A cibersegurança está no topo da agenda de quase todas as organizações. No entanto, muitas empresas continuam vulneráveis porque a segurança da informação nem sempre está profundamente integrada nas operações comerciais. Muitas vezes, as medidas só são tomadas após o facto, por exemplo, em caso de incidentes ou sob a pressão de novas leis e regulamentos. Ao mesmo tempo, verificamos que as organizações que adoptam uma abordagem proactiva e holística têm menos probabilidades de ter problemas graves. Neste artigo, mostramos porque é que uma visão integral da cibersegurança é tão importante, onde é que as coisas muitas vezes correm mal na prática e como é que as empresas podem aumentar o seu nível de segurança de forma sustentável.
Um exemplo revelador dos riscos da segurança ad-hoc é a violação de dados na Equifax em 2017. Esta agência de crédito norte-americana perdeu os dados pessoais de milhões de clientes porque uma vulnerabilidade de software conhecida não foi corrigida a tempo. Apesar de terem sido tomadas medidas tecnológicas (firewalls, sistemas de deteção de intrusão), As investigações revelaram que a gestão de correcções e a análise de riscos não estavam suficientemente integradas nos processos empresariais. A organização não sabia exatamente onde estavam a funcionar os sistemas vulneráveis e quem era responsável por eles.
O incidente mostrou que algumas soluções técnicas avulsas não oferecem garantias quando não existe uma política integrada. A falta de propriedade, a fraca comunicação entre departamentos e a insuficiente perceção dos dados críticos contribuíram para o impacto desta violação de dados. O custo para a Equifax ascendeu a centenas de milhões de dólares e os danos para a reputação foram enormes.
Pensamento holístico de segurança
Uma lição a retirar destes incidentes é que a segurança exige mais do que “soluções” técnicas, como software antivírus, firewalls ou um teste de penetração pontual. É claro que essas tecnologias são úteis, mas precisam de ser integradas num sistema em que as pessoas, os processos e as políticas estão perfeitamente alinhados.
- Muitos incidentes ocorrem devido a erro humano: um clique desatento numa ligação de phishing, uma má configuração na nuvem ou o acesso não autorizado a contas. A sensibilização e a formação contínua são por conseguinte, indispensável. Isto vai para além de um programa de sensibilização pontual; requer uma cultura em que os trabalhadores se atrevam a comunicar incidentes e quase-incidentes sem receio de sanções.
- A segurança deve ser um ponto recorrente da agenda: desde o desenvolvimento de produtos e seleção de fornecedores até à utilização diária dos sistemas. Por exemplo, integrar a gestão dos riscos nos processos de mudança, para que não seja algo a ser regulado “depois do facto”.
- Sem responsabilidades claras e uma divisão clara de tarefas, a cibersegurança fica muitas vezes presa a boas intenções. Por conseguinte, nomeie um CISO ou um responsável pela segurança com um mandato e uma estrutura de comunicação claros. Desta forma, os riscos e incidentes recebem a atenção da direção. Ao reunir tudo isto num único quadro, a segurança não é um ponto de encerramento, mas uma parte integrante da estratégia e da operação.
O papel da legislação
Na Europa, a ênfase jurídica na segurança digital está a aumentar significativamente. Alguns desenvolvimentos importantes:
- Este regulamento introduziu um quadro europeu para a certificação de produtos e serviços TIC. As organizações podem ter as suas soluções avaliadas em termos de segurança, criando um mercado mais transparente.
- Esta lei consagra o princípio da “segurança desde a conceção” ao longo de todo o ciclo de vida do hardware e do software. Os fabricantes e vendedores continuam a ser obrigados a corrigir as vulnerabilidades e a informar os utilizadores em conformidade.
- A Diretiva SRI reforçada alarga o âmbito de aplicação a mais sectores (incluindo a energia, os cuidados de saúde, os transportes e os serviços digitais críticos) e estabelece requisitos mais rigorosos em matéria de comunicação de incidentes e de responsabilidade de gestão, entre outros.
Estes regulamentos não só dão às organizações deveres adicionais, como também mais orientações. No entanto, aqueles que se limitam a “assinalar” os requisitos legais vão descobrir que a fasquia está cada vez mais alta. Uma organização que invista numa estratégia de segurança integrada terá mais facilidade em adaptar-se aos novos requisitos e beneficiará também da confiança dos clientes, fornecedores e entidades reguladoras.
A Inteligência Artificial (IA) e a análise de dados em grande escala trazem novas oportunidades, mas também novas ameaças e dilemas éticos.
- **Os modelos de IA são tão bons quanto os dados com que são treinados. Quando os conjuntos de dados para reconhecimento facial consistem principalmente em imagens de determinadas populações, isso pode levar a um modelo que dificilmente reconhece bem outros grupos. Esta situação não só é prejudicial para as pessoas afectadas, como também pode causar danos à reputação e consequências legais para a organização que utiliza a IA.
- **Modelos sofisticados de IA podem gerar vídeos, áudio ou imagens realistas que fazem com que as pessoas aparentemente digam ou façam coisas que nunca aconteceram. Este fenómeno pode ser utilizado para fraude, chantagem ou desinformação com motivações políticas. As organizações fariam bem em investir em ferramentas de deteção e na sensibilização dos funcionários para que possam reconhecer precocemente os conteúdos deepfake.
- **Ataques adversários: Os agentes maliciosos podem manipular os modelos de IA alimentando-os com dados subtilmente manipulados. Por exemplo, os veículos autónomos podem ser “confundidos” se um sinal de stop com pequenos autocolantes for reconhecido como outro sinal. Estes ataques exigem controlos adicionais dos dados de entrada e a validação periódica do modelo.
- **A IA baseia-se frequentemente em enormes quantidades de dados (pessoais). Se estes forem insuficientemente anonimizados ou armazenados de forma incorrecta, uma pirataria informática ou uma má configuração podem conduzir a graves violações da privacidade. A tónica por conseguinte, assenta na classificação dos dados, no controlo rigoroso do acesso e na encriptação. Uma estrutura sólida de governação dos dados é, pois, essencial: definir quais os dados recolhidos, onde são armazenados, quem tem acesso aos mesmos e quais as medidas de segurança necessário. As organizações que pretendem implementar a IA sem adaptar o seu modelo de segurança arriscam-se a enfrentar novas formas de ataque. A legislação, como a (futura) Lei da IA, também exige à transparência, à explicabilidade e à documentação dos sistemas de IA. Uma visão holística da segurança não é, pois, um luxo, mas uma necessidade imperiosa.
Aprender com sectores altamente regulamentados
Nos sectores em que a segurança é literalmente uma questão de vida ou de morte - como a aviação e os produtos farmacêuticos - uma abordagem integrada tem sido fundamental durante décadas.
- Desde as listas de verificação pré-voo até à comunicação de incidentes, todos os passos são registados de forma processual. Aqui, as listas de verificação não são apenas listas formais, mas ferramentas com as quais se podem registar passos cruciais. As canetas tornam-se visíveis e controláveis. Os erros são rapidamente detectados e podem ser tratados de forma sistemática.
- O sector farmacêutico tem requisitos de validação rigorosos para equipamentos e processos (“Qualidade desde a conceção”). Cada elo da cadeia (da investigação à produção) é documentado e monitorizada. Deste modo, constrói-se uma cultura em que a melhoria contínua e a análise exaustiva dos riscos são uma questão natural.
Estes sectores demonstram que as regulamentações e as listas de controlo rigorosas não são necessariamente proibitivas. Pelo contrário: se forem corretamente utilizadas, ajudam a minimizar os riscos e os erros numa fase inicial detetar. A chave é trabalhar realmente com ele na prática e aprender com ele, em vez de se limitar a cumprir “oficialmente” as regras. Este princípio - integrar a segurança em todos os níveis da organização - também se aplica à segurança das TI e da informação.
Da conformidade à intrínseca segurança Agora, como é que se passa de “mínimo “conformidade” com uma segurança intrínseca cultura? Alguns pontos de interesse:
- Compromisso da direção Se a direção encarar a segurança sobretudo como um elemento de custo ou uma condição prévia, os trabalhadores também a entenderão dessa forma. Só quando a direção deixar claro que a segurança é uma prioridade estratégica e afetar recursos (orçamento, pessoas, tempo) para esse fim, é que a organização terá a oportunidade de fazer verdadeiros progressos.
- **Começar por perguntar: “Onde estão as nossas verdadeiras jóias da coroa? Concentre a segurança nos dados, processos e sistemas que causam os maiores danos quando perdidos ou utilizados incorretamente. Desta forma, evita-se investir aleatoriamente em segurança “aleatória”. soluções.
- **Normas como a ISO 27001 e quadros como o NIST CSF fornecem uma estrutura completa e ajudam-no a não esquecer nada de importante. O ponto crucial é que você compreender por que razão assinala determinados itens e de que forma isso torna a sua organização mais segura. Encare as listas de controlo como uma ferramenta e não como um fim em si mesmo. Nos sectores em que a segurança é literalmente uma questão de vida ou de morte - como a aviação - uma lista de verificação integrada A abordagem de procedimento tem sido central durante décadas. Desde as listas de verificação pré-voo até à comunicação de incidentes, cada passo é definido por um procedimento. Aqui, as listas de verificação não são apenas listas formais, mas ferramentas que tornam visíveis e verificáveis os passos cruciais. Os erros são rapidamente detectados e podem ser tratados de forma sistemática.
- Ultrapassar a insularidade A cibersegurança não é apenas uma questão de TI. Os aspectos jurídicos (contratos, conformidade), RH (procedimentos de contratação, formação), instalações (segurança física) e aquisições (gestão de fornecedores) desempenham todos um papel importante. Crie um grupo de trabalho multidisciplinar ou um comité de direção com uma ampla responsabilidade pela abordagem integrada.
- Melhoria contínua A cibersegurança nunca está “acabada”. Criar um ciclo regular de monitorização, avaliação, comunicação e ajustamento. Efectue análises de incidentes e tendências para reconhecer padrões. Este ciclo Planear-Fazer-Verificar-Atuar está ligado aos métodos de garantia de qualidade e garante que não é apanhado desprevenido por novas ameaças ou alterações da regulamentação.
O caminho a seguir
Muitas organizações tencionam melhorar a sua segurança, mas têm dificuldade em traduzi-la na prática quotidiana. Em incidentes - como a violação de dados da Equifax ou inúmeros ataques de ransomware - vêem Em todas as ocasiões, verificámos que faltava uma ou mais facetas cruciais: propriedade, conhecimento dos dados valiosos, disciplina do processo ou sensibilização dos trabalhadores.
Entretanto, a pressão das leis e regulamentos está a aumentar, mas também dos clientes e parceiros de cooperação que exigem que a confidencialidade e a continuidade sejam garantidas. No entanto, existe também um outro lado positivo: aqueles que adoptam uma abordagem integrada e investem em pessoas, processos e tecnologia, irão descobrir que os requisitos de conformidade são mais fáceis de cumprir. Além disso, colherá os benefícios de uma maior fiabilidade e de uma melhor imagem.
A “cibersegurança holística” pode ser vista como um processo de melhoria contínua, no qual se aprende constantemente com os erros, as novas ameaças e os conhecimentos de todo o sector. Ao analisar as lições aprendidas na aviação e na indústria farmacêutica, por exemplo, ou os riscos adicionais introduzidos pela IA, pode reforçar a espinha dorsal da sua própria organização. Desta forma, evita-se que a segurança seja algo que só se gere “a posteriori” ou “no papel” e faz-se dela um verdadeiro fator de sucesso.
Este artigo foi publicado anteriormente na revista Quality in Business (pdf)