Cibersegurança colaborativa: uma nova abordagem estratégica

Cibersegurança colaborativa: uma nova abordagem estratégica

No mundo complexo e em acelerado ritmo de mudança em que vivemos, os modelos de negócio movem-se na direção de uma maior complexidade e interdependência, no que se denomina por economia em rede

Introdução

No mundo complexo e em acelerado ritmo de mudança em que vivemos, os modelos de negócio movem-se na direção de uma maior complexidade e interdependência, no que se denomina por economia em rede. Neste contexto, a cibersegurança é um pilar de sustentação das sociedades modernas. Todavia, argumentamos que a sua abordagem estratégica e modelo de governo devem evoluir, de forma dinâmica e coordenada, para acompanhar o quadro em que nos movemos. Em síntese, impõe-se na cibersegurança uma estratégia colaborativa e uma adaptação das lideranças para um quadro mais participativo, conceitos que iremos sucintamente enunciar de seguida.

Novos desafios exigem novas respostas

Os atuais ambientes organizacionais caracterizados por operações cada vez mais integradas e intensas em trocas de informação e conhecimento, pressionam as lideranças para um novo sistema de resposta.

Na economia do futuro, a cibersegurança, gestão dos riscos e compliance, devem ser perspetivadas como antecâmaras do ativo mais precioso para a nossa vida em movimento – a confiança. O conceito de confiança ascende a um patamar estratégico, sendo possível encontrar facilmente referências ilustrativas da importância desta dimensão: segundo o IDC(1), do conjunto das 100 maiores empresas da revista Fortune, até 2025 40% destas irão exigir indicadores de confiança como requisito de negócio; cerca de 66% da gestão de topo das maiores 2000 empresas irão promover iniciativas e fixar métricas nesta temática.

Neste contexto, a cibersegurança deverá ser entendida e projetada como uma prioridade estratégica, rumo à sustentabilidade dos ecossistemas abertos de negócio.

Todavia, o seu modelo atual de gestão deverá transformar-se e a adaptar-se à dinâmica emergente das estratégias digitais e das ciberameaças. Deveremos passar de um paradigma da cibersegurança para o da ciberresiliência (WEF(2)), em linha com a sustentabilidade digital (ISACA(3)), fazendo-se apelo a uma abordagem mais dinâmica, mais inclusiva e holística, onde são reconhecidas as interdependências internas e as que decorrem das interações com parceiros críticos.

Mas para a evolução da cibersegurança, quais serão as novas capacidades e fatores críticos? Qual o papel da colaboração e das lideranças colaborativas enquanto forças motrizes, rumo à supracitada economia da confiança?

Cibersegurança: um sistema complexo e dinâmico

São múltiplos os atores do sistema de valor associados à cibersegurança, onde se destacam interdependências, que interagem simultaneamente e retroagem em rede. Empresas privadas, organismos públicos, universidades, fornecedores de serviços, cidadãos, estados, entidades supranacionais, organizações não governamentais, etc., são exemplos de atores que interagem como nós desta rede. Esta visão de complexidade altera profundamente a forma de análise e convida a novas sínteses.

Cada um dos nós desta rede, com o seu comportamento individual e social, irá influenciar a articulação entre todos, promovendo a sua adaptação dinâmica. Neste quadro profundamente interdependente, relacionamentos fortes e um modelo de liderança colaborativa (Hawkins, D., 2017(4)) irão ser determinantes para se obter um maior nível de output final.

Aplicação da colaboração na cibersegurança: linhas orientadoras e exemplos

Mas o que significa aplicar uma abordagem colaborativa à cibersegurança? Será que existem exemplos desta forma de atuação?

O tema da colaboração enquanto domínio da gestão é relativamente novo, sendo que se encontra em destaque nas agendas internacionais (ICW(5)). Aplicando os frameworks colaborativos à cibersegurança, é possível distinguir os seus impactos profundos, quer ao nível estratégico, começando desde logo pela adoção de um modelo de governo mais participativo, quer ao nível operacional, designadamente na implementação mais efetiva de controlos decorrentes de atitudes de maior partilha e maior sentimento de pertença, incluindo o diálogo constante com parceiros críticos.

Na tabela seguinte, exploratória, sistematizam-se os impactos da colaboração utilizando o modelo NIST Cybersecurity Framework(6), que enuncia as fases de Identificação, Proteção, Deteção, Resposta e Recuperação como elementos constitutivos de um programa de cibersegurança.

 

Tabela 1. Impactos da Colaboração na Abordagem à Cibersegurança (Fonte: Análise do Autor)

Princípios da colaboração(7) Impactos na abordagem à Cibersegurança
1. Alinhamento estratégico e objetivos comuns

Na Identificação é crucial o envolvimento de stakeholders, de modo a se obter uma correta visão dos riscos. Para este efeito, é crucial envolver-se tanto stakeholders internos como parceiros externos, num espírito dialogante de proximidade, centrado nos objetivos comuns de resiliência.

Na fase de Resposta, apenas uma atuação concertada entre vários atores permitirá uma reação rápida e satisfatória perante a ocorrência de incidentes e eventuais crises. Laços fortes serão uma força mobilizadora para este efeito.

2. Transparência e modelo de governo conjunto

Para a Identificação dos centros de gravidade das organizações (e dos ecossistemas) é fundamental um modelo de governo conjunto, que reúna com transparência os stakeholders mais críticos.

Na Proteção, a monitorização de métricas, com objetividade, contribuirá para a congregação de esforços e uma lógica de atuação conjunta.

A Recuperação contempla igualmente a análise das lições aprendidas, em que se criará valor pela partilha das mesmas e por via da revisão das oportunidades geradas em conjunto com as partes interessadas.

3. Criação de valor

Para as Proteção e Deteção, os controlos tecnológicos e organizacionais são transversais e devem superar os tradicionais silos funcionais.

Sistemas partilhados e difusão de práticas são fatores críticos para se reagir e antecipar eventuais incidentes de cibersegurança.

A geração de novas ideias, nas fases de Proteger, Responder e Recuperar, impõe como requisito atitudes de partilha, apenas possíveis num contexto de esforço cooperativo em toda a rede humana.

4. Monitorização e revisão

Na cibersegurança, em todas as suas fases, é salientado o valor de se fixarem métricas e de se promover a sua revisão sistemática.

A lógica colaborativa(8) prevê não só o estabelecimento de indicadores, como também a definição de métricas de avaliação das relações, prevendo- se vários health checks, visando reforçar os laços de confiança entre parceiros envolvidos.

 

É possível apontar exemplos de colaboração, nacionais ou internacionais, que nos motivam e justificam a abertura estratégica das organizações nesta direção:

  • Administração Biden e empresas privadas anunciaram iniciativas conjuntas(9) e ambiciosas para reforçar a segurança cibernética, envolvendo outras entidades como Universidades e Organizações não governamentais.
  • TechUK & Defence Digital(10) é uma iniciativa colaborativa entre o Ministério da Defesa do Reino Unido e um conjunto de entidades na área da Defesa. Estes parceiros assinaram um código de boas práticas de trabalho colaborativo, visando promover relações fortes e aumentar as oportunidades de inovação conjunta.
  • Cyber Academia & Innovation Hub (CAIH)(11) é uma iniciativa na área da ciberdefesa e cibersegurança promovida pelo Ministério da Defesa Nacional que reúne Universidades, Centros de Investigação, a Indústria e outras entidades do setor público e privado, com um potencial enorme de inovação nestas áreas. Esta dinâmica é ainda potenciada pela criação de uma extensão europeia deste projeto (EU CAIH), integrando os esforços cooperativos de vários Estados Membros, no âmbito da cooperação estruturada permanente da União Europeia.
  • CIIWA e ISACA Lisbon Chapter formalizaram um protocolo de colaboração que visa a conjugação de esforços e mobilização de vontades nas áreas de sensibilização e formação, tendo já realizado ações em parceria que irão reforçar-se no futuro.

Perante estes exemplos, fica bem patente que nenhum agente, de forma isolada, conseguirá ter sucesso e endereçar satisfatoriamente este tema. Apenas um esforço coletivo, articulado, aplicando os princípios da colaboração, permitirá promover um quadro mais resiliente e ajustado ao futuro.

Conclusão: o futuro da cibersegurança passa pela colaboração estratégica

A cibersegurança deve ser cada vez mais entendida como uma prioridade estratégica. Todavia, é um tema complexo, que envolve trabalhar em conjunto com diversos atores internos e externos, assente em relações de confiança, o que vai muito para além de um desafio meramente técnico.

A alteração de paradigma da cibersegurança para a ciberresiliência e cibersustentabilidade faz apelo a uma abordagem de natureza mais integradora.

Lideranças colaborativas, que possam inspirar, motivar e construir ambientes de partilha, serão instrumentais para o sucesso das iniciativas no âmbito da cibersegurança. A CIIWA, segundo uma lógica de serviço público e à comunidade, em parceria com outras entidades, continuará a investigar e a promover o aprofundamento de práticas, sistemas e métricas colaborativas no contexto da cibersegurança.

Os líderes e os agentes da mudança decerto não ficarão indiferentes a este repto e ao seu enorme potencial. Este é um desafio de magnitude crescente, transformador do futuro, que convida à ação imediata!

 

(1) IDC (2020). New Future of Trust Framework Redefines the Concept of Enterprise Security

(2) Why we need to move from cyber security to cyber resilience | World Economic Forum

(3) Sustainable Development for Digital Transformation, Part 1. ISACA Journal (Set.2019)

(4) Hawkins, D. (2017). Raising the Standard for International Collaboration. Melrose books.

(5) ICW (2021). Thought leadership insights into the future of collaborative working. Institute for collaborative working

(6) Consultado em https://www.nist.gov/cyberframework

(7) Adaptado de ICW (2016). Principles for Effective Adoption and Implementation of ISO 44001 Collaborative Business Relationships Management Systems - Requirements Framework

(8) ISO 44001

(9) https://www.whitehouse.gov/briefing-room/statements-releases/2021/08/25

(10) https://www.techuk.org/resource/defence-digital-and-techuk-publish-joint-list-of-signatories-to-collaboration- code-of-practice.html

(11) https://www.defesa.gov.pt/pt/pdefesa/CAIH

Bruno Marques

Bruno Marques

Vice-Presidente
CIIWA

Vice-Presidente da CIIWA, Manager na Shift Consulting, Membro do ISACA Lisbon Chapter, Investigador e Professor Universitário

Outros artigos deste autor


REVISTA DIGITAL

IT SECURITY Nº3 Dezembro 2021

IT SECURITY Nº3 Dezembro 2021

NEWSLETTER

Receba todas as novidades na sua caixa de correio!

O nosso website usa cookies para garantir uma melhor experiência de utilização.