O CTO e cofundador da BitSight quer promover os standards de segurança como uma ferramenta para a economia digital, e conta com Portugal para desenvolver a sua estratégia. “O talento aqui é fantástico”, assinala.
Nos dias 28 e 29 de setembro, a capital lisboeta reuniu alguns dos principais executivos da BitSight e os parceiros da região da Europa, Médio-Oriente e África (EMEA) para falar da relevância dos ratings de segurança e da forma como estes podem ser um argumento decisivo na consolidação de um ambiente de confiança no mundo empresarial. Sobretudo em tempos em que a cibercriminalidade e as perturbações geopolíticas estão ao rubro
Conversámos com Stephen Boyer, CTO e cofundador da BitSight, que nos revelou quais os maiores desafios e a estratégia da empresa para estes tempos conturbados e o que Portugal pode representar nesta gestão.
O que significa para a BitSight a sua vinda a Portugal?
É um marco realmente grande para a organização e para o nosso foco e crescimento na região. A Europa como região está a crescer ainda mais rapidamente do que outras áreas do nosso negócio. Assim, vemos uma enorme oportunidade na região e, claro, em Portugal, que é a nossa sede europeia. Vemos oportunidades de crescimento bastante substancial no negócio, mas também de contratação em Portugal. Estamos a trabalhar neste país há mais de oito anos desde uma aquisição que fizemos em 2014. O talento aqui é fantástico.
Em Portugal contamos com colaboradores realmente excelentes
que falam inglês, indivíduos realmente bem treinados, e uma grande combinação
cultural para o que estamos a fazer. Isto faz de Portugal um ótimo lugar para
continuarmos a lançar o nosso crescimento para toda a região.
Porque devem as empresas olhar para os standards de segurança como uma
ferramenta útil na economia digital?
Praticamente todas as empresas têm algum tipo de esforço de transformação digital a decorrer neste momento. Se não são digitais, provavelmente estão a morrer. Assim, ao investir no digital, está também a assumir mais riscos e exposição potencial a ciberataques. O que é realmente importante neste momento é que os decisores, os conselhos de administração e grupos de governance compreendam os riscos que estão a correr. E será que se sentem confortáveis com esse risco? Além disso, como estamos a investir para gerir esses ciber-riscos? Historicamente não temos feito um grande trabalho enquanto setor para compreender quais são esses riscos, quantificá-los, comunicá-los aos interessados, e depois tomar as medidas adequadas.
Assim, os standards segurança são uma forma realmente importante de os conselhos de administração, o governance e outros grupos compreenderem como se estão a sair de uma perspetiva de ciber-risco, onde podem fazer melhorias, e onde precisam de mitigar, transferir, ou investir para gerir esses riscos.
Como avalia o mercado EMEA para a estratégia da BitSight?
É super importante. Vemos que a EMEA pode ser tão grande como a América do Norte em termos de oportunidades. É uma região que compreende a gestão do risco. Historicamente, tem estado um pouco atrasada do lado da cibersegurança, mas dadas as recentes regulamentações e áreas de enfoque, temos visto algumas mudanças bastante rápidas à medida que as organizações se apercebem de que estes riscos precisam de ser geridos de forma um pouco diferente, e estão a investir em formas de melhorarem a sua postura de cibersegurança. Penso que este mercado está realmente pronto para uma rápida expansão.
O negócio na EMEA cresceu 40% em 2021. Quais são as suas previsões para 2022 e 2023?
Vemos um crescimento contínuo e constante na EMEA. Penso que com todos os desafios geopolíticos que se colocam, a cibersegurança tornou-se um imperativo. Não é discricionária e, de certa forma, tem sido alvo de subinvestimento. Assim, vemos uma oportunidade de ajudar os nossos clientes a resolver problemas e trazer-lhes soluções que, em última análise, os ajudarão a gerir melhor o seu ciber-risco. Vemos uma oportunidade de trazer aos nossos clientes novas capacidades analíticas e de quantificação de riscos.
Que papel desempenham as classificações de segurança na estratégia global para proteger as organizações das ciberameaças?
As análises que fornecemos estão a ajudar as organizações a determinar o seu desempenho ao longo do tempo, onde estão as lacunas, e como podem colmatar essas lacunas. Mas também não é apenas o seu próprio desempenho em termos de cibersegurança, mas também a sua cadeia de fornecimento ou risco de terceiros. Assim, quando se pensa no mundo digital, tudo está interligado e já não se pode dizer apenas “Vou proteger as paredes do meu castelo”.
É preciso compreender que é preciso olhar para além disso. Assim, na verdade, os standards de classificação que fornecemos ajudam as organizações a avaliar o que estão a fazer, e onde têm as lacunas, mas depois também olhar para além dos seus próprios bens para gerir o risco na cadeia de fornecimento. Um grande número das brechas tem origem em parceiros na cadeia de abastecimento. A regulamentação mais recente estão começa a obrigar à monitorização e avaliação de parceiros terceiros, porque é aí que podem entrar os riscos da cadeia de abastecimento. Afinal, trata-se de resiliência digital; trata-se de resiliência da cadeia de abastecimento; e de como obter visibilidade e tomar medidas para se tornar mais resiliente no ciberespaço.
É simples explicar a importância das classificações de segurança para os CISOs, mas e quando se trata de CEOs e posições no conselho de administração de empresas? Quais são as dificuldades?
Trata-se muitas vezes de falar a mesma língua aos CEOs e aos conselhos de administração das empresas. Tipicamente, os líderes de segurança têm-se concentrado nos controlos técnicos e no desempenho técnico. A “próxima oportunidade” para os líderes de segurança e de risco comunicarem ao CEO e aos conselhos de administração é falar a língua do risco e quantificar isso em termos financeiros. Por exemplo, quanto custaria um ataque de ransomware? Bem, se vamos investir contra isso, quanto devemos investir e qual é a nossa tolerância ao risco? E assim, embora se possa falar sobre os controlos em que é necessário investir, realmente a nível da direção e do executivo que estão a tentar gerir do ponto de vista do risco financeiro.
A quantificação financeira tornou-se crítica e nós continuamos a investir neste campo. Ao estabelecer uma parceria com a Moody’s, conseguimos fazer avançar a nossa capacidade de analisar e calcular a exposição financeira de uma organização ao ciber-risco. Além disso, através da Moody’s integrámos sets de segurança, risco e dados financeiros para capacitar o mercado a tomar decisões informadas sobre o risco e como dar prioridade a novos investimentos tecnológicos baseados na redução do risco para alcançar o maior impacto no desempenho da segurança.
Tivemos vários ciberataques de grande visibilidade em Portugal nos últimos dois anos, nomeadamente à TAP e à Vodafone. O que diria que falta neste tipo de empresas para enfrentar estrategicamente os desafios da cibersegurança?
Não conheço todos os pormenores em torno destes ataques, a não ser que foram bastante impactantes para muitas organizações diferentes. Os atacantes só têm realmente de explorar uma ou duas fraquezas para conseguirem ter acesso a estes sistemas. Portanto, as organizações precisam de estar constantemente vigilantes.
A cibersegurança é como os pratos ou a roupa suja: nunca se acaba o trabalho. Mas penso que à medida que as organizações compreendem que precisam de ter mais visibilidade sobre onde estão os riscos, e onde estão expostos, e precisam de estar super vigilantes para enfrentar as suas vulnerabilidades.
Dito isto, os atacantes são bastante sofisticados, e só é preciso cometer um erro para que eles sejam bem-sucedidos. Acredito que estas organizações estão a trabalhar arduamente para tentar proteger os seus clientes e a sua empresa. No entanto, é aqui que se vai ser crítico certificar-se de que está concentrado nas áreas certas, e certificar-se de que está a fazer os investimentos certos – e comunicar adequadamente.
Porque devem os CEO considerar a Quantificação Financeira e o TPRM como ferramentas para proteger os seus negócios? Porque é que ainda não o fizeram?
Penso que a cibersegurança como disciplina para as empresas ainda é relativamente incipiente quando se pensa em todos os riscos que temos tido de gerir ao longo do tempo. Ainda estamos nas fases iniciais, mas as organizações, particularmente aqui na Europa, estão realmente na vanguarda da tentativa de quantificar esses riscos e de se protegerem melhor de ciber-incidentes.
Os CEO estão a perguntar: “Até que ponto estamos hoje expostos, o que nos poderá custar e qual é a gama de resultados?”. Obviamente não é apenas um resultado que eles precisam de considerar. Precisam também de considerar que medidas podem tomar para reduzir o risco. É aí que a conversa tem evoluído, em oposição a falar apenas de quadros de controlo, de conformidade ou de auditorias. Tratar-se-á mais de reinvestir nas áreas certas e identificar onde se encontram os riscos. À medida que mais capacidades estão disponíveis para os ajudar a gerir o ciber-risco, deveriam estar a perguntar aos seus líderes de risco: Como é que quantificamos isto? Como conseguimos avaliar? Onde estão os investimentos que pensamos que precisamos de fazer?
BitSight Xperience: porquê em Portugal?
Lisboa é a nossa sede europeia e temos aqui um grupo talentoso de pessoas. É obviamente um belo país e um ótimo local para acolher um evento tão importante. Mas é também um local onde os nossos clientes podem vir encontrar-se connosco e aprender sobre todas as coisas que estamos a fazer para os apoiar e as suas crescentes necessidades de ciber-risco.
O que espera alcançar com a BitSight Xperience ? Quais são os objetivos para os parceiros e clientes?
É muito importante estarmos juntos pessoalmente, dado tudo o que aconteceu ao longo dos últimos anos. Há tanta inovação em curso que é realmente importante para todos compreender o que fizemos, para onde nos dirigimos e onde investimos – como na nossa aquisição da ThirdPartyTrust para expandir a oferta do BitSight TPRM para fornecer uma solução end-to-end de gestão de risco de terceiros para equipas de gestão de risco de fornecedores globais. Também anunciámos parcerias com a Moody’s e a Glass Lewis, bem como com outras organizações.
Mas também queremos aprender com os nossos parceiros, saber o que estão a fazer, onde estão a ter desafios e garantir que estamos a seu lado. Depois, obviamente, é uma oportunidade para os nossos clientes trabalharem em rede e aprenderem com os líderes da indústria. Tivemos Rob Fauber, o CEO da Moody’s, a assistir e a falar sobre como estão a fornecer capacidades de avaliação de risco num panorama muito vasto e onde os mercados financeiros começam a considerar o ciber.