A nova CISO da Avast fala abertamente sobre sua missão de vida, reação a ameaças cibernéticas e mergulho com tubarões
Jaya Baloo trabalha há 20 anos na área de segurança da informação e, no mês passado, juntou-se à equipe da Avast, assumindo o cargo de diretora de Segurança da Informação (CISO). Antes, ela foi CISO da KPN, a maior operadora de telecomunicações da Holanda. Baloo integra as listas dos top 100 CISOs do mundo e também o ranking mundial dos top 100 influenciadores em segurança. O Blog da Avast conversou com ela e o resultado da entrevista você confere a seguir.
Blog da Avast: O que a CISO de uma empresa de cibersegurança faz?
Jaya Baloo: Reforça e educa os funcionários sobre a importância de se adotar as melhores práticas de segurança, seja com relação a senhas, uso de VPN e redes seguras. A segurança precisa estar no DNA de todos que trabalham nessa indústria. Em outros tipos de empresas, um(a) CISO talvez tenha que explicar o motivo de pedirem aos funcionários para que tomem certas precauções. Assim, em uma empresa de cibersegurança, não temos apenas que nos preocupar com a nossa própria organização, mas também com o papel que temos nas empresas de nossos clientes. Há muito trabalho a ser feito. O fato é que empresas de segurança são alvos muito atraentes para os criminosos.
BA: Esse cuidado com outras empresas significa que você pode ser o tipo de CISO que nossos clientes desejam (ou até mesmo poderiam ter) para ajudar a manter a casa deles mais segura?
JB: Espero que sim. O fato é que a indústria de tecnologia não tem ajudado muito as pessoas a cuidarem da segurança. Isso tem ficado em segundo plano, aparecendo somente depois que um produto é feito. A prática comum entre os fabricantes de hardware ou software é não abordar questões de segurança no início de um projeto. Isso significa esse fardo cairá nas costas de seus clientes.
BA: Como é possível mudar essa situação e empoderar as pessoas?
JB: Tornando a segurança simples para todos. Aliás, esse é o grande motivo pelo qual vim para a Avast. Amo essa missão e a ideia de que a cibersegurança é um direito fundamental. Não apenas para as pessoas que podem pagar pelo produto, mas para todo mundo. Isso está completamente alinhado com minhas crenças. O primeiro passo dessa democratização é desmistificar questões problemáticas e persistentes que as pessoas não sabem como resolver.
Senhas são como as roupas de baixo. Quanto mais longas, melhor; é preciso trocá-las com frequência; e não se deve deixá-las largadas em qualquer lugar.
BA: O que seria um exemplo de segurança simplificada para as pessoas?
JB: Digo às pessoas e a proprietários de pequenas empresas fazerem cinco coisas:
- Saberem o que têm em suas redes e onde seus dados estão. Temos a tendência de esquecermos dos dispositivos velhos com dados sigilosos. Será que aquele celular ou disco antigo está perdido em alguma gaveta por aí? Deixe tudo arrumado e use o aparelho ou apague tudo dele.
- Atualize todos os dispositivos e softwares.
- O caminho para o inferno foi pavimentado com senhas ruins. Use um gerenciador de senhas. (A Avast tem um ótimo.) Certa vez ouvi alguém dizer que senhas são como as roupas de baixo. Quanto mais longas, melhor; é preciso trocá-las com frequência; e não se deve deixá-las largadas em qualquer lugar.
- Faça backup de tudo, online e offline. Essa é a única fórmula verdadeiramente à prova de erros contra um ransomware. Mesmo que eu adore o nomoreranson.org, criminosos não podem te bloquear se você tiver uma cópia de todas as suas pastas e arquivos.
- Use uma rede privada virtual (VPN) e um antivírus.
Uma grande parte da nossa responsabilidade é falar com as pessoas até que elas entendam a importância de tudo isso.
BA: O que você diz a outros CISOs em suas palestras?
JB: A maioria dos CISOs estão na mesma onda e sabem que é preciso melhorar constantemente e ser ágil para combater novas ameaças. É fácil pensar que somente é preciso se esforçar mais e aprimorar a forma como abordarmos os problemas, mas isso é perigoso. Você não pode apenas consumir dados da indústria de forma genérica e pensar que está atualizado. É preciso colocar tudo isso em prática de forma específica se quiser aprender de verdade.
BA: Qual é a forma correta de ação de uma empresa diante de uma invasão ou um incidente de cibersegurança? Transparência e divulgação imediata dos fatos?
JB: Transparência sim. Com certeza. Aproprie-se disso, assuma a responsabilidade e diga aos clientes o que eles precisam saber. Mas a divulgação total do episódio não deve ser feita às pressas. E por uma razão muito importante: precisão. Geralmente leva um tempo até que se saiba todos os fatos. A última coisa que alguém pode querer fazer é divulgar informação errada, e pode demorar um pouco até que se verifique e analise tudo. Quando descobrir tudo sobre o assunto, levante-se e seja transparente.
BA: Assim como muitas áreas de tecnologia, não há muita diversidade no ramo da cibersegurança. Mulheres jovens que desejam trabalhar nesse setor costumam procurar você em busca de conselhos? O que você diz a elas?
JB: Siga sua paixão. Não tenha medo de estar errada. Outras pessoas podem tentar te calar, mas não faça isso com você mesma. Quantas vezes estive em reuniões em que há uma ou duas mulheres que não dizem nada por puro medo de falar alguma coisa idiota? Certamente isso não acontece com alguns homens! Então siga sua paixão e não se cale. Precisamos de vocês nessa indústria. Ajude-nos a manter o mundo seguro.
BA: O que você faz no seu tempo livre?
JB: Tenho três filhos: um de 13, outro de 11 e o mais novo, de 7. Então, ou estou trabalhando ou estou com eles. E algumas vezes esses mundos se misturam. Convidei o Youtuber Enzo Knol* para visitar a escola dos meus filhos para uma oficina sobre cibersegurança. Meus filhos se envolveram na conferência Hack in the Box* (Invadindo a caixa, em tradução livre) e ele (Knol) desmontou o disco rígido de um computador com minha filha para fazer bijuteria com as peças. Para eles, tecnologia é uma coisa natural. As coisas eram diferentes quando eu era criança. Meus pais queriam me ver longe dos videogames. Hoje, alguns pais pagam professores para treinar seus filhos no jogo Fortnight*! Não sei o que pensar sobre isso.
BA: Você tem algum passatempo?
JB: Mês passado mergulhei na Grande Barreira de Coral da Austrália. Fiz um curso de nitrox (mistura gasosa de nitrogênio e oxigênio normalmente usada por mergulhadores) e também tirei um certificado de mergulho, caso decida deixar a área de cibersegurança e me tornar uma instrutora de mergulho. Foi incrível. Vimos muitos tubarões, arraias, tartarugas e pequenos nudibrânquios*. Adoro estar naquele mundo. Você desce uns 12 ou 15 metros e já pode ver todas aquelas criaturas fascinantes.
BA: Como você se sentiu ao ver um tubarão-branco e saber que ele pode te devorar?
JB: Estava mergulhando nas Bahamas quando vi um desses bichos grandões. Chamou minha atenção. Mas se você está mergulhando por alguns dias e vê um tubarão gigante, isso não te assusta. Por outro lado, se esse encontro acontece logo que você entra na água, isso pode ser um pouco assustador.
Eu percebi que sou fascinada pelas coisas que me assustam. Quero entender isso. Entender as coisas geralmente as tornam muito menos assustadoras. Estou tirando minha licença de piloto. Como parte do treinamento, o instrutor te coloca em um avião bem pequeno e diz: “agora vamos desligar o motor”. E daí você pensa: “por que a gente faria isso? O motor está funcionando direitinho. Estamos voando bem. Deixe o motor em paz”. Então você o desliga e sente como é voar sem motor. Depois, calmamente, você segue os passos para acioná-lo novamente. E pronto, mais um obstáculo superado. E você nunca mais terá tanto medo disso como antes.