Guia para a criação de uma estratégia de cibersegurança

É inegável que a tecnologia está a mudar a forma como as empresas gerem todo o negócio. Mas apesar de esta ser apontada como essencial para o crescimento, está longe de ser sinónimo de sucesso por si só. O trunfo não está numa tecnologia, mas na combinação de várias soluções devidamente ajustadas ao negócio, às necessidades e aos objetivos de cada empresa.

Para construírem experiências inovadoras e conectadas, as empresas precisam de um forte programa cibernético que permita explorar ao máximo todos os benefícios que as distintas ferramentas podem oferecer. Mas não basta comprar. Por cada dispositivo ligado a um sensor, e por sua vez a uma rede, surge uma nova vulnerabilidade.

Se no universo de uma pequena empresa esta questão pode parecer menos preocupante, aumentemos a escala. As tecnologias conectadas sustentam cada vez mais o funcionamento das redes elétricas, fábricas, espaços de entretenimento, transportes, infraestruturas de comunicação, serviços governamentais, entre outros exemplos. Em todos eles há milhões de potenciais vulnerabilidades.

E estas vulnerabilidades vão desaparecer no futuro, com o amadurecimento das tecnologias? Nunca! Mas isto não significa que este risco não possa ser endereçado. O sentimento de medo alimentado pelo cibercrime e respetivas consequências podem travar o investimento tecnológico, estrangular a inovação e retardar os esforços de transformação digital. Ou seja, apesar das tecnologias digitais e conectadas sejam inegavelmente um terreno fértil para a inovação das organizações em todas as indústrias, o seu potencial ficará por explorar se esse terreno for considerado de alto risco.

A estratégia cyber é muito mais do que uma permanente gestão de risco. É um dos mais importantes drivers de negócio, e as empresas têm de a ver como como uma prioridade de transformação digital, como peça essencial para a inovação, como trunfo para o crescimento e competitividade.

As organizações podem identificar as suas vulnerabilidades, avaliar os riscos e pôr em prática mecanismos de segurança que criem um espaço seguro para a inovação e para o crescimento do negócio.

Estratégia transversal à empresa

A cibersegurança sempre esteve ligada à proteção de dados financeiros, propriedade intelectual, ou informação identificável. Era, como tal, da exclusiva responsabilidade do departamento de tecnologias da informação (TI).
Mas na era conectada em que vivemos, a ameaça está em qualquer lado – podem piratear um servidor num centro de dados, uma plataforma petrolífera no oceano, um automóvel, ou um pacemaker de uma pessoa. A necessidade de proteger a informação estendeu-se também aos sistemas e às pessoas, dentro e fora da empresa. A convergência dos ambientes cibernéticos esbate as linhas de responsabilidade. Se a tecnologia conectada está em todo o lado, a ciber-consciencialização tem de ser universal e o esforço multifuncional.

As competências tecnológicas deixam também de estar reservadas ao departamento de TIC. Elas têm de estar nas fases de design e desenvolvimento de produtos, de teste, nas campanhas de marketing, na criação das melhores experiências para o consumidor, no suporte, entre outros exemplos.

Infelizmente, esta colaboração interfuncional na área tecnológica é muito rara. A figura de Chief Information Security Office (CISO) é frequentemente empurrada para baixo no organigrama, mesmo quando a crescente importância da cibersegurança parece exigir um papel mais relevante. Com a influência da CISO enterrada nas profundezas da hierarquia organizacional, é difícil cultivar uma mentalidade ciberconsciente na restante C-suite.

Os desafios da nova fronteira

Esta nova realidade tecnológica requer uma estratégia bem desenhada e uma cultura que contemple o crescimento organizacional. Isto implica constantes ajustes nas práticas, protocolos, formação e contratos para gestão de riscos de forma proactiva e reativa. O cenário de ameaça, e o risco cibernético da organização deve ser sempre avaliado em tempo real.

Há três caminhos que podem ser considerados para o desenvolvimento de soluções que cultivem um ambiente inovador e seguro.

1. Estabelecer um modelo de governação coordenado e integrado, que esteja totalmente alinhado com as principais estratégias empresariais, e suportado por estruturas tecnológicas consistentes. Este modelo quebra os silos que existem entre as diferentes áreas da empresa e ajuda a que segurança possa ser considerada e implementada sem problemas além das suas fronteiras.
   
2. Promover as comunidades de aprendizagem, dentro e fora da empresa, para aumentar a adoção de boas práticas de segurança e otimizar toda a experiência de utilização. Este envolvimento, partilha e enriquecimento de competências pode ajudar a enfrentar as novas e crescentes ameaças cibernéticas.
3.  Identificar pontos críticos, riscos e vulnerabilidades na organização é um processo crucial que só será bem-sucedido se envolver toda a organização. Num mundo conectado os riscos não estão no departamento de TI, na sala de servidores ou no data center. Estão, literalmente, em todo o lado. Este também não é um procedimento único. À medida que as transformações digitais aumentam - em alcance e escala – este inventário deve tornar-se mais regular. Cada nova integração tecnológica pode dar origem a novas considerações de segurança.
   
   

Uma abordagem forte e concertada à cibersegurança implica uma colaboração e coordenação ente os pares de toda a organização, parceiros externos, e por vezes até concorrentes. Apesar de ser um desafio, o retorno é considerável: um ambiente seguro para a inovação. Se a segurança numa organização for forte, os seus líderes sentem-se confiantes em investir em inovações tecnológicas vantajosas para a empresa e para os clientes.