Mauro Almeida, Manager da everis Portugal para a área de segurança de informação e cibersegurança, avança à Security Magazine que “o ciber risco já é um tema essencial nas agendas da gestão de topo das organizações”. Como aponta, “a pandemia teve dois impactos muito curiosos na estratégia de gestão de risco das empresas. Um negativo e outro positivo”.
Security Magazine – De que forma tem evoluído a percepção do ciber risco por parte das empresas em Portugal?
O ciber risco já é um tema essencial nas agendas da gestão de topo das organizações, que efectivamente o consideram como sendo um risco operacional. Isto é, um risco com o potencial de gerar um impacto negativo, e profundo, na organização, seja ele reputacional, financeiro, regulamentar ou capaz de gerar uma quebra de produção.
No entanto, apesar de se assistir a um aumento da sensibilização das organizações para o ciber risco, também se assiste a uma redução considerável no nível de confiança destas na sua capacidade de o gerir.
Esta perda de confiança está muitas vezes associada à dificuldade que as empresas têm em compreender o impacto dos riscos a que estão expostas, a probabilidade de ocorrência desses riscos e sobre quais agir.
Esta dificuldade é acrescida pela progressiva adopção das políticas de bringyourowndevice (BYOD), teletrabalho, aumento do número de fornecedores e clientes das empresas, que elevam consideravelmente a exposição destas a potenciais ataques.
Por forma a ultrapassar estes desafios, torna-se essencial o desenho e implementação de um plano de segurança, alinhado com a cultura e estratégia organizacional, que tenha por base uma correta avaliação de ciber risco a que empresa organização está exposta.
Quais são as principais motivações de compra por parte dos clientes ao nível de produtos/soluções de cibersegurança?
Actualmente grande parte das organizações adquire as soluções de cibersegurança com o objectivo de aumentarem o seu nível de maturidade de segurança de informação e de cibersegurança.
Por exemplo, uma organização pode avançar com a implementação de um sistema de autenticação multi-fator (MultifactorAuthentication – MFA) ou a adopção de soluções de classificação e gestão da informação, com o objectivo de aumentar o nível de maturidade dos seus mecanismos de autenticação e de protecção de informação, respectivamente.
No entanto, a aquisição de soluções de segurança motivada pelo aumento do nível de maturidade não é aquela que garante o melhor ROI (return of investment) para as organizações.
A abordagem que defendo é a aquisição de soluções sob a perspectiva do ciber risco, tendo a avaliação de risco como pedra basilar de uma estratégia de segurança robusta e holística. Esta abordagem permite às organizações a selecção adequada das soluções a adquirir, ou implementar, e garante uma aplicação eficiente do orçamento disponível e correta priorização do investimento com a consequente redução do ciber risco.
Existirão sempre mais vulnerabilidades a mitigar e mais controlos de segurança a implementar do que aqueles que, mesmo organizações sem restrições orçamentais, serão capazes de endereçar. É por isso premente que as organizações sejam capazes de tomar decisões rigorosas e factuais sobre os principais ciber riscos aos quais estão expostas e com base nessa análise decidir, de forma eficiente, quais os investimentos a realizar em ciber segurança.
Considera que a actual pandemia trouxe impactos à estratégia de gestão de risco das empresas? Que aprendizagens podem retirar empresários e profissionais desta situação?
A pandemia teve dois impactos muito curiosos na estratégia de gestão de risco das empresas. Um negativo e outro positivo.
Por um lado, fruto da situação de crise sanitária e económica sem precedentes que vivemos, as empresas sofreram quebras na procura e uma enorme incerteza no que respeita os cenários económicos. No imediato, houve duas preocupações principais por parte das organizações:
1. Assegurar a continuidade de negócio e o teletrabalho e 2. Garantir a liquidez necessária para cumprir com os seus compromissos, como por exemplo o pagamento de salários. Isto fez com que as organizações acelerassem alguns programas de transformação digital e desmaterialização que, pressionadas pela necessidade de garantir a continuidade de negócio, foram implementados sem uma componente de segurança e representam, por isso, um risco elevado para as empresas, os seus fornecedores e clientes.
Por outro lado, a pandemia veio expor as organizações a novos riscos que não haviam ainda sido identificados ou que estariam, eventualmente, mal classificados.Obrigadas a alargar o seu perímetro de segurança, literalmente, à casa dos seus colaboradores e fornecedores, as organizações viram a sua superfície de ataque aumentar consideravelmente.
Esta situação veio influenciar positivamente as organizações, no sentido em que as sensibilizou para a importância de adoptarem uma abordagem à Segurança da Informação que englobe simultaneamente processos, pessoas e tecnologia. Apenas com este equilíbrio, potenciado por uma correta avaliação de ciber risco, é possível desenhar e implementar uma estratégia de segurança de informação, e ciber segurança.
Em Segurança da Informação não existe uma receita one-size-fits-all e por isso há que compreender a estrutura da organização, garantindo a correta implementação dos processos de negócio, conhecer as necessidades da organização, envolvendo as pessoas como primeira linha de defesa, e garantir a correta selecção e implementação das soluções tecnológicas.