Bruno Gonçalves, BU Manager de Cybersecurity & Public Safety da Warpcom, avança à Security Magazine que “a generalidade das organizações não tem ainda maturidade suficiente para entender que o ciber risco vai muito para além das violações de dados e de segurança de perímetro”. Para o responsável, “a actual pandemia obrigou quase todas – se não todas – as empresas a adaptarem-se rapidamente a este novo normal, forçando-as a ter de transformar em tempo record a sua organização”
Security Magazine – Como tem evoluído a percepção do ciber risco por parte das empresas em Portugal?
Diria que os últimos dois anos tem revelado sinais encorajadores na forma como as empresas em Portugal percepcionam o ciber risco. Motivadas maioritariamente por grandes eventos mediáticos de ataques que ocorreram, tanto a nível internacional como nacional, e que causaram um impacto real e sério no negócio de empresas de vários verticais e na sociedade em geral. As leis governamentais também têm tido um papel importante nomeadamente através da imposição do GDPR e do NIS.
Neste sentido, creio que a percepção actual é de que o risco cibernético está clara e firmemente no topo das agendas das empresas. Temos assistido a uma mudança positiva no que diz respeito à consciencialização e à adopção de uma gestão de risco cibernético mais rigorosa e abrangente em muitas áreas.
Por outro lado, a verdade é que a generalidade das organizações não tem ainda maturidade suficiente para entender que o ciber risco vai muito para além das violações de dados e de segurança de perímetro, tendo evoluído para esquemas sofisticados que podem causar disrupção total de qualquer negócio, estes cada vez mais digitais.
Com efeito, estes riscos podem ser mitigados, geridos e pode-se recuperar de, mas não se pode, efectivamente, eliminá-los por completo. Genericamente as organizações continuam a lutar para definir a melhor forma de articular, abordar e agir de acordo com o ciber risco na sua estrutura, tendo uma geral falta de competências internas para o fazer e um grau de maturidade muito baixo face à sofisticação e abrangência dos ciber riscos existentes.
Apesar da percepção ao risco ser claramente maior,a generalidade das organizações ainda não conseguem medir efectivamente os riscos a que estão sujeitas e, em muitos casos, também não possuem os meios humanos e técnicos para mitigar esses riscos.
Apesar destas preocupações estarem cada vez mais no topo das agendas das empresas, a verdade é que continua a não haver um investimento sério e planeado para as organizações ganharem a capacidade de não apenas medirem o ciber risco a que estão sujeitas, mas adquirirem também os meios humanos, processuais e tecnológicos para fazer face a este risco.
Quais são as principais motivações de compra por parte dos clientes ao nível de produtos/soluções de cibersegurança?
Actualmente as motivações que levam à compra de soluções de cibersegurança são bastante diversificadas e altamente dependentes da maturidade da organização.
Se algumas organizações ainda procuram uma simples solução de protecção de um ou outro elemento dentro da sua arquitectura de segurança core, outras vão ao mercado movidas pelo medo impulsionado pelos grandes eventos mediáticos e as imposições regulamentais, não sabendo muitas vezes qual o produto/solução que realmente necessitam.
Existe ainda um terceiro grupo de organizações que, por terem uma maior consciencialização do tema, e conhecendo a priori as diversas ameaças a que estão expostas, focam-se não só em proteger a sua infraestrutura on-prem ou na cloud, mas também os endpoints que são utilizados pelos seus colaboradores dentro e fora da rede, em definir processos internos, a adquirir mecanismos de detecção, de resposta e de recuperação a eventos e incidentes de segurança e em garantir a correta gestão de vulnerabilidades e compliance de todos os seus sistemas.
Analisando as motivações presentes nos primeiros dois grupos constata-se que existe uma dissonância entre o risco real a que as empresas estão expostas e as acções que as mesmas acabam por tomar, não existindo uma abordagem ao tema da cibersegurança de uma forma holística, levando por vezes a resultados catastróficos.
Por outro lado, existe ainda uma mentalidade muito agarrada à ideia de que tomando o comprimido certo – leia-se, adquirindo determinado produto ou solução –, qualquer que seja a situação que surja no futuro irá de imediato ser ultrapassada. Contudo, a verdade é que na área da cibersegurança tal não corresponde à realidade. Todos os dias existem novos e mais sofisticados ataques que, aliados à própria evolução da transformação das organizações, exigem que este trabalho de gestão da segurança seja contínuo.
Acredito que estamos num ponto de viragem. Acredito que num futuro breve as motivações das organizações não irão passar apenas pela aquisição de soluções que dão uma resposta imediata às suas necessidades mais perceptíveis. Acredito que, cada vez mais, as organizações entendem a necessidade de uma abordagem holística à cibersegurança, com o desenho e arquitectura de soluções completas, assim como a adopção de serviços de segurança que apoiam as organizações a ganhar competências na gestão de todas as plataformas e que garantem a existência – e execução – de processos reactivos de detecção e resposta a incidentes e de processos proativos de gestão de todos as camadas de segurança que incluem a gestão de vulnerabilidades e compliance.
Considera que a actual pandemia trouxe impactos à estratégia de gestão de risco das empresas? Que aprendizagens podem retirar empresários e profissionais desta situação?
A actual pandemia obrigou quase todas – se não todas – as empresas a adaptarem-se rapidamente a este novo normal, forçando-as a ter de transformar em tempo record a sua organização, a sua gestão interna, os seus processos e também os seus meios tecnológicos.
Durante esta transformação foi evidente que a generalidade das organizações não estava preparada, ou pensada, para fazer face aos riscos inerentes a um cenário de pandemia como o actual. E isto faz-nos pensar: estariam – ou estão – preparadas as organizações para combater outros riscos que não uma pandemia?
Por outro lado, este momento único que todos vivemos, deixou claro que as organizações que melhor estavam preparadas – porque já tinham processos internos definidos e/ou os meios tecnológicos necessários para tomar acções rápidas de mitigação ou planos de continuidade de negócio em prática, mais facilmente se adaptaram e em pouco ou nada viram a operação do seu negócio ser afectada.
Desta forma, diria que as principais aprendizagens deverão ser:
- Um plano elementar é melhor do que um “não-plano” – Mesmo que digamos que ninguém estava preparado para um cenário de pandemia, a verdade é que as organizações que já tinham internamente acautelados outros cenários para assegurar a continuidade de negócio se adaptaram mais rapidamente. Estes planos de resposta e resiliência devem ser continuamente testados e ajustados e as empresas devem determinar se a sua abordagem de resposta à gestão de risco é eficaz e eficiente, com recursos de resposta e recuperação adequados para manter a continuidade do seu negócio durante – e para além – desta crise. Em situações de crise como a actual, um plano detalhado é inestimável para orientar indivíduos com diferentes papéis e responsabilidades em direcção a um objectivo comum e movê-los numa acção colectiva, pelo que estes planos devem abranger todo o espectro de actividades da empresa.
- A segurança e resiliência cibernéticas vão muito para além do IT – A segurança e resiliência cibernéticas são, antes de mais, uma questão de liderança e mais relacionadas com estratégica e cultura do que com táctica. Ter resiliência implica que os níveis mais altos de liderança da organização entendem a importância de uma gestão de risco proativa e continuamente adaptável ao contexto.
- A identificação, acção e comunicação são pilares essenciais – Ter a capacidade para identificar rapidamente os riscos é, naturalmente, vital para que se possa tomar acções para os mitigar atempadamente. Uma vez identificados e priorizados os riscos, os decisores podem recorrer aos planos definidos – ajustando-os em conformidade – para delinear uma estratégia e alocar os recursos adequados para a crise em questão. Nesse sentido, apostar numa equipa multifuncional – interna ou externa – com aptidão para a gestão de riscos e crises, para além das competências de gestão de IT, é fundamental para o seu sucesso. Assim, as organizações devem ter mecanismos internos que garantam a identificação de novos riscos, investindo na cultura da organização e nos meios humanos e tecnológicos para esse efeito. Paralelamente, é importante que exista uma comunicação fluída dentro da organização de modo a que os agentes de decisão tenham a informação necessária para uma tomada de decisão mais informada e célere.
- Nenhuma organização é um super-herói – Nenhuma organização é suficientemente auto-suficiente para lutar sozinha no mundo actual. Pelo contrário, a generalidade das empresas vive num ecossistema de parceiros e relações que as permitem prosperar para além das suas capacidades individuais. No tema da cibersegurança é fundamental que as empresas entendam as suas limitações e recorram a empresas especialistas para as ajudar a entender, definir, planear e actuar sobre os riscos que correm, bem como para partilhar ideias, tendências e melhores práticas sobre as formas de protecção, resposta e recuperação de incidentes quando estes ocorrem. Na situação actual em concreto, diria que a generalidade das empresas deverá aconselhar-se e repensar nas acções que tomaram para colocar a generalidade dos seus colaboradores em casa no início da pandemia e reavaliar a posição em que isso as coloca. Simultaneamente, deve continuar a preparar-se para este novo normal, uma vez que é expectável que o trabalho remoto permaneça por tempo indefinido e que a digitalização dos negócios continue a acelerar.
