dia a dia é vulnerável. Num cenário de conflito, onde os países começam a jogar por um playbook diferente, de guerra, essas infraestruturas estão muito expostas.

Qual que é o jeito correto de lidar com o risco?

Eu acho que hoje não dá para pensar numa oferta sem pensar na fraude. Tem que estar previsto já no desenvolvimento, porque isso é uma coisa que os bandidos acabaram percebendo. Toda nova tecnologia gera riscos no final da cauda. Da mesma forma que a tecnologia transforma, ela também vai transformar o crime e consequentemente a fraude.

E como uma empresa pode se prevenir?

Pensar no risco desde o começo, sem dúvida nenhuma, é a parte mais importante. Quando você coloca a gestão do risco no início de qualquer iniciativa, você faz as perguntas corretas, simula os cenários mais apropriados, busca controles que vão amenizar esse cenário e vão agregar valor cotidiano para quem está consumindo aquilo. Todo mundo quer consumir um pouco de segurança quando está consumindo um serviço digital. E quase sempre a experiência de quem está comprando é digital. Quanto mais cedo e mais focado numa mentalidade de gestão de risco, mais resultado a gente alcança, com menos investimento e menos estresse.