Segurança organizacional na era da informação: o caminho para uma visão integrada

O objetivo deste artigo é demonstrar a necessidade de caminhar para uma abordagem e visão únicas da segurança dos recursos de informação dentro das organizações, necessárias à promoção de uma mais eficiente e eficaz proteção dos recursos e infraestruturas organizacionais e, consequentemente, das sociedades de base digital.

Tipicamente falamos na cibersegurança das organizações prioritariamente na perspetiva da confidencialidade e integridade dos dados que residem nos sistemas das redes corporativas, para tal usamos frequentemente a expressão de segurança das redes de Tecnologias de Informação (Information Technology - IT). Contudo, existem organizações que, pela sua atuação, também gerem redes e sistemas que integram o domínio da Tecnologia Operacional (Operational Technology - OT).

Na prática, este último domínio, através de IT, materializa a capacidade de atuar e controlar equipamentos físicos em tempo real, tais como subestações elétricas ou redes de transporte de combustíveis, entre muitos outros exemplos. Os sistemas OT utilizam tecnologias de informação cada vez mais uniformes e idênticas às do domínio IT - note-se aqui já a confusão na utilização do termo, IT, como um indicador de uma homogeneidade que se tem vindo a observar- sendo que a propriedade fundamental a defender no domínio OT é a disponibilidade dos sistemas e comunicações. Já as consequências do controlo, por agentes mal- -intencionados, dos sistemas que integram as redes OT, podem gerar grandes impactos na segurança, não só das organizações, mas também à escala nacional ou global. Adicionalmente, constata-se que todas as organizações, ainda que aliciadas pela perspetiva pós-pandémica do teletrabalho, têm, em maior ou menor escala, uma segurança física (controlo de acessos a edifícios ou videovigilância), também ela cada vez mais assente em plataformas tecnológicas de informação (de novo IT) assim como a proliferação de dispositivos que se ligam à internet, a que chamamos internet das coisas (Internet of Things - IoT).

O alinhamento dos domínios IT e OT ou mesmo a sua convergência com a segurança física, áreas que existem separadas historicamente nas organizações, será uma inevitabilidade, não como um fim em si mesmo, mas como o meio para aquilo que é o objetivo fundamental a atingir: uma visão integrada da segurança das organizações.

A análise do recente incidente do Colonial Pipeline, sem a necessidade de mais detalhes ou qualquer juízo de valor (sempre a evitar) sobre a atuação da Companhia responsável pela sua operação, evidenciou aquilo que talvez não seja considerado óbvio: um ataque bem sucedido ao domínio IT, que, segundo as informações disponibilizadas, não afetou o OT, acabou por ter consequências, em tempo real, similares a um ataque aos sistemas responsáveis pela operação destas redes, ou seja, a indisponibilidade de uma infraestrutura física, com o subsequente caos social, que se gerou nos dias a seguir ao ataque. Isto acontece porque, não obstante as organizações terem processos críticos que se materializam nas redes e sistemas OT, muitas vezes também conhecidos como sistemas “mission critical”, na prática, toda a continuidade dos serviços de uma organização, acaba por depender também de sistemas que estão tipicamente nos domínios IT (também designados por “business critical” e/ou “business support”).

Desta forma, um ataque de ransomware bem-sucedido numa rede de IT pode não ter um efeito imediato, visível na sociedade, mas vai provocando uma degradação de serviço, que, no caso de uma não recuperação do ataque, pode provocar efeitos semelhantes a um ataque ao OT. Como exemplo ilustrativo deste facto, constata-se que a não recuperação de um sistema de gestão de incidentes associado à operação de redes de fornecimento de energia, poderá provocar uma degradação dos mesmos, conduzindo potencialmente a graves perturbações no serviço de fornecimento. Esta situação deve constituir um claro alerta para a necessidade de perspetivar a cibersegurança segundo uma visão holística, explorando para esse efeito uma análise de risco transversal aos diversos domínios, focada nos processos e serviços disponibilizados pela organização. Ou seja, a primeira motivação para a adoção de “uma visão integrada” prende-se essencialmente com a gestão do risco. O órgão máximo executivo de uma organização, tem de conhecer o seu risco de cibersegurança global, da mesma forma que conhece o seu risco de crédito, de mercado ou de ameaça à reputação da sua marca.

A segunda motivação para a adoção desta visão integrada encontra os seus fundamentos na eficiência organizacional. Os conselhos de administração executivos das organizações têm o dever fiduciário para com os titulares das sociedades, sejam elas privadas ou públicas, de gerir de forma mais eficiente os recursos, cumprindo a missão para a qual a organização/ sociedade foi criada. A existência de várias estruturas de segurança na organização, fragmentadas em silos, são, em regra, modelos pouco eficientes que não captam sinergias, nem das soluções tecnológicas de proteção, deteção ou reação, nem das competências dos recursos humanos dentro da organização. De facto, como exemplo, verifica-se que a proliferação de diferentes soluções tecnológicas para proteção de comunicações vai exigir uma multiplicação de competências, dificultando a mobilidade ou atuação de colaboradores, a duplicação provável de contratos com fornecedores, multiplicando os custos, mas, com consequências mais graves, aumenta o tempo de reação e de exposição das vulnerabilidades da organização o que, no ecossistema digital, pode ser fatal, considerando a velocidade de atuação no ciberespaço e a grande dinâmica dos atacantes.

Finalmente, como terceira motivação, identifica-se a capacidade operacional das equipas de segurança. A deteção de ameaças, mesmo numa fase preliminar da preparação de ataques mais sofisticados, só pode ser bem-sucedida quando os sensores espalhados por toda a rede comunicam e se interrelacionam entre si. Por vezes um indicador de segurança apenas ganha significado ou atenção quando correlacionado com outro, amiúde situado numa outra zona da rede. Para além da deteção, a reação a um incidente carece de uma atuação global sob pena de não ser possível assegurar uma resposta adequada e as consequências desse incidente assumirem resultados catastróficos para a organização. Neste âmbito, torna-se crucial assegurar que os domínios OT e IT se encontrem em comunicação constante, quer para questões de segregação de redes e contenção de incidentes, quer para efeitos de deteção de indicadores de compromisso e aplicação de medidas remediadoras.

Desta reflexão, não se deve entender que aqui se defende uma área gigante de segurança organizacional ou que se esqueçam as especificidades, reais e crucias, de cada um dos domínios IT e OT. Não é isso que está em causa e seria pouco sensato defender tal ideia. O fundamental é assegurar que a gestão de topo assume o risco de cibersegurança como um risco corporativo global no governo da organização, que desenvolve uma estratégia e políticas globais, implementando uma estrutura que permita capturar sinergias, quer de recursos tecnológicos quer humanos, enquanto desenvolve uma capacidade operacional de deteção e reação a incidentes de cibersegurança segundo uma aproximação holística. Esta visão poderá e deverá, quando se justifique, ser alargada à IoT e também à segurança física, não muito explorada aqui, no que diz respeito à sua componente cibernética, ou seja: garantir uma segurança organizacional de natureza integrada.

O caminho que as organizações irão trilhar para chegar ao desiderato de uma visão integrada vai depender da sua dimensão, complexidade e do grau de exposição ao risco e à regulação das suas operações no ciberespaço. Existem diversos modelos, mais ou menos centralizados, híbridos ou mistos, que fomentam o alinhamento entre os diversos domínios de segurança, contribuindo para a visão integrada da segurança na organização. Atualmente, as organizações, ainda que a diferentes velocidades, em especial entre sectores de atividade, adotam os modelos que mais se adequam às suas realidades, fazendo-os evoluir, mas no geral existe uma consciência, em especial nos operadores de serviços essenciais, que entendem esta visão integrada como um caminho necessário que se ajusta ao espectro da ameaça, assim como às dinâmicas que definem o risco organizacional na era da informação.

Como nota final refira-se que a regulação específica para a cibersegurança, ao nível europeu, nacional, ou mesmo sectorial, mas em particular a Diretiva (UE) 2016/1148 (transposta, no caso Português, para a Lei n.º 46/2018 e o Decreto-Lei 65/2021 que a regulamenta), preconiza um conjunto de obrigações, quer no capitulo das responsabilidades da segurança, quer na gestão de risco na organização, que irá contribuir para que o caminho para a segurança organizacional integrada seja mais natural!