Este artigo dedica-se ao fator humano na Cibersegurança, porventura o elemento mais importante, pelo seu contributo transversal e ininterrupto, para a proteção ou para a fragilidade dos sistemas tecnológicos e digitais com que lidamos na nossa vida pessoal ou profissional.
O ser humano é comummente considerado como o vetor mais importante e simultaneamente como o elo mais fraco da pegada digital da nossa economia e sociedade, e as evidências assim o confirmam, dado saber-se que a esmagadora maioria dos incidentes de cibersegurança resultam das fragilidades decorrentes da sua interação com os sistemas e tecnologias, seja por erro, negligência ou desconhecimento, ou simplesmente por falta de consciencialização em relação aos riscos resultantes da sua relação de crescente proximidade, complexidade e dependência.
Por este motivo considera-se que a Cibersegurança não é exclusivamente uma matéria de natureza tecnológica, uma leitura que os que assumem um papel ativo ou de responsabilidade no desenvolvimento desta disciplina procuram desconstruir há demasiado tempo. Desde logo constata-se que os incidentes resultam muitas vezes de vulnerabilidades de código, do descarregamento indevido de um ficheiro malicioso constante de um email de Phishing, de desacerto na implementação de controlos de segurança ou de uma sistemática falta de interesse e investimento em Cibersegurança – cujo elemento em comum é fundamentalmente (e fatalmente) a fragilidade do fator humano.
No que concerne à Cibersegurança dos negócios, é importante assimilar que o fator humano compreende diversas dimensões, que encerram diferentes capacidades e riscos para a sua proteção. E para que possam colocar o fator humano a seu favor evitando os riscos, é essencial estabelecer-se uma cultura transversal de Cibersegurança, determinada pelo sentimento de responsabilidade partilhada por toda a organização.
Neste artigo vou-me focar nas três dimensões que considero mais importantes e, sobretudo, fundacionais para um elevado nível de preparação sustentado nas pessoas.
O colaborador comum.
Todos os profissionais têm certamente verificado uma crescente digitalização da sua organização e da sua atividade profissional, muitas vezes sem a formação e sensibilização necessárias para que o façam da forma mais correta e sem introduzir fragilidades nessa interação. Esta problemática acabou exacerbada pelo período de pandemia que ditou uma tão acelerada quão impreparada quase completa digitalização do trabalho em muitos setores económicos, tornando-se deste modo mais suscetíveis às ameaças à Cibersegurança. Não foi, por isso, surpresa que os ciberataques tenham aumentado mais de 50% logo no início deste período conturbado, e que as campanhas de Phishing tenham aumentado cerca de 600%.
Garantir que a força de trabalho, interna e terceirizada, está transversalmente preparada para o desafio, que ademais se afigura progressivamente mais complexo e constante, é uma tarefa árdua e que nunca estará verdadeiramente finalizada, mas que as equipas de Cibersegurança não podem descorar e deixar de promover de forma sistemática. Para esse efeito, devem comunicar assertivamente sobre a importância e os riscos da Cibersegurança, e sobre o papel essencial dos colaboradores e parceiros para a proteção dos negócios, deixando claro que depende de todos e de cada um de nós. Naturalmente que a formação assume um papel central, devendo ocorrer de forma continuada, adaptando as metodologias e conteúdos ao contexto particular de atuação e risco dos diferentes públicos-alvo, medindo a sua efetividade e criando mecanismos de incentivo que valorizem/penalizem os diferentes comportamentos.
O derradeiro objetivo é o desenvolvimento de uma consciência coletiva quase instintiva em relação aos riscos inerentes à sua progressiva interação com o mundo digital – conforme acontece no mundo físico, quando olhamos para os dois lados da estrada antes de atravessar quase sem pensar – a fim de dotar todos os colaboradores e parceiros com as competências e ferramentas necessárias para se estabelecerem como a primeira linha de defesa da organização.
Os Especialistas em Cibersegurança.
Todas as organizações devem procurar integrar nas suas fileiras, quer por via da contratação de recursos humanos, mas também, naquelas que são áreas de grande diferenciação (e.g., Pentesting), da prestação de serviços por empresas especializadas, os profissionais que no seu dia a dia enfrentam esta árdua batalha e procuram proteger os negócios dos riscos da Cibersegurança. Esta capacidade deve ser multidisciplinar, considerando a latitude e transversalidade da matéria, incorporando funções de estratégia, arquitetura, analistas, operações e resposta a incidentes, incluindo a comunicação dos mesmos em situação de crise ou incidente grave, entre outras. Todos trabalham em conjunto com o negócio para o reconhecimento da sua importância estratégica, para o desenvolvimento de processos que compõem as linhas de defesa e resposta a incidentes e ainda, para a criação de uma cultura de normalização e de responsabilidade coletiva em relação à Cibersegurança.
O enorme desafio que agora se coloca está na dramática escassez do capital humano necessário para capacitar as organizações. Se por um lado não se verificou, nas últimas décadas, o desenvolvimento de talento nesta área que se adivinhava vir a ser necessário, dado o contexto global de transformação digital e da evidência das ameaças que lhe estão adstritas, por outro verifica-se que finalmente as organizações estão a despertar para esta incontendível realidade, criando um cenário de choque positivo na procura e de choque negativo na oferta de recursos humanos – a tempestade perfeita para amplificar o problema de escassez de talento em Cibersegurança que se vive em Portugal e por todo o mundo.
É então tempo de colocar mãos à obra, de combater esta lacuna que representa um risco efetivo para a resiliência das organizações e, consequentemente, da sociedade. Teremos de apostar numa veemente estratégia de formação e requalificação de profissionais nesta área, que terá necessariamente de passar por exigir ao Estado um planeamento estratégico para o reforço da capacidade educativa da academia na área da Cibersegurança, que ainda se verifica manifestamente insuficiente; de promover parcerias público-privadas para a criação de oferta formativa avançada – como acontece com o Programa C-Academy, coordenado pelo Centro Nacional de Cibersegurança em parceria com 29 Universidades e Institutos Politécnicos, ou o Programa de Cibersegurança lançado pela Porto Business School, e outros centros de competências que têm vindo a ser implementados; e que as organizações, públicas e privadas, assumam também elas um papel ativo no incremento deste capital humano, seja pelo seu envolvimento e dos seus especialistas nas atividades formativas supramencionadas, ou pelo desenvolvimento diligente e progressivo destas competências na capacidade residente – aqueles que desenvolvem carreira nesta área e todos os que procurem a requalificação para esta área de conhecimento.
Os Executivos.
A Cibersegurança foi considerada durante anos um desafio exclusivamente tecnológico e, portanto, a gestão de risco e a proteção das redes e sistemas das organizações enquadravam-se nas funções das equipas técnicas do IT, que se desfaziam em esforços para acompanhar a evolução do panorama de ameaças e o ritmo veloz da digitalização da sua organização. Este modelo pouco orgânico e ineficaz para a incontornável incorporação dos princípios da Cibersegurança nos processos de negócio tornava-se facilmente permeável às restrições de recursos técnicos e financeiros, e ao reduzido empoderamento para fazer face à avidez das organizações por desenvolvimento digital e tecnológico. O resultado era uma recorrente imponderação dos riscos que uma implementação pouco sustentada em cuidados básicos com a Cibersegurança e a proteção de dados poderiam representar.
Esta realidade tem vindo a mudar substancialmente nos últimos anos, provavelmente pela escalada de incidentes informáticos com impactos muito substantivos para as empresas, Estado e sociedade, mas também pela extensiva cobertura mediática a que hoje assistimos. Tomando consciência dos efeitos potencialmente devastadores para os negócios, os executivos têm a responsabilidade e o dever de elevar a Cibersegurança a um carácter estratégico e de a colocar no topo das suas agendas. Para este efeito, deverão promover uma cultura integrada de Cibersegurança a todos os níveis da organização, garantir que tal assume parte integrante e elementar na gestão de risco dos seus negócios e que se estabelece uma abordagem estratégica e sistemática neste domínio, empoderando e assegurando os recursos necessários às suas equipas de gestão e equipas técnicas para desenvolverem continuamente linhas de defesa e de resposta a esta complexa natureza de ameaças. E a efetividade desta atuação e capacidade de influência dos executivos não poderá advir estritamente da sua consciencialização em relação a este paradigma, sendo determinante a sua literacia, competências e capacidade crítica em relação a esta matéria.
É por este motivo que os executivos assumem um papel fulcral naquele que é o fator humano na Cibersegurança, pelo seu envolvimento absolutamente decisivo na liderança e na orientação para a construção de organizações progressivamente mais ciber resilientes, condição que, por consequência, se constituirá seguramente como fator-chave de criação de valor.
Artigo de Nuno Medeiros, codiretor do Open Executive Programme Cybersecurity for Executives.
CISO e Responsável pela Estratégia IT/OT e Cibersegurança, E-REDES
