Carlos Vidinha, responsável pela prática de Cloud Infrastructure Services na Capgemini Portugal, destacou à Security Magazine que o ciber risco em Portugal “é entendido como um componente fundamental do risco corporativo”. Para o responsável, o principal impacto que a actual pandemia trouxe à estratégia de gestão do ciber risco das organizações foi o de “ter acelerado de forma dramática o processo de evolução de variáveis com impacto significativo neste domínio”
Security Magazine – Como tem evoluído a percepção do ciber risco por parte das empresas em Portugal?
Em Portugal, tal como em todo o mundo, há uma evolução clara de uma realidade em que o ciber risco era percebido como sendo um tema de tecnologias de informação, na esfera de responsabilidade dos gestores dessa área, para uma nova realidade em que o ciber risco é entendido como um componente fundamental do risco corporativo.
No seu todo e, como tal, da responsabilidade da gestão executiva da organização, que define um modelo de gestão mobilizando recursos em diferentes áreas, tais como tecnologias e sistemas de informação, cibersegurança, segurança corporativa, recursos humanos, auditoria, conformidade, entre outras.
Esta evolução decorre da conjugação à escala global de diferentes factores, que impactam a realidade social e económica de forma transversal a geografias e sectores de actividade, onde se destacam: (i) a crescente digitalização de processos de negócio, com fluxos de informação sensível estendidos a um universo cada vez mais alargado e heterogéneo de intervenientes (colaboradores, parceiros, clientes, público em geral) em localizações e com equipamentos não controlados, (ii) o aumento do volume, frequência e sofisticação das ameaças cibernéticas, (iii) quadros legais (nacionais e internacionais) e regulatórios (sectoriais) cada vez mais exigentes.
É também digno de registo, para o entendimento deste fenómeno evolutivo, a questão da protecção da privacidade de dados pessoais que, quer por força da legislação no entretanto adoptada em diversas geografias (e.g. GDPR, CCPA, LGPD), quer por força da crescente consciencialização da opinião pública e agentes económicos para a importância do tema, leva a que a sociedade no seu todo tenha hoje uma percepção mais exigente sobre os temas de confidencialidade, integridade e disponibilidade da informação.
Quais são as principais motivações de compra por parte dos clientes ao nível de produtos/soluções de cibersegurança?
O processo de tomada de decisão relativo à compra de produtos e soluções de cibersegurança tem registado uma evolução que resulta, de forma natural, da transformação da percepção do ciber risco por parte das organizações.
De uma realidade em que estas decisões de investimento eram muitas vezes feitas com base em critérios pouco objectivos, à mercê, por exemplo, de preferências emotivas de determinado individuo ou motivos circunstanciais que afectaram certa organização em dado momento, assistimos agora à adopção de abordagens estruturadas e sistematizadas para este tipo de tomada de decisão a nível corporativo.
O elemento fundacional destas abordagens é a avaliação de risco, do nível de ciber risco incorrido pela organização, e do seu impacto no nível de risco corporativo. As organizações têm de inventariar os seus activos, identificar as ameaças a que estão sujeitas e as vulnerabilidades a que estão expostas em função dos controlos de segurança existentes, determinando desta forma o impacto no negócio e a probabilidade de ocorrência de incidentes de segurança de informação e privacidade de dados.
Feita esta avaliação de risco, há que decidir se o nível de risco incorrido por cada activo é compatível com o perfil de risco da organização e, caso não o seja, tomar as decisões de investimento necessárias à adopção de medidas de mitigação que concorram para essa compatibilização.
Este exercício tem de ser projectado no tempo de forma evolutiva (nenhuma organização tem recursos para operar uma mudança radical no seu nível de ciber risco de forma imediata) e recorrente (porque a realidade, quer do lado dos activos quer do lado das ameaças e vulnerabilidades, é dinâmica e obriga a ciclos de reavaliação frequentes).
Considera que a actual pandemia trouxe impactos à estratégia de gestão de risco das empresas? Que aprendizagens podem retirar empresários e profissionais desta situação?
O principal impacto que a actual pandemia trouxe à estratégia de gestão do ciber risco das organizações foi o de ter acelerado de forma dramática o processo de evolução de variáveis com impacto significativo neste domínio: deslocalização de colaboradores, redefinição e digitalização de processos de negócio, desmaterialização de suportes de comunicação com clientes e parceiros, utilização de equipamentos heterogéneos e não controlados, multiplicação do volume e sofisticação de ameaças, deslocalização dos pontos de acesso à informação, entre outras.
Esta evolução obrigou, por um lado, a uma adaptação das organizações à nova realidade num prazo de tempo inimaginável noutras circunstâncias, com impactos significativos nos níveis de investimento e esforço incorridos, bem como, por vezes, na aceitação de níveis de risco não toleráveis noutros cenários.
Por outro lado, demonstrou a necessidade estratégica da concepção e adopção de modelos ágeis, ao nível organizacional e tecnológicos, que permitam responder de forma efectiva e eficiente a mudanças radicais de conjuntura; quer as impostas por variáveis endógenas (a actual pandemia ou outros eventuais fenómenos com impacto macroeconómico), quer as que resultem de alterações de estratégia de negócio (por exemplo fusões e aquisições, alterações de objecto de actividade, reconfiguração de perímetro geográfico de actividade).
