Gajus - stock.adobe.com
Cuidado com o que diz: os conselhos de Tim Brown para os CISOs
Durante a RSAC 2026, Tim Brown falou sobre o vazamento da SolarWinds, a acusação movida contra ele pela SEC e a necessidade imperiosa de se ter políticas de comunicação.
“Tudo o que você disser poderá ser e será usado contra você”.
Como o primeiro CISO acusado pessoalmente em uma ação civil, Tim Brown sabe perfeitamente como o que ele e seus colegas disseram — fosse jargão do setor ou piadas inofensivas — poderia ser usado contra ele e contra sua empresa, a SolarWinds.
Brown era o CISO da SolarWinds quando ocorreu o infame ataque à cadeia de suprimentos de 2020. Hackers patrocinados por Estados haviam injetado código malicioso nas atualizações do SolarWinds Orion, o que lhes permitiu se infiltrar em milhares de organizações em todo o mundo, incluindo agências governamentais e empresas privadas, e realizar espionagem cibernética.
O que se seguiu não foi apenas o que é amplamente considerado o primeiro ataque à cadeia de suprimentos em grande escala e altamente sofisticado executado por meio de um fornecedor de confiança, mas também uma apuração de dados e um interrogatório pela SEC em um nível que Brown jamais poderia imaginar, sabendo que não tinha nada a esconder.
Em outubro de 2023, a SolarWinds e Brown foram acusados de fraude por enganar os investidores em relação aos riscos de segurança cibernética e às deficiências nos controles internos. Após um processo de cinco anos, as acusações contra a empresa e Brown foram finalmente retiradas, mas não sem antes que Brown aprendesse algumas lições reveladoras sobre comunicação, interpretações e o que realmente pode e será usado contra ele.
Não compartilhe demais
Nos dias e meses após o vazamento de 2020, Brown compartilhou com o público mais detalhes do que muitas empresas teriam compartilhado. Durante uma apresentação na conferência RSAC 2026, Brown, atualmente sócio geral e CISO residente no grupo de capital de risco Team8, admitiu que a medida mais segura — pelo menos no que diz respeito à sua própria responsabilidade — teria sido manter silêncio. No entanto, dado o escrutínio público do incidente, isso provavelmente teria levado a empresa à falência.
“Entramos em uma dinâmica de compartilhar, compartilhar e compartilhar, e isso realmente ajudou nosso processo”, afirmou Brown. Ele explicou que isso permitiu à empresa educar o setor sobre os ataques de nações-estado e suas táticas, bem como compartilhar as medidas que estava tomando para desenvolver a ciber-resiliência.
Mas compartilhar demais nem sempre é algo positivo. Segundo Brown, sua transparência foi um fator determinante na investigação da SEC — na qual foram apreendidos registros internos, dispositivos e comunicações da SolarWinds — e levou à sua acusação e à da empresa.
Cuidado com o que se diz
Durante o primeiro ano da investigação, a SEC coletou dados para construir o caso. Ela recolheu comunicações e e-mails da empresa e solicitou a Brown informações de seu telefone, incluindo mensagens do WhatsApp e do Signal.
“Uma das minhas crenças ingênuas no início era que alguém estava buscando a verdade”, afirmou Brown. No entanto, acrescentou, logo descobriu que ninguém buscava a verdade, mas sim informações suficientes para apresentar um caso convincente perante a divisão de conformidade.
Durante as fases de coleta de provas e investigação, Brown ficou surpreso com os tipos de comunicações que estavam sendo questionados.
Por um lado, o conhecimento do setor foi mal interpretado. Nos e-mails entre ele, o diretor técnico e o diretor de sistemas de informação, a expressão “melhoria contínua” era frequentemente utilizada, por exemplo — uma frase muito conhecida no setor de tecnologias da informação. A SEC questionou como era possível que estivessem “melhorando continuamente”.
A SEC também perguntou por que a empresa contava com um programa de identidade que se estendia por vários anos. Como qualquer diretor de segurança da informação sabe, os programas de identidade são iniciativas contínuas que apenas crescem e evoluem — nunca “terminam”. Brown afirmou que lhe perguntaram se ele era incompetente.
“Os procedimentos operacionais normais se tornaram, na perspectiva [da SEC], prova de negligência”, afirmou Brown. Ele citou um relatório de auditoria interna que detectou cinco incidentes de controles de acesso mal configurados. De acordo com as denúncias da SEC, tratava-se de um “problema sistêmico” — apesar de a auditoria também indicar que a empresa contava com 30.000 registros de controle de acesso configurados corretamente e que havia detectado essas cinco configurações incorretas.
Naquele momento, Brown tentou se explicar perante a SEC, o que, segundo ele, só levou a mais problemas.
“Um dos erros que cometi durante nossas primeiras entrevistas iniciais e a coleta de informações pela equipe da SEC foi tentar explicar a eles o que era engenharia de software, o que faz uma equipe de segurança, qual era o processo — e eles nos acusaram de conivência”, afirmou.
Outra coisa que alarmou Brown durante a investigação foi como algumas comunicações foram tiradas do contexto — um problema que a maioria das organizações não aborda em suas políticas de comunicação ou de segurança. Muitas comunicações internas justificam uma investigação e medidas disciplinares — como o assédio, por exemplo. Mas e quanto a um e-mail entre dois analistas de segurança que diz: “Nossa segurança é um desastre!”? Todo mundo tem dias assim, e a maioria dos funcionários desabafa de vez em quando com colegas de confiança. Mas qualquer mensagem enviada por meio dos canais corporativos está sujeita a intimação judicial, e quando se trata da SEC, essas são palavras muito graves.
“Havia piadas no chat, havia conversas informais pelo Teams com nossos funcionários”, disse Brown — comunicações nas quais ele nunca teria pensado duas vezes — até agora, porque a SEC também considerou que essas piadas eram conluio.
Aprender com o passado
Brown afirmou acreditar que a SEC estava usando a brecha da SolarWinds como uma lição para outras organizações.
“No que concordo um pouco com a SEC — algum dia saberemos se isso é verdade — é que acredito que eles estavam buscando um caso que tivesse repercussão pública suficiente, que servisse para alertar os CISOs, as equipes de segurança e as equipes executivas e conselhos de administração de que a segurança é importante e de que deveriam discutir mais sobre segurança dentro da equipe executiva e do conselho de administração — caso contrário, estão sendo negligentes”, afirmou Brown. “Eles não podem criar leis, mas podem estabelecer precedentes por meio da aplicação da regulamentação”.
Uma lição que Brown quer que as pessoas aprendam com sua experiência é que, embora nenhum CISO ou organização deseje limitar o que seus funcionários dizem, dentro do razoável, muitas regulamentações lhes conferem esse direito, especialmente quando essas comunicações ocorrem utilizando propriedade da empresa.
“Nunca vi ninguém dizer: ‘Lembre-se de que a linguagem que você usar em uma mensagem pode ser interpretada de forma crítica’”, observou Brown. “Não enfatizamos a ideia de que a detecção e o e-mail poderiam ser usados contra você, ou que o Teams poderia ser usado contra você”.
Brown e seu coapresentador na RSAC, Ira Winkler, CISO e vice-presidente da CYE, fornecedora de plataformas de gerenciamento de exposição, compartilharam as seguintes dicas para ajudar os CISOs e suas organizações a implementar controles que abordem essa lição:
- Crie uma política. Elabore documentos que descrevam a conduta e a comunicação adequadas. Obtenha aprovação desde o diretor-geral até os níveis inferiores. Defina sanções por descumprimento.
- Estabeleça uma política de conformidade e aplique-a. Aplique a política de maneira justa a todos os funcionários.
- Informe os usuários sobre as políticas. Certifique-se de que os funcionários compreendam a política. Inclua o que a política implica e como ela é aplicada. Por exemplo, explique o processo de detecção, incluindo rastreamento e scraping de e-mails.
- Cumpra a regulamentação. Siga as regulamentações setoriais, nacionais e internacionais pertinentes e exigidas, bem como as leis de privacidade, as leis de segurança de dados e as leis de retenção de dados.
- Incentive a autodenúncia. Crie mecanismos de denúncia anônima para os canais de comunicação internos e externos.
- Implemente a supervisão dos canais internos. Ofereça treinamento específico e monitore todos os canais possíveis, incluindo e-mail e plataformas de colaboração.
As organizações devem priorizar conversas sobre comunicações, interpretações e contexto, afirmou Brown, e garantir que todos os funcionários estejam informados e compreendam claramente a situação.
“Se você não está pensando nisso, não vai querer ser o próximo Tim Brown — sem querer ofender”, disse Winkler.
