“A cibersegurança tem de ter um racional de negócio”

As empresas têm de deixar de olhar para a cibersegurança como um custo e passar a determinar qual será o retorno no investimento.

Jorge Portugal, director-geral da COTEC

“As forças da digitalização são imparáveis”, mas  “o mercado de identificação de vulnerabilidades das empresas” está também em crescimento.

São estas duas conclusões que Jorge Portugal, director-geral da COTEC, destaca do relatório Threat Landscape 2017, da Agência da União Europeia para a Segurança das Redes e da Informação (ENISA), discutido esta terça-feira numa conferência promovida pelo Centro Nacional de Cibersegurança (CNCS).

Se, por um lado, o estudo reconhece que “as forças digitalização são imparáveis”, o que quer dizer que as “organizações vão poder operar com maior velocidade, com melhor alinhamento da ofertas com os clientes, com maior qualidade dessa oferta e maior eficiência”. Estas forças “vão intensificar-se”, disse o director-geral da COTEC em declarações ao Computerworld à margem da conferência.

Por outro lado, e em paralelo, o estudo reconhece também o crescimento do “mercado de identificação de vulnerabilidades das empresas” que acompanha o incremento das “superfícies de digitalização”, aponta o responsável.

A maior dimensão das “superfícies de ataque”, onde cresce a possibilidade de intrusões e incumprimento, não está limitada à empresa per seHoje, as empresas estão integradas em cadeias de valor, com processos, dados e fluxos de dados em cada vez maior escala, quer ao nível do projecto ou do fabrico, mas também da logística, da comercialização ou da gestão de produto, recorda. “Existem efectivamente grandes quantidades de fluxos de dados que são transmitidos entre organizações que, cada vez mais, se confundem umas com as outras”.

Tendo em conta este panorama, o relatório antecipa que, “mais do que expor bases de dados, o que será cada vez mais exposto é o significado e os padrões que essas bases de dados encerram, isto é, as características frequentes”, explica.  Em causa pode estar a exposição de “conhecimento, de segredos industriais ou de informação crítica” que é “comercialmente rentável”.

Jorge Portugal considera que as empresas, e os seus líderes, vão ter de confrontar estas duas tensões procurando encontrar solução para o dilema: “investir em digitalização inteligente” ao mesmo tempo que questionam se “os benefícios dessa digitalização compensarão ou não os custos e os riscos adicionais” relacionados com a “conectividade, exposição de dados e fluxos de dados cada vez maior com integração a montante e a jusante da sua cadeia de valor”.

Assinala ainda que, “o investimento em cibersegurança está a crescer”, mas que “os custos e os riscos também”. É um paradoxo que só pode ser resolvido pelos líderes empresariais “através de uma abordagem estratégica ao problema da cibersegurança e da ciber-resiliência”.

“O líder empresarial tem de perceber que [a cibersegurança] não é um problema da tecnologia ou do departamento de IT. É um problema de todas as áreas funcionais nomeadamente da gestão de processos de inovação nas empresas”, Jorge Portugal (COTEC)

“O líder empresarial tem de perceber que [a cibersegurança] não é um problema da tecnologia ou do departamento de IT. É um problema de todas as áreas funcionais nomeadamente da gestão de processos de inovação nas empresas”, aconselha. “É preciso perceber quais são as implicações dos projectos de inovação que melhoram a capacidade comercial, o serviço ao cliente, a integração com os fornecedores ou a própria eficiência de produção na fábrica”. Jorge Portugal assinala que “estas inovações devem ter elementos de segurança incorporados desde o primeiro momento”.

Numa lógica de custos, o relatório da ENISA assinala que se não se tiver em conta os elementos essenciais de segurança no desenvolvimento de uma inovação desde o primeiro momento os custos poderão ser muito maiores mais tarde. “O relatório é muito claro nesta matéria”.

“Com a pressão para colocar rapidamente a inovação no mercado, os líderes empresariais e os responsáveis pela inovação não consideram a segurança como essencial. Não é prioritária e, em muitos casos é mesmo desconhecida”, lamenta Jorge Portugal, apontando soluções: “utilizar normas de desenvolvimento de código, normas de interoperabilidade entre sistemas dentro e fora da empresa, boas práticas de gestão de infra-estruturas e posteriormente práticas de higienização básica”.

“Com a pressão para colocar rapidamente a inovação no mercado, os líderes empresariais e os responsáveis pela inovação não consideram a segurança como essencial. Não é prioritária e, em muitos casos é mesmo desconhecida”, Jorge Portugal.

Nesta matéria, Jorge Portugal faz a analogia à lavagem das mãos como método de prevenção de infecções. Do mesmo modo, no ambiente digital, as empresas devem definir um conjunto de regras básicas de protecção contra potenciais ameaças. Os funcionários devem seguir boas práticas de segurança: mudar passwords, não clicar em potenciais esquemas de phishing.

Jorge Portugal salienta a importância das boas práticas de segurança, recordando que dois terços dos casos de ataques reportados são internos. Foram executados “por veículos internos, por colaboradores ou por entidades que estavam dentro do perímetro físico da organização”. A empresa deve ir mais longe e promover a qualificação dos seus fornecedores do ponto de vista da segurança e não apenas com base em características técnicas tradicionais. 

A par da inovação – que já se sedimentou como uma ponto incontornável da agenda de muitos líderes empresariais – a segurança tem de ser um dos temas de agenda e competitividade da empresa. Jorge Portugal vai mais longe e compara a segurança à eficiência energética. “Se pagamos um prémio por um produto que é eficiente do ponto de vista energético, cada vez mais teremos de pagar um prémio, incluindo no preço por um produto, que garante que é seguro do ponto de vista de conectividade, de segurança digital.

A inovação e a criminalidade “colocam uma enorme pressão no líder empresarial para colocar a cibersegurança como tópico prioritário da sua agenda e da sua liderança da organização e do desenvolvimento da organização”.

A segurança tem de ser uma prioridade, segundo Jorge Portugal, sendo transversal a todas as dimensões da organização, desde a gestão, às funções de TI e não-TI passando pela gestão de risco. “Deve também existir uma política e uma cultura de prevenção”.

As empresas têm de saber responder a perguntas como: “se acontecer uma intrusão o que é que eu faço? O que se faz se houver um comprometimento das bases de dados de clientes? O que fazer se concluir que os dados da minha contabilidade foram corrompidos? Se não puder chegar à lista dos meus fornecedores ou se tiver problemas na logística?”, exemplificou. Para o efeito é muito importante ter planos de intervenção “para reagir em caso de incidentes pouco prováveis, mas que podem acontecer”.

Esta cenarização, explica, tem de ser feita em todas as funções da organização e incluir não só as acções a tomar internamente, mas também indicações sobre como comunicar para fora. O responsável recorda ainda que “o Regulamento Geral de Protecção de Dados e a Lei geral de cibersegurança vão obrigar todas as empresas, sem excepção, a novos procedimentos de comunicação e de report que podem pôr em causa a sua reputação e imagem”, mas cujo incumprimento pode ter “implicações jurídicas”.

A inovação e a criminalidade “colocam uma enorme pressão no líder empresarial para colocar a cibersegurança como tópico prioritário da sua agenda e da sua liderança da organização e do desenvolvimento da organização”.

Uma das dificuldades da cibersegurança é calcular o retorno do investimento. “Eu invisto em ferramentas de cibersegurança, na formação das pessoas, mas ao mesmo tempo ainda tenho dúvidas sobre qual é o retorno desse investimento que não se vê imediatamente”, diz Jorge Portugal.

Por isso aconselha: a mudança passa por deixar de olhar para a cibersegurança como um custo, mas sim como “um elemento que vai ter retorno no investimento a nível da reputação, a nível de produtos e serviços seguros, a nível de relações com fornecedores, clientes e outros e ainda a nível do quadro e das obrigações jurídicas. A segurança tem de ter um racional de negócio, de retorno do investimento”.

O que faz a COTEC para sensibilizar os associados

A cibersegurança é um dos temas essenciais no âmbito da plataforma Indústria 4.0, explica Jorge Portugal. A COTEC tem desenvolvido várias actividades, incluindo um laboratório de ciber-resiliência “onde simulamos situações hipotéticas em que as empresas podem testar respostas a situações inesperadas ou menos prováveis, mas possíveis, dentro de um quadro de integração numa cadeia de valor, a empresa integrada num ecossistema de negócio”.

A COTEC organiza também acções de sensibilização com o CNCS e outras entidades oficiais. “O tema da sensibilização é muito importante, talvez seja o mais importante: criar nos líderes empresariais uma consciencialização de que este é um tema prioritário não apenas para criar e assegurar novas vantagens competitivas mas para a própria sobrevivência da empresa a um determinado nível”.

Promove ainda espaços comuns de cooperação para a capacitação em cibersegurança relacionados com gestão de risco e prevenção e antecipação das ameaças. “É quase inevitável uma empresa ser atacada. O que é evitável é que os danos desse ataque possam pôr em causa a sobrevivência da empresa ou possam causar prejuízos inaceitáveis”. E conclui: “com a devida capacitação, a empresa consegue responder àquilo que inevitavelmente vai acontecer: ataques, que poderão ser repelidos se tivermos um esquema de prevenção para responder aos ataques inevitáveis das infecções nos chegam todos os dias”.




Deixe um comentário

O seu email não será publicado