Construo plataformas de sensibilização há mais de quinze anos e dirijo a equipa de engenharia da SMARTFENSE. Desse lugar vejo um padrão que se repete em quase todas as organizações com que trabalhamos: o CISO faz um trabalho sério, prepara o seu relatório, leva-o ao comité de direção e, ainda assim, sai da reunião sem ter movido uma única decisão.
O problema não está no CISO nem no dado. Está no caminho que esse dado percorre até chegar à mesa: quando é preparado, com que frescura chega e em que formato. Isso é arquitetura, e por isso me cabe a mim pensá-lo.
Conto-te o que vemos do lado de quem constrói a plataforma: porque é que o relatório de sensibilização para o comité de direção chega tarde, o que o comité precisa realmente e o que resolvemos para que a resposta chegue em tempo real. A parte humana continua a ser do CISO. Nós tratamos da parte mecânica.
O que pede realmente um comité de direção quando pede “o dado de cibersegurança”?
Aprendemo-lo a ouvir os CISO que usam a plataforma. Quando o comité pede o dado, não pede um dado. Pede uma decisão que já vem resolvida. Precisa de responder a três coisas que já tem na cabeça, mesmo que não as formule assim:
- Dado o que investimos, estamos melhor, igual ou pior do que há seis meses?
- Se o comité puser mais recursos em cima da mesa, o que se move e quanto?
- O que acontece se não fizermos nada durante o próximo ciclo?
Se o relatório deixa o comité em condições de responder a isto em trinta segundos, o CISO ganha o apoio. Se entrega vinte slides com taxas de cliques e barras coloridas, o comité fica com uma intuição vaga e uma resposta morna. Não por falta de compreensão: é o formato do relatório que não deixa material para decidir.
O investimento que vale a pena fazer ao preparar o relatório é imaginar primeiro a resposta de que o comité precisa e depois construir o dado que a sustenta. Aquilo a que se chama “o relatório trimestral” não é um objeto único. É a última camada de uma pirâmide com vinte dashboards operacionais por baixo e uma só decisão clara no topo.
Que três respostas precisa o comité de ouvir e quase nunca recebe?
Há três respostas que raramente chegam completas à sala. A primeira é onde estamos hoje. Não a taxa de cliques da última simulação de phishing nem a percentagem de cursos concluídos, mas risco humano agregado, com um critério explícito do que entra no cálculo e como evoluiu face a três e seis meses atrás. Expresso como número composto e com tendência, o comité deixa de discutir indicadores soltos e começa a pensar em política.
A segunda é onde concentrar o esforço. O comité não aprova “reforçar a sensibilização”. Aprova “destinar X orçamento às cinco áreas mais expostas durante os próximos noventa dias”. Com uma lista priorizada de áreas, a sua exposição e o efeito esperado do reforço, o comité tem uma decisão binária. Com um mapa de calor geral, tem outra reunião.
A terceira é o contrafactual. O que acontece ao risco se não fizermos nada? Essa projeção obriga a pensar a sensibilização como um ativo que se deprecia, não como uma despesa pontual. É a pergunta mais difícil de se fazer, porque implica reconhecer que a decisão de não decidir também tem um custo. E é a que mais mexe o ponteiro do orçamento.
Se o relatório não responde a essas três, a conversa board-level não avança. Não é um problema de dado. É um problema de enquadramento.
Porque é que os CISO não entregam esse relatório hoje?
A capacidade têm-na. O que lhes falta é tempo, e o dado chega-lhes velho.
Quando olhamos para como se prepara hoje um relatório para o comité, encontramos sempre o mesmo fluxo artesanal. Na sexta-feira anterior à reunião, alguém da equipa exporta o relatório da plataforma de sensibilização, cruza-o com a lista ativa de pessoal, limpa as saídas, constrói tabelas dinâmicas, procura um dado externo credível para dar contexto, cola-o em três slides, antecipa duas perguntas e reza pela terceira. Entre quatro e seis horas se tudo estiver à mão. Mais, se a última campanha teve mudanças de âmbito.
O resultado, no melhor dos casos, reflete a fotografia de há duas semanas. Mas o comité opera ao ritmo do negócio: se na semana da reunião houve um incidente ou mudou o panorama, o relatório já não serve. E ninguém vai refazer os gráficos às onze da noite de domingo.
Isto não é uma crítica ao CISO. É a descrição de um processo manual que se justificava quando o comité aceitava esperar pelo ciclo trimestral. Hoje a procura move-se ao ritmo da conversa e deixa para trás o calendário. Essa distância entre como se constrói o relatório e como o negócio o precisa é um problema de arquitetura de dados, e é exatamente o tipo de problema que se resolve na plataforma, não na folha de cálculo.
O que muda quando o CISO formula a pergunta em linguagem natural?
Muda o centro de gravidade da conversa. O CISO deixa de ser quem executa o relatório e passa a ser quem decide que pergunta valia a pena fazer-se.
Imaginemos a cena, que já acontece com as primeiras equipas que o estão a testar. O comité está reunido. Alguém pergunta algo que não estava na agenda: “que cinco áreas têm o risco humano mais alto e quanto baixaria se reforçarmos a simulação de phishing nelas durante o próximo trimestre?”. O CISO faz à plataforma essa mesma pergunta em linguagem simples e projeta a resposta dois minutos depois. Áreas, exposição, efeito esperado, custo do reforço. A decisão toma-se na sala.
O que importa não é a ferramenta. É a transferência: o CISO recupera horas operacionais, o comité recebe respostas à medida das suas perguntas, e a conversa board-level deixa de ser um ato de tradução para se tornar um diálogo em tempo real.
Construímos essa camada na SMARTFENSE e chamámos-lhe Insight Agent. É uma das capacidades que pensámos para programas maduros, e hoje está na sua fase de early adopters: estamos a afiná-la com as primeiras equipas que a usam sobre os seus próprios dados. Não substitui o CISO; dá-lhe a velocidade operacional que hoje não tem. A pergunta continua a ser de quem está sentado à mesa. A diferença é que agora pode respondê-la ali mesmo.
Coincide com uma mensagem que mantemos na SMARTFENSE há anos, e que vale a pena ler em detalhe: a IA não pode substituir a orientação humana na sensibilização. Acelera, amplifica, liberta tempo. Substituir é outra coisa.
Que condições técnicas deve cumprir um agente de IA para servir o comité?
Se vais apoiar o reporting num agente, há quatro condições mínimas. Passo-tas do lado de quem desenha o sistema, porque são decisões de arquitetura antes de serem de interface.
- Acesso ao estado vivo do programa. O agente tem de consultar os dados reais da plataforma no momento, não improvisar a partir de um modelo geral. Se a resposta ao comité depende de números velhos, o problema continua intacto.
- Dashboards construídos a pedido. A pergunta do comité raramente encaixa num dashboard pré-construído. Se o agente só navega entre visualizações predefinidas, tudo acaba outra vez numa folha de cálculo.
- Distribuição automática ao destinatário certo. O resumo executivo do trimestre deveria chegar ao comité sem que alguém o prepare e o envie à mão. A velocidade de resposta importa menos do que a velocidade de circulação.
- Contexto do programa de sensibilização, não um chatbot genérico. Um assistente que responde sobre tudo é um assistente que não responde nada de útil. Para o comité tem de conhecer a lógica do programa: campanhas, audiências, métricas, regulamentação, histórico.
Se a ferramenta que estás a avaliar cumpre esses quatro pontos, a diferença operacional aparece depressa. Se cumpre só dois, vais ter um chatbot arrumado e uma folha de cálculo em paralelo.
Quão madura está hoje a conversa entre o CISO e o comité?
A maioria das organizações está num de quatro degraus. O primeiro é compliance: o comité só ouve o CISO quando há auditoria. O segundo é KPI operacionais: o CISO apresenta taxas trimestrais e o comité acena. O terceiro é narrativa de risco: o CISO constrói uma história que liga os dados às decisões, mas o ciclo continua trimestral. O quarto é conversa acionável: o comité pergunta e o CISO responde com dados vivos na mesma reunião.
Poucas organizações estão no quarto. A maioria move-se entre o segundo e o terceiro. O salto para o quarto não acontece por maturidade da pessoa do CISO. Acontece quando se encurta o ciclo entre a pergunta do comité e a resposta do programa, e esse ciclo é, mais uma vez, uma questão de plataforma.
É a conversa que a SMARTFENSE quer habilitar, e a razão pela qual pensámos o Insight Agent em função dela. Se queres vê-lo sobre os teus próprios dados, escreve-nos para entrares no programa de early adopters.
Para aprofundar o enquadramento geral, duas leituras que recomendo: o teu programa de sensibilização está a medir o que importa? e decisões baseadas em dados reais com o relatório de correlação. A primeira ajuda a reformular as métricas; a segunda mostra o lado operacional de cruzar dados.
Se o teu CISO sai do comité com a sensação de não ter sido ouvido, a minha suspeita como engenheiro é outra: ouviram-no bem, mas o relatório chegou sem a frescura nem o formato para sustentar uma decisão. Essa parte do problema é arquitetura, e essa sim a podemos resolver.
Deixe um comentário