“As organizações olham para a cibersegurança e não percebem que pode parar o negócio como um todo”

A Aon lançou, em Portugal, uma nova área de ciber risco que será liderada por Ricardo Negrão. Em entrevista à IT Security, o executivo analisa o panorama nacional, a perceção de risco das organizações portuguesas e como é que os decisores das empresas abordam o tema da cibersegurança.

Fala-se cada vez mais da digitalização das organizações. Na opinião do Ricardo, as empresas também olham para a questão da cibersegurança e do ciber risco, ou deixam essa parte para um segundo plano?

Diria que deixam essa parte para um segundo plano, ainda mais num contexto em que a transformação digital foi forçada para uma grande maioria das organizações com a realidade de trabalho remoto. Nessa perspetiva, a urgência em conseguir responder a este trabalho remoto fez com que descurassem completamente a segurança no processo de transformação digital. Já não era uma preocupação pertinente das organizações e, nestes últimos dois anos, foi muito pior o cenário em relação ao que já era nos anos anteriores.

As organizações nacionais têm, atualmente, noção dos ciber riscos existentes e a que estão sujeitas? Qual é o grau de maturidade das empresas em termos de ciber risco?

A maior parte das organizações em Portugal, inclusive algumas de grandes dimensões, estão em níveis de maturidade para os riscos cibernéticos muito baixos, num patamar inicial. Há alguns controlos que possam ter mais avançados, mas, no nível global, se olharmos para a panóplia de controlo, o nível é muito baixo em Portugal e, algumas delas, ainda nem têm a perceção de qual é o patamar de risco e de maturidade em que se encontram e esse é o maior problema para a maioria das organizações. Umas já perceberam que estão num patamar baixo e estão a desenvolver iniciativas para evoluir em termos de maturidade, mas a maior parte delas não tem esta noção. Este é o maior risco para Portugal, mas não é só uma realidade portuguesa - é uma realidade transversal na União Europeia, mesmo no mercado norte-americano e, na América do Sul, acho que a realidade ainda consegue ser pior.

Quando é que as organizações começam a ter noção do ciber risco?

Há dois vetores de permitem às organizações percecionarem maior os riscos. Um é a comunicação de incidentes que aconteceram; nessa perspetiva, acho que muita da comunicação tem um problema associado, porque está tipicamente muito focada no ponto de vista tecnológico e não atinge os decisores das organizações e, por isso, há aqui um trabalho a ser feito, na perspetiva da comunicação dos incidentes que estão a acontecer.

A outra realidade que faz com que as organizações percebam o risco é quando são alvo de um incidente; já começamos a ter um número significativo de incidentes em Portugal e faz com que as pessoas e as organizações percebam que isto não acontece só aos outros, também acontece connosco e temos que nos precaver para estas situações.

Um dos maiores problemas que eu vejo na perceção do risco é as organizações olharem para a cibersegurança e para este tipo de riscos como um risco tecnológico e não percebem, efetivamente, que não é tecnológico - é algo que pode parar o negócio como um todo e provocar problemas sérios à sua atividade principal, que não tem nada a ver com tecnologia.

Não podendo divulgar qual é o incidente, conheci recentemente um incidente na indústria de calçado em que foi afetada a maquinaria que faz o processo de corte da palminha e tiveram durante dois dias a produzir palminhas com tamanho errado. Só ao fim de dois dias é que se aperceberam disto. É um problema tecnológico, foi um ataque de cibersegurança, mas o que foi impactado foram dois dias de matéria-prima, que foi deitada fora, para além da insatisfação dos clientes. Passa a ser um problema do negócio e não um problema tecnológico. Esta é a mensagem que acho que ainda não chegou a todas as organizações em Portugal.

As organizações portuguesas ainda seguem o ditado de ‘casa roubada, trancas à porta’?

Sim. A maior parte das organizações só depois do incidente é que começa a investir. Conheço algumas que tiveram várias propostas de soluções e estratégias para aumentarem a sua resiliência a ataques cibernéticos e não tomaram nenhuma iniciativa até ao dia em que sofreram um incidente. A partir desse dia, há capacidade de investimento.

Mais uma vez, isto tem a ver com o foco e a abordagem que é feita, na verdade, não está a ser feita, na minha opinião, de forma correta pelos decisores finais. O foco está em isto ser um problema tecnológico e é o IT que tem que resolver. Quando chega a discussão do orçamento do IT – que muitas das vezes não está isolado e o orçamento de segurança está embebido dentro do orçamento do IT – é o parente pobre do orçamento porque consome muitos recursos e ninguém no negócio perceciona a vantagem daqueles investimentos.

Isto é um problema comunicacional; acho que um dos problemas que temos em Portugal, e isto acontece há muitos anos; é o papel do CIO nas organizações, que era visto como uma carreira puramente tecnológica e criava um gap comunicacional com o respetivo board. Agora temos o mesmo problema com as equipas de segurança, com os CISO, que têm um gap comunicacional com o board e cria uma dificuldade de perceção do risco para o negócio baseado nestes vetores de ataque cibernéticos.

Isso passa por quem está a liderar a empresa não percecionar ou não querer perceber esta realidade ou passa pelo CISO ou o responsável de cibersegurança não saber explicar o tema aos decisores?

A principal responsabilidade é dos donos do negócio da organização. Estamos prestes a publicar o resultado de um questionário que fazemos anualmente sobre os maiores riscos que as organizações enfrentam e, se no ano passado os riscos cibernéticos já estavam no nível três, diria que este ano estão em segundo ou primeiro. É um questionário internacional aos decisores das organizações e acredito que os riscos cibernéticos vão aparecer no topo da lista, mas em Portugal ainda não há essa perceção. Se o dono do negócio perceber, ele vai fazer com que o CISO ou o responsável de IT – dependendo da dimensão da organização – tenha essa preocupação. Se o dono da empresa está preocupado somente em continua a faturar, a produzir, e não tiver esta preocupação de incluir a segurança naquelas atividades que são o core do seu negócio, as outras pessoas também não a vão incluir, vão deixar aquilo como o parente pobre, para segundo plano, e só quando surgir um incidente de segurança é que vão perceber que também deviam contar com isto. Nessa altura, as responsabilidades começam a cair, normalmente, nas pessoas do IT e da tecnologia, mas diria que a responsabilidade vem mais das áreas de negócio porque não incluem esta componente da segurança nas decisões de negócio que tomam todos os dias.

Referiu que algumas grandes empresas não têm perceção do ciber risco e que as pequenas e médias ainda têm menos. Qual é que pode ser a estratégia para não só as empresas se protegerem, mas também para perceberem o risco a que estão sujeitos?

Acho que passa por uma estratégia muito simples em três passos. Primeiro, as organizações têm que avaliar o seu nível de maturidade e o ponto em questão. Têm de fazer uma avaliação da sua estratégia de cibersegurança e de ciberhigiene para avaliarem o seu ponto de partida. Com base no seu ponto de partida, determinam, perante o seu negócio, quais são as áreas onde consideram que priorizam as suas atividades.

O segundo momento é, então, 'tenho aqui um conjunto de controlos que vou ter que evoluir ou vou ter que implementar' – dependendo do nível de maturidade em que estiver – para chegar ao patamar de maturidade que eu sinto confortável para assumir estes riscos cibernéticos e então tenho uma estratégia de mitigação, em que eu vou mitigar um conjunto de atividades, seja por estratégias de desenvolvimento de processos, políticas, formação, treino dos colaboradores, introdução de tecnologia, fazer pen testing, fazer ensaios de capacidade de resposta, testes de capacitação das pessoas, de avaliação de como é que são os meus procedimentos de recuperação de dados, teste do plano de continuidade…há aqui uma panóplia de processos de mitigação.

No fim disto tudo, há uma outra parte que acho muito importante que é ter a necessidade de quantificar qual é o impacto que estes riscos apresentam, porque só vou partir com uma estratégia profunda de mitigação daqueles que efetivamente podem apresentar risco; nem todas as organizações podem ser alvos do mesmo tipo de impacto e os riscos serem diferentes. É preciso ter uma estratégia de classificação e, por fim, devo, sim, garantir que tenho ao meu lado parceiros que me ajudam numa capacidade de resposta a um incidente, porque o incidente vai acontecer. Falo de cibersegurança como um cinto de segurança do automóvel; está lá para reduzir o impacto. A cibersegurança está cá para reduzir o impacto. Se conseguir, com a estratégia de cibersegurança, determinar que houve uma intrusão na minha rede e se a percepcionar cedo, vou reduzir o impacto dessa intrusão. Olho para a segurança como uma estratégia de redução de impacto no negócio das organizações.

Essa capacidade de resposta a incidentes é importantíssima. Nós, em Portugal, temos várias pessoas com competências, mas temos uma lacuna de massa crítica para responder a incidentes grandes. Não temos capacidade de resposta em número de pessoas; temos competências, não temos pessoas suficientes.

Por último, existe um outro processo onde posso, a qualquer momento, recorrer a um seguro para transferir parte deste meu risco. Existe um mercado de seguros associado aos incidentes cibernéticos, sendo que este mercado de seguros está cada vez mais agressivo, mais difícil face ao número de incidentes de ransomware, que têm sido massivos nos últimos anos. Nos últimos cinco anos, o número de incidentes de ransomware públicos aumentou 57 vezes. É uma coisa muito significativa e todas as organizações são alvo.

Esta área de cyber risk que o Ricardo vai liderar já existia dentro da Aon em Portugal ou é uma unidade recente e uma aposta da empresa para o mercado nacional?

Não existia dentro da Aon em Portugal; existia a nível mundial com um forte peso no Reino Unido. Nos últimos anos, foi criada em Espanha e esta é a área que foi criada agora em Portugal com a minha presença para dinamizar e fazemos crescer esta realidade em Portugal.

O que é que a Aon e o Ricardo procuram trazer para o mercado nacional com esta nova área de ciber risco?

Neste momento, o que nós trazemos para a realidade portuguesa é a capacidade de ter um parceiro que não olha do ponto de vista de auditoria e compliance para os riscos que as organizações têm. Olhamos com base numa ferramenta proprietária e patenteada por nós, que avalia os mesmos controlos de uma framework como a NIST ou ISO 27001 e compara essa framework, não no ponto de vista se foi ou não cumprido, mas apresenta um conjunto de riscos e determina que determinados controlos têm um risco elevado face à sua organização e face aos que os concorrentes na sua área de negócio estão a fazer e promove um roadmap para as organizações terem capacidade de melhorar a sua resiliência a este tipo de vetores de ataques cibernéticos.

Em alguns processos de mitigação, também estamos lá para ajudar do ponto de vista de consultoria, do ponto vista das políticas, do ponto de vista de pen testing, do ponto de vista de como desenvolver um plano de resposta a incidentes.

Por fim, estamos na oferta de capacitar as organizações a ir ao mercado difícil de conseguir um seguro que os auxilie a transferir alguns dos riscos que sofrem. Uma das coberturas interessantes deste risco cibernético: imagine uma empresa que sofre um ataque de ransomware que fica incapacitada de operar durante alguns dias e o seguro vai cobrir até ao limite contratualizado e tendo a conta a franquia estabelecida os potenciais lucros que deixou de ter porque esteve inoperacional durante os dias, bem como a capacidade de introduzir resposta ao incidente, seja do ponto de vista jurídico, seja do ponto de vista tecnológico. Quando, em Portugal, o nível de recursos é limitado, é importante alargar a capacidade de conseguir responder, uma vez que a primeira resposta e a captura da informação, num primeiro momento, feita por profissionais ajuda-nos – muito – a identificar as causas e a não perder informação se quisermos avançar com uma ação jurídica, no caso de se conseguir identificar o infrator ou a origem desse ataque.