A governança da insegurança

As notícias nos media são frequentes sobre os problemas que a insegurança traz, desde perdas financeiras diretas e indiretas, danos reputacionais difíceis de medir, entre outros, e aquilo que sabemos pelos media são apenas a ponta do iceberg.

Assim como qualquer organização real que conhecemos, as organizações que operam no mundo do cibercrime são em tudo semelhantes no seu objetivo mais básico, que é obter determinado lucro financeiro. A diferença é que as últimas não têm de cumprir determinadas regras, operam em horários que nós não operamos e são especializadas naquilo que é o seu core business, o que torna muitas vezes complicado o desafio de quem tem de proteger os seus ativos. Pior ainda estão as nossas PME, que são a maioria do nosso tecido empresarial, mas na maioria dos casos com uma dimensão reduzida que não lhes permite ter recursos dedicados e focados em cibersegurança.

Será que o problema está no facto de os criminosos serem tecnologicamente mais avançados do que nós? Será que têm ferramentas extremamente complexas que mais ninguém tem? Dificilmente isso acontece e, quando acontece, raramente utilizam essas ferramentas para a realidade que aqui se discute, poderá ser uma realidade em situações de ciberguerra entre estados ou espionagem ao mais alto nível.

Se o nosso problema não é a tecnologia que temos, qual é? Governança! Se não sabemos qual é o nosso objetivo, dificilmente vamos conseguir decidir qual é o caminho a seguir, porque não sabemos ao certo para onde vamos. Se não temos uma estratégia, não conseguimos traçar objetivos e, sem objetivos, a forma como gerimos a cibersegurança corre o risco de ser apenas um conjunto de atividades desagregadas, que trazem um valor muito limitado para a organização, que na realidade já tem um budget limitado. Uma tecnologia, por muito melhor que seja, não traz um grande valor para a organização, se não for implementada, gerida e monitorizada de forma adequada.

Quando damos algum tipo de resposta a incidentes de cibersegurança, é comum encontrarmos situações em que o cliente tem muita e “boa” tecnologia, mas não faz ideia de como está implementada, com que lógica e sem qualquer tipo de monitorização. Ou seja, o investimento não lhe deu o retorno que esperava, porque na realidade, em muitos casos, tinha uma expectativa irrealista sobre cibersegurança.

Portanto, na realidade, em muitos casos, aquilo que fazemos é Governança da Insegurança em vez de Governança da Segurança ou Cibersegurança. O que necessitamos é subir um degrau, olhar de uma posição mais elevada e definir uma estratégia para a cibersegurança. A estratégia não tem de ser algo complexo, fruto de um processo longo e oneroso de consultoria, mas pode ser algo simples e realista tendo em conta o contexto da organização em que estamos. A questão de “olhar” para o contexto é fundamental, pois não existem duas organizações iguais, e os desafios e necessidades diferem muito dependendo do contexto em que estamos. Este tema do contexto é bem mais importante do que a dimensão da organização, pois algumas vezes organizações pequenas, dependendo da sua área de atuação, exposição pública, complexidade do ecossistema de IT, podem ter necessidades de cibersegurança bem mais complexas que outras organizações maiores em contextos distintos.

Não precisamos de complicar para definir uma estratégia. Nem precisamos de inventar a roda novamente. Temos frameworks, como por exemplo NIST, ISO 27001, CIS20, que nos ajudam a ter uma abordagem muito mais holística à cibersegurança. Ainda mais, temos uma framework criada em Portugal, pelo CNCS, adaptada em boa parte à realidade do nosso mercado mais centrado em PME, que pode ser uma base para a avaliação do nosso estado atual e para a definição de uma estratégia simples, mas com objetivos específicos ao longo de um período (anual ou bianual), que permita aumentar realmente os níveis de maturidade das organizações.

Para as organizações que não têm capacidade de ter recursos internos para alocar a este tema da cibersegurança, é necessário recorrer a MSP, empresas focadas em Segurança da Informação ou Cibersegurança, assim como atualmente recorremos a serviços externos para áreas não core das empresas, como contabilidade, IT, etc.. Essa visão de especialistas pode ajudar a ter uma perceção real do estado atual de maturidade e ajudar as organizações a definirem estratégias simples, mas coerentes e com objetivos definidos, que servirão para existir uma real Governança da Segurança em vez de Governança da Insegurança.

Conteúdo co-produzido pela MediaNext e pela DRC