0
0
Como sócio-gerente que investe em segurança cibernética na Thoma Bravo, a “diplomacia” no meu mundo geralmente se limita às minhas interações com proprietários de empresas e equipes executivas. O objetivo é criar novas oportunidades de investimento e ajudar as empresas do nosso portfólio a crescer e atender seus constituintes.
Mas na Conferência Global do Milken Institute 2023, em maio, participei de um painel de discussão sobre segurança cibernética intitulado “Defesa Digital e Diplomacia: Aprimorando a Coordenação Cibernética Global“. Quando me pediram para participar do painel Milken, fiquei preocupado que pudesse ser um pouco fora da curva. Em um grupo de especialistas com extraordinária experiência em segurança cibernética do governo e do setor público, fui convidado a representar a “voz do setor privado”.
O que uma empresa de private equity tem a ver com cibersegurança?
A Thoma Bravo investe em empresas de cibersegurança desde 2009. Temos um portfólio de empresas cibernéticas com um valor empresarial próximo de US$ 40 bilhões que gera uma receita anual total de US$ 5,8 bilhões e emprega mais de 20.000 pessoas (no final de 2022). Meu trabalho é ajudar a construir grandes empresas de segurança cibernética por meio de inovação e gestão de negócios para gerar retornos para aqueles investidores que confiam em nós com seu capital.
Então, o que eu poderia emprestar a uma conversa sobre a “alta política” do conflito cibernético entre países e a dinâmica da política governamental envolvida nessas discussões críticas sobre defesa, dissuasão e afins?
À primeira vista, esses parecem contextos culturais muito diferentes – e alguns podem até argumentar incompatíveis – para se falar em cibersegurança. No entanto, na prática, os setores público e privado têm bastante em comum quando o assunto é ambiente digital.
Setores público e privado têm desafios e objetivos semelhantes
O desafio da segurança digital é fundamentalmente equivalente tanto para o setor público quanto para o privado. Ambos os ambientes compartilham o objetivo simples de proteger o tecido subjacente da economia e da sociedade digitais de hoje. À medida que a transformação digital avança, isso significa cada vez mais proteger a economia e a sociedade como um todo, independentemente do setor. Todas essas linhas tênues impulsionaram um foco crescente em parcerias público-privadas (PPPs), uma tentativa de unir o melhor dessas duas culturas e fortalecer a segurança cibernética em geral como resultado.
Isso faz todo o sentido; A cibersegurança, na prática, é um problema de nível social que impacta tanto o setor privado quanto o público. Mas acho que muito do que é dito e escrito (e em menor medida tentado) em PPPs de segurança cibernética tende a ser de alto nível, abstrato e excessivamente aspiracional. No private equity, há pouco espaço para lidar com a abstração.
Quando investimos em empresas de segurança cibernética, procuro ações concretas que possam criar eficiência, melhorar o desempenho e resultar em resultados mensuráveis melhores em termos de segurança e negócios – e procuro fazê-lo mais cedo ou mais tarde.
4 maneiras de promover parcerias público-privadas de segurança cibernética
O painel Milken me ajudou a ver como o setor público poderia aproveitar melhor esse tipo de pragmatismo do setor privado para avançar em uma agenda compartilhada. Cristalizei esses pensamentos em quatro pontos de interesse comum, linguagem e perspectiva – áreas acionáveis de cruzamento que têm o potencial de avançar e acelerar a agenda de PPPs.
- Adapte o cálculo: É importante reconhecer que os maus atores contra os quais estamos tentando nos defender estão tomando decisões sobre o que e o que não fazer de forma racional e sensível aos custos. Essa lógica não está apenas no coração da defesa nacional, mas também no centro das decisões de um CISO sobre em quais produtos de segurança gastar recursos preciosos. Mas defensores públicos e privados precisam entender melhor as motivações granulares e os cálculos de maus atores para tomar boas decisões sobre prioridades e investimentos em segurança cibernética. Os hacktivistas, por exemplo, têm um cálculo racional diferente dos atores estatais ou dos criminosos que buscam lucro puro. Um foco importante da PPP deve ser compartilhar o que cada um de nós aprendeu sobre esses cálculos ao longo do tempo.
- Entenda o básico: Os elos mais fracos da cadeia de valor da segurança muitas vezes não são os vetores de ataque mais sofisticados ou interessantes cientificamente, nem aqueles que tendem a atrair mais atenção entre os pesquisadores. Mais esforços de segurança cibernética hoje ainda são proteções básicas que equivalem a consertar os buracos fáceis em nossas defesas – coisas que já sabemos como consertar. Tanto governos quanto empresas privadas precisam prestar muito mais atenção à higiene cibernética fundamental – coisas como autorização de dois fatores (2FA) e gerenciamento de identidade. Isso pode não ser o material de narrativa emocionante ou intriga científica, mas ainda é onde os defensores geralmente recebem o estrondo mais protetor para o dinheiro. A execução no básico pode fazer muita diferença.
- Inovando para obter lucro: A aceleração na tecnologia digital – e, claro, mais recentemente na IA generativa – significa que a pesquisa e o desenvolvimento da segurança cibernética são absolutamente críticos para o futuro da defesa. Mas os gastos em P&D por si só nem sempre produzem valor adequado. Precisamos de I&D para sermos produtivos, ou seja, a grande inovação deve ser canalizada e focada pela disciplina empresarial. Com isso em mente, a busca por lucratividade é uma característica da P&&D produtiva, não um bug ou uma restrição infeliz.
- Aprendendo a remar: Por último, considero que a partilha de informações entre os sectores público e privado tem de ser sistemática e específica para ser mais útil a ambos. Um dos meus colegas de painel mencionou o exemplo da partilha de informações particularmente valiosas no período que antecedeu a invasão da Ucrânia. Estávamos todos “remando na mesma direção”, disse ele, enquanto o governo compartilhava informações pertinentes com as empresas privadas bem posicionadas para agir sobre isso. Precisamos estar constantemente praticando esse tipo de compartilhamento de informações – construindo a musculatura e a coordenação necessárias para remar em conjunto – especialmente quando nenhum setor está em crise.
Saí do painel Milken com uma crença reforçada no papel crítico que as PPP desempenharão no futuro da cibersegurança. Para que essas PPP sejam bem-sucedidas, será preciso menos apontamento de dedos (em ambas as direções) e mais colaboração substantiva. Isso significa identificar áreas específicas de parceria e mensurar resultados ao longo do tempo, com o objetivo de beneficiar a sociedade em geral, incluindo organizações públicas e privadas.
FONTE: DARK READING