Segurança Não é Opção!
O que aprendi quando a falha de sistema poderia custar uma vida.
Adriano Oliveira
Head de Cybersecurity | CISO | Segurança da Informação & Resiliência Cibernética | Governança, Threat Intelligence, IAM/PAM, SOC & Cloud Security | ISO 27001, NIST, CIS
Quando as pessoas me perguntam sobre meu período de trabalho na área de saúde, o tom da minha voz muda. Em um ambiente de saúde, a Integridade é o valor supremo. Um dado corrompido pode levar a um diagnóstico falso, a um tratamento incorreto ou a uma pesquisa arruinada. A falha ali não custa um prejuízo financeiro: custa uma vida…
Trabalhei por cinco anos no setor de pesquisa e saúde de relevância nacional. Ali, a cibersegurança deixava de ser uma checklist de compliance para se tornar uma questão de ética e sobrevivência.
Aprender ISO 27001 e Governança no setor financeiro é fundamental, sim. Mas quando você lida com sistemas de laboratórios, pesquisas e infraestrutura crítica de saúde, você entende que a segurança não é opcional. Uma falha em um sistema de diagnóstico, uma indisponibilidade em um banco de dados de pesquisa vital, ou uma invasão que comprometa a integridade dos resultados, não gera apenas uma multa: gera uma tragédia.
E foi ali, no ambiente de saúde, que eu entendi o verdadeiro peso da minha profissão.
A Ilusão da Segurança Opcional
A principal dor que vejo em líderes de diversos setores (varejo, indústria, tecnologia) é tratar a cibersegurança como uma área de suporte, relegada ao orçamento do TI e sempre vista como um custo, não como um investimento.
Essa mentalidade de “segurança opcional” tem uma consequência direta: o conflito de interesse.
- O TI quer Disponibilidade (o sistema no ar, rápido e sempre acessível).
- A Segurança quer Controle (testar, segregar, auditar e, muitas vezes, atrasar para garantir a proteção).
Enquanto o dono do negócio quer que o negócio gire.
No setor de saúde, este conflito é fatal. No mundo corporativo, ele é financeiramente devastador (vide os custos de breaches hoje).
Traga o Rigor da Saúde para o seu Negócio
Como fazer sua empresa adotar o mindset de que “vidas estão em jogo”, mesmo que você não esteja em um hospital ou laboratório?
É preciso tirar a segurança de debaixo da área de TI (que tem conflito de interesse) e colocá-la na Mesa Executiva.
Aqui estão três lições práticas que trouxe da minha experiência para a gestão estratégica que atuo hoje:
1. Disponibilidade É a Nova Integridade (BCP/DRP)
No mundo da saúde, o paciente precisa de atendimento agora. No seu negócio, o cliente precisa de serviço agora.
Seu plano de Continuidade de Negócios (BCP) e Recuperação de Desastres (DRP) precisa ser testado com a mesma urgência de um CISO em um hospital. Não basta ter um backup; é preciso saber quanto tempo o negócio aguenta PARADO. Minha experiência me permite desenhar planos de resiliência que garantem que o seu sistema volte a respirar rapidamente.
2. Separe o Controle da Execução (A Autonomia do CISO)
O CISO (ou a área de Cyber) deve ser uma área de controle, como Auditoria ou Compliance.
O TI executa. A Segurança controla, testa e garante a integridade dos processos. Foi esse modelo rígido, que visa evitar o conflito de interesse entre rapidez (TI) e proteção (Segurança), que me permitiu implementar arquiteturas robustas em locais como o Banco Central. Se sua segurança reporta à TI, sua resiliência está comprometida.
3. Seja o Médico, Não o Cientista (A Linguagem da Vida)
Em saúde, o médico traduz diagnósticos complexos para o paciente (o C-Level). Ele não usa jargão científico.
Meu maior diferencial em 25 anos de carreira é a habilidade de ser o tradutor. Eu falo a língua do C-Level (risco, ROI, confiança), traduzindo a “sopa de letrinhas” do SIEM, LGPD ou MITRE ATT&CK em uma conversa simples: O que você precisa fazer para que o negócio não pegue fogo? A linguagem clara é o primeiro passo para o controle.
Radar Cyber: Sua Segurança Está no Piloto Automático?
Sua empresa não pode se dar ao luxo de ter uma segurança “opcional”.
Se você é um líder que busca mover a cibersegurança da prateleira de “custo” para a de “Habilitador Estratégico”, eu quero te ajudar a aplicar o rigor e a clareza que só a experiência em ambientes críticos pode oferecer.
Eu transformo a incerteza em um plano de ação claro.
Próximo Passo: Se você sente que sua área de Cyber está em conflito com o TI, ou que o C-Level não entende o seu risco, agende uma sessão estratégica comigo.
Vamos garantir que o seu sistema, e o seu negócio, vivam uma vida longa e segura.
