/
Resiliência cibernética

O negócio do cibercrime: o que um ex-diretor assistente do FBI quer que todo CISO saiba

Headshot of Brian Boetig
Brian Boetig, consultor principal da Global Trace e ex-diretor assistente do FBI

O cibercrime não é apenas uma ameaça técnica — é um negócio global próspero. E poucas pessoas entendem melhor a evolução desse negócio do que Brian Boetig.

Com mais de 35 anos em segurança nacional e segurança pública, ele atuou como diretor assistente do FBI, diplomata dos EUA, representante da CIA e sócio em uma empresa de consultoria internacional. Ele agora é consultor principal da Global Trace, ajudando organizações a criar resiliência cibernética.

Neste episódio de O segmento, Brian se juntou a mim para compartilhar como sua experiência na aplicação da lei e na inteligência molda sua abordagem atual à segurança cibernética e por que os agentes de ameaças estão vencendo quando as empresas ficam para trás.

Do assalto a uma loja ao ransomware como serviço

Brian investigou tudo, desde sequestros no exterior até extorsão digital em casa.

O que os conecta? A busca pela vantagem.

“Tratamos os sequestros como resgate da mesma forma que abordamos. ransomware hoje”, disse Brian. “Você sabe quem fez isso, sabe como eles operam e sabe como negociar. É um modelo de negócios e eles o administram melhor do que algumas empresas legítimas.”

Ele diz que a economia do cibercrime está inclinada a favor dos atacantes.

“Se você assaltar uma loja pessoalmente por 50 dólares, toda uma equipe de resposta policial aparece”, disse ele. “Mas roubar $500.000 online? Na maioria das jurisdições, as autoridades não saberão o que fazer com isso.”

O cibercrime é escalável, sem fronteiras e, muitas vezes, invisível. Na opinião de Brian, até que os defensores adotem uma abordagem comercial semelhante, eles permanecerão ultrapassados.

Se você assaltar uma loja pessoalmente por $50, toda uma equipe de resposta policial aparece. Mas roubar $500.000 online? Na maioria das jurisdições, a polícia não saberá o que fazer com ela.

Por que proibir pagamentos de resgate não é a resposta

Poucos tópicos geram mais debate do que se as organizações deveriam ser autorizadas a pagar resgates. Brian conheceu os dois lados, desde seu tempo no FBI até a consultoria com CEOs que lidaram com uma brecha.

“Não há uma resposta geral”, disse ele. “Algumas empresas deixarão de existir se não pagarem.”

Ele se lembrou de um escritório de advocacia cujo histórico completo de clientes foi bloqueado. Sem pagamento, seus negócios e reputação teriam sido destruídos.

Banindo pagamentos de resgate pode parecer um impedimento absoluto, mas Brian acredita que isso corre o risco de vitimar as organizações duas vezes: “Você está removendo uma das poucas ferramentas que restam para sobreviver”.

Em vez disso, ele sugere uma estratégia mais matizada:

  • Desincentive os pagamentos por meio da preparação
  • Crie uma higiene geral de segurança cibernética, incluindo backups
  • Implemente modelos de seguro inteligentes
  • Reduzir a legislação que simplifica excessivamente as complexas realidades comerciais

Em vez de proibições gerais, o que as organizações precisam é de uma abordagem mais inteligente, que equilibre resiliência, risco e as realidades que os líderes enfrentam após um ataque.

O seguro cibernético não é uma rede de segurança

À medida que mais empresas recorrem à seguro cibernético para sua tranquilidade, Brian oferece uma verificação da realidade.

“Não é uma solução. Muitas vezes, é mais como uma negociação”, disse ele. “E às vezes, a primeira coisa que a seguradora faz é procurar um motivo. não para pagar.”

Ele o comparou com o seguro de carro. Sim, você está coberto... a menos que tenha perdido um detalhe nas letras miúdas. O resultado é confusão durante uma crise, termos de cobertura pouco claros e atraso na recuperação.

“A maioria das políticas só ajuda você a voltar à Internet”, alertou Brian. “Eles não cobrirão a reconstrução da confiança, danos à reputação ou resiliência futura.”

Seu conselho para os CISOs é saber exatamente o que sua apólice cobre e quais são suas lacunas de cobertura. Nunca trate o seguro como um substituto de defesas fortes e não confie que as seguradoras trabalharão em seu melhor interesse após um ataque.

O risco cibernético é um risco comercial

Muitas vezes, o risco cibernético ainda é tratado como um problema de TI. Brian vê isso como um erro perigoso.

“Se a diretoria não acreditar na segurança cibernética, ela não será financiada, priorizada ou praticada”, disse ele.

Ele relembrou uma época em que os CEOs não sabiam quem eram seus líderes de TI. “Agora, finalmente estamos vendo as salas de reuniões começarem a entender que a cibersegurança não tem a ver com firewalls, mas com manter a empresa viva.”

Essa mudança, diz ele, se deve em parte às pressões regulatórias, mas também reflete a crescente percepção de que a resiliência é uma vantagem competitiva.

Brian também foi rápido em apontar que ser violado não significa que você falhou. Na verdade, os melhores líderes de segurança presumem que isso acontecerá.

“Eu costumava dizer aos CEOs: 'Não há problema em ser vítima de um ataque cibernético. Não é bom estar despreparado para uma'”, disse ele.

Essa mentalidade está no centro da Confiança zero que pressupõe concessões e se concentra em reduzir as consequências de uma violação.

“Preparação não significa apenas backups e políticas”, enfatizou Brian. “É cultural. Todos na organização precisam conhecer seu papel quando as coisas dão errado.”

Eu costumava dizer aos CEOs: “Não há problema em ser vítima de um ataque cibernético. Não é bom estar despreparado para uma.”

Fechando a lacuna entre risco e realidade

As histórias de Brian destacam uma verdade central. A cibersegurança não se trata de evitar riscos; trata-se de gerenciá-los.

As organizações mais resilientes tratam a segurança como uma função comercial, adotam o planejamento proativo e investem na contenção, não apenas na prevenção.

Ou, como disse Brian, “Você não espera até o incêndio para comprar um extintor de incêndio. Você planeja, treina e garante que todos saibam onde está.”

Quer ouvir mais? Ouça o episódio completo desta semana de O segmento: um podcast de liderança Zero Trust em Podcasts da Apple, Spotify, ou onde quer que você obtenha seus podcasts. Você também pode ler o transcrição completa.

Tópicos relacionados

Artigos relacionados

Leve-me ao seu controlador de domínio: proteções e mitigações usando as ferramentas Zero Trust
Resiliência cibernética

Leve-me ao seu controlador de domínio: proteções e mitigações usando as ferramentas Zero Trust

Na parte 1 desta série de blogs, analisamos como os métodos de descoberta podem ser usados em um compromisso inicial.

A IA não deve ser confiável: por que entender isso pode ser transformador
Resiliência cibernética

A IA não deve ser confiável: por que entender isso pode ser transformador

Saiba por que o CTO e cofundador da Illumio acredita que o “limite tecnológico” da IA é menor do que parece — e como isso influencia as formas como usamos a IA.

BT e Illumio: simplificando a conformidade com DORA
Resiliência cibernética

BT e Illumio: simplificando a conformidade com DORA

Saiba como aumentar a resiliência cibernética, gerenciar os riscos de TIC e preparar sua instituição financeira para o prazo de conformidade com o DORA de janeiro de 2025.

5 coisas que aprendi com um ex-hacker mais procurado do FBI
Resiliência cibernética

5 coisas que aprendi com um ex-hacker mais procurado do FBI

Aprenda cinco lições reveladoras de Brett Johnson, ex-cibercriminoso mais procurado, sobre fraude, confiança e por que o Zero Trust é mais importante do que nunca.

O que as organizações sem fins lucrativos estão ensinando ao setor de segurança cibernética
Segmentação Zero Trust

O que as organizações sem fins lucrativos estão ensinando ao setor de segurança cibernética

Aprenda com a especialista em segurança cibernética sem fins lucrativos, Dra. Kelley Misata, sobre como organizações orientadas por missões estão abordando a segurança com empatia, propósito e uma mentalidade de ouvir em primeiro lugar.

A opinião de um ciberpsicólogo sobre a cultura da culpa da cibersegurança
Segmentação Zero Trust

A opinião de um ciberpsicólogo sobre a cultura da culpa da cibersegurança

Saiba como o estresse, as ameaças da IA e o comportamento humano tornam o Zero Trust essencial para a resiliência cibernética.

Assume Breach.
Minimize Impact.
Increase Resilience.

Ready to learn more about Zero Trust Segmentation?