Num mundo complexo e ruidoso, a confiança nas pessoas, empresas e instituições é mais importante do que nunca.
|
No entanto, paradoxalmente, parece cada vez mais difícil de assegurar, tendo em conta os fenómenos de desinformação, bolhas mediáticas, fraudes e ciberataques. Para uma empresa, a confiança é a base da criação de valor. Sem ela, não é possível construir relações duradouras com clientes, colaboradores e fornecedores, comprometendo a sustentabilidade da organização a longo prazo. Apesar de a importância da confiança estar bem presente para a maioria dos gestores, esta consciência nem sempre se traduz em medidas concretas de gestão, quer ao nível estratégico, quer na condução das operações do dia a dia. Cibersegurança nas PME: urgência material e regulatória Um ataque bem-sucedido pode ter um impacto muito significativo numa organização, traduzindo-se em quebras de receita, custos diretos e indiretos associados ao incidente, danos reputacionais e eventuais coimas regulatórias. Em situações mais graves, pode mesmo comprometer a continuidade do negócio e conduzir à falência. Apesar disso, a cibersegurança continua, em muitas pequenas e médias empresas, longe de ser uma preocupação de primeira linha. Acreditamos, porém, que este panorama se irá alterar de forma definitiva. Por um lado, o volume e a severidade dos ataques dirigidos a este segmento continuam a aumentar, impulsionados pelos avanços na Inteligência Artificial. Por outro, a crescente pressão regulatória, com a entrada em vigor da NIS2 e do novo regime jurídico da cibersegurança, vem introduzir novas obrigações para um universo alargado de organizações. Do lado dos ataques, o risco deixa de ser uma possibilidade remota para se tornar uma certeza estatística. Do lado da regulação, a abrangência direta ou indireta - nomeadamente através das cadeias de abastecimento - exige um esforço de adaptação considerável, tanto ao nível dos recursos como do tempo necessário para implementar medidas eficazes de conformidade e resiliência. Atitude reativa vs atitude proativa A dimensão do desafio da segurança e a sua aceleração faz com que as decisões de gestão se tornem mais simples do que em outras épocas, onde porventura a percepção de incerteza sobre a real dimensão do problema era distinta. Parece-nos que hoje o tema da confiança é indissociável da continuidade do negócio e que este é por sua vez indissociável da Cibersegurança. Em termos simples, a opção tornou-se entre ter uma postura reativa e tentar reagir em caso de incidente, algo cada vez mais difícil de conseguir com sucesso e impossível de acontecer sem impactos negativos materiais, e uma postura proativa, que eleve a continuidade de negócio a um tema de primeira linha para as empresas. Em matéria de Cibersegurança, a confiança tem de ser ganha, verificada e monitorizada de forma contínua. Já há muito que velhos paradigmas de segurança, baseados no conceito de proteção perimétrica se tornaram obsoletos (o que está dentro da rede da organização está protegido, o que assume que os elementos de proteção existem e estão bem configurados e atualizados). Tal acontece devido à natureza da força de trabalho (distribuída e com incidência relevante de trabalho remoto) e das ameaças, que passaram primeiro a explorar diretamente o colaborador (por via de phishing e compromisso de identidade) e as vulnerabilidades dos ativos expostos, independentemente da infraestrutura onde se encontram. Por oposição, o moderno paradigma de Zero Trust assume a necessidade de verificação contínua, com decisões baseadas no contexto (por exemplo, confiabilidade do dispositivo, hora e local de acesso, comportamento típico do utilizador), estando atualmente a ser estendido ao controlo de agentes de Inteligência Artificial e à gestão de risco da cadeia de abastecimento. Proatividade através dos prestadores de serviços Assumindo uma postura proactiva de gestão da continuidade de negócio e gerindo a dimensão de Cibersegurança com o apoio de Prestadores de Serviços qualificados, as organizações vão progressivamente ganhar uma noção concreta dos riscos que enfrentam. Para este efeito, o primeiro passo passa pela realização de um diagnóstico de risco, que pode ser efetuado de forma simples através de serviços como os disponibilizados pela CyberInspect, nomeadamente testes de intrusão automatizados, mapeamento de vulnerabilidades ou monitorização do risco associado a credenciais comprometidas. Uma das vantagens desta abordagem é a integração, numa única plataforma, dos serviços mais relevantes para a avaliação da exposição ao risco. Além dos relatórios técnicos especializados, é também produzido um relatório consolidado em linguagem acessível, direcionado a decisores de negócio. Os Prestadores de Serviços podem ainda complementar este processo com um inquérito simplificado de maturidade, que, em conjunto com os diagnósticos técnicos, permite não só definir um plano de remediação das vulnerabilidades identificadas, como também estruturar uma estratégia de capacitação a médio prazo nas áreas mais críticas, como a gestão de identidades e acessos, redes e equipamentos. Esta abordagem assenta na identificação prática de vulnerabilidades e lacunas de capacidade, evitando um erro ainda demasiado comum: iniciar o processo por normativos, políticas e documentação que pouco significado têm para a maioria dos gestores. Embora possam transmitir uma perceção de conformidade, estas medidas criam frequentemente uma falsa sensação de segurança ao privilegiarem a enumeração de requisitos em detrimento da implementação efetiva de controlos consequentes. Tal como a confiança entre pessoas e organizações se constrói através da demonstração contínua de integridade, fiabilidade e competência, também a confiança que uma empresa inspira depende da consistência da sua atuação. Nesse contexto, a cibersegurança deixou de ser uma preocupação exclusivamente tecnológica para se tornar uma dimensão incontornável de qualquer organização.
Conteúdo co-produzido pela MediaNext e pela CyberInspect |