Tal como em todas as áreas do conhecimento, na cibersegurança também existem alguns mitos, os quais, ainda que tendam a atenuar-se com a inexorável realidade dos factos, perduram.
Ideias como “tenho várias camadas de firewalls e, por isso, a minha organização está segura”, “investir em cibersegurança não dá qualquer retorno” até à clássica “a cibersegurança é um assunto tecnológico, por isso, é um assunto do Departamento de TI”.
São noções que ainda existem na nossa sociedade, sobretudo na camada dirigente, que importa esclarecer e, sobretudo, desconstruir.
Baseando-nos apenas no que aconteceu no nosso país, em 2022, altura em que vários ataques cibernéticos de grande escala e âmbito ocorreram, existem evidências de que muitas das maiores empresas permanecem com baixos níveis de preparação nesta área.
Embora os respetivos dirigentes já reconheçam a cibersegurança como uma importante parte das atividades na área do IT, ainda não compreenderam completamente o caráter estratégico desta temática. Além disso, não compreendem a importância, para o negócio, de trazerem o tema da cibersegurança para o Conselho de Administração. É importante olhar este tema como uma oportunidade, face ao facto de que, cada vez mais, as atividades das empresas dependem do digital.
A importância da cibersegurança na proteção dos dados
Numa perspetiva diametralmente oposta, constata-se que os executivos, que conseguiram gerir o impacto daqueles ataques cibernéticos om sucesso, reconhecem na cibersegurança uma prioridade estratégica de alto nível. Este reconhecimento resulta do facto de verificarem que o seu maior erro no período que antecedeu este ataque terá sido o de tratar a cibersegurança apenas como uma questão técnico-operacional.
Face ao que temos vindo a observar, já podemos afirmar com bastante certeza que as entidades, que são atacadas e que possuem altos níveis de preparação, recuperam mais rápida e facilmente e não perdem informação. Com efeito, as lições aprendidas evidenciaram que a melhor forma de mitigar os riscos inerentes é maximizar a preparação corporativa numa lógica transversal à organização. Caso contrário, todo o negócio pode ser gravemente afetado por uma situação deste género, para além da reputação da empresa, o que, no limite, pode impactar o respetivo valor bolsista.
Cibersegurança: uma nova abordagem estratégica
Trata-se, assim, de uma mudança fundamental de mentalidade e de cultura corporativa: a cibersegurança deve ser tratada como um assunto de natureza estratégica e não eminentemente operacional. Deve ser tratada como um investimento e não como uma despesa.
Na verdade, olhar-se para este assunto como uma oportunidade, leva a que a organização desenvolva uma sólida estratégia de cibersegurança, focada na identificação das vulnerabilidades e dos riscos associados aos ativos críticos para os processos de negócio e o respetivo tratamento e mitigação. O mecanismo de desenvolvimento da estratégia permitirá, ainda, reconhecer novas oportunidades, incluindo a revelação de novos pontos fortes e fracos fundamentais quer para a transformação das lideranças das equipas, quer no âmbito da evolução das capacidades organizacionais, nomeadamente, aquelas que contribuem para o incremento da resiliência organizacional através da cibersegurança.
Relativamente aos comportamentos, importa também sublinhar a importância de cultivar uma sólida cultura de cooperação dentro da própria entidade e entre organizações. Se dúvidas existissem sobre este tema, basta observar a natureza. Por exemplo, se um grupo de animais pretende percorrer longas distâncias, e superar, com sucesso, os desafios que tem pela frente, então, unem esforços, porque sabem que juntos poderão ir mais devagar, mas, instintivamente, também sabem que irão mais longe, pois são mais poderosos contra potenciais inimigos e gastam menos energia para viajar, em comparação, com o que aconteceria, se o fizessem sozinhos.
Observamos isso na terra, no ar e no mar. E os seres que habitam no mar sabem disso muito bem, porque aprendem, a bem ou, às vezes, a mal, que o oceano é implacável para aqueles que ousam desafiá-lo solitariamente.
Os problemas atuais são demasiado complexos para que uma única pessoa ou, mesmo, uma única comunidade, consiga encontrar uma solução adequada para o mesmo.
O World Economic Forum, num interessante relatório publicado em outubro de 2020, estudou a importância da cooperação da partilha de informação e de conhecimentos no contexto da cibersegurança. Esta cooperação no domínio da informação e dos conhecimentos é essencial para a construção de uma segurança coletiva mais forte e resiliente, referindo que, “No organization has full visibility of the whole problem, which makes collaboration and information sharing essential.”
A segurança do ciberespaço é, por isso, cada vez mais um pilar de uma sociedade digital, que se pretende resiliente, sendo, por isso, essencial para garantir a integridade dos processos sociais e de negócios interconectados. Processos esses que estão no centro dos complexos ecossistemas das sociedades modernas. A sua crescente importância, designadamente quanto ao impacto que os mais diversos tipos de ciberataques podem provocar na sociedade, tem sido sistematicamente classificada pelas mais diversas fontes como um dos maiores riscos que a economia global enfrenta.
Construir o Futuro com base na capacitação digital das organizações é um acelerador do desenvolvimento. Fazê-lo, alicerçado nas melhores práticas de cibersegurança, é um promotor de Confiança. Só através de um elevado nível de maturidade em Cibersegurança nas pessoas, processos e sistemas das organizações, é que estarão reunidas as condições para a sua resiliência digital e subsequente promoção do desenvolvimento económico sustentado.
Artigo de António Gameiro Marques, codiretor do programa Cybersecurity for Executives.
