Ser, ou não ser… nunca é a questão

Ora então, pondo de lado a dúvida existencial Shakespeariana, não se trata de “ser, ou não ser…”, porque essa não é a “questão”.

No entanto, em qualquer organização bem estruturada, com uma missão clara, valores arreigados, bem orientada estrategicamente, e bem gerida, surge a questão adicional, de como “fazer para não acontecer”, e se acontecer “pois que não seja agora”.

Assim sendo, cada CEO, deve claramente delegar esta missão de evitar o pior e de gerir o risco, nos seus CIO e CFO.

Os mesmos, terão preocupações legitimas e devem estar articulados e bem coordenados.

Enquanto o CIO, sempre se preocupará, com as cada mais sofisticadas ciber ameaças, com o reforço das defesas e garantia de ciber resiliência, com a integração segura da IA, com gestão de risco na cadeia de abastecimento e terceiros, com a escassez de talento especializado em ciber segurança e com alinhamento da estratégia de TI com os objetivos de negócio, incluindo conformidade regulatória e gestão de riscos, o CFO terá legitimas preocupações com o impacto financeiro dos ataques (principalmente ransomware e extorsão digital), com a conformidade legal e regulatória e com a divulgação obrigatória trazida pela NIS 2, entre outros frameworks, com o risco de terceiros e de fornecedores, com os custos crescentes da mitigação de ciber ataques e ciber ameaças e com o aumento constante dos custos com seguros cibernéticos, assim como com os danos reputacionais e impacto para o valor da empresa e da marca, que resultem de quebra de confiança de investidores, clientes e parceiros, como resultado de eventos que envolvam principalmente violação de dados.

Podemos dissecar ainda mais estes desafios, para que os mesmos fiquem claros, e evitemos a sina propalada em diversos fóruns “do ser, ou não ser, nunca é a questão…”.

A cibersegurança continua a ser a prioridade máxima de qualquer CIO, com ataques cada vez mais complexos, incluindo ransomware e exploração de vulnerabilidades em cadeias de fornecimento. CIOs estão focados em reforçar defesas e garantir resiliência cibernética.

A adoção de IA e automação traz riscos adicionais, como ataques baseados em IA e falta de governança. CIOs precisam equilibrar inovação com segurança.

A falta de visibilidade sobre fornecedores e parceiros aumenta a exposição a ataques. Auditorias e contratos com cláusulas de segurança são essenciais.

A dificuldade em contratar profissionais qualificados é crítica, levando à necessidade de requalificação interna e automação.

Garantir que a estratégia de TI esteja alinhada aos objetivos do negócio, incluindo conformidade regulatória e gestão de riscos, é uma prioridade crescente.

CFOs estão preocupados com custos diretos (resgate, recuperação) e indiretos (interrupção de negócios, danos reputacionais).

Novas regras exigem relatórios rápidos sobre incidentes e programas de segurança, aumentando a pressão sobre CFOs para garantir compliance.

Dependência de serviços externos amplia vulnerabilidades; CFOs devem avaliar cláusulas contratuais e seguros cibernéticos para mitigar riscos.

Após incidentes, empresas enfrentam aumento significativo nos gastos com tecnologia, auditorias e seguros especializados.

Violações de dados afetam confiança de clientes e investidores, com consequências financeiras de longo prazo.

Não querendo pegar numa varinha de condão, para de seguida dar soluções para cada um dos desafios em cima, o que posso fazer é sugerir uma súmula de soluções práticas, conhecidas daqueles que todos os dias tentam contrariar a sina.

De forma sumarizada posso elencar cada uma delas.

Para os CIOs recomendo algumas medidas para cada desafio.

Proteção contra ciberameaças sofisticadas

• Implementar arquitetura Zero Trust.
• Adotar EDR/XDR (Endpoint/Extended Detection and Response).
• Realizar testes de penetração regulares e simulações de ransomware.

Integração segura de IA

• Criar políticas de governança de IA (uso ético e seguro).
• Monitorizar modelos contra ataques adversariais.
• Implementar auditorias contínuas em sistemas baseados em IA.

Gestão de riscos na cadeia de fornecimento

• Exigir certificações de segurança (ISO 27001, SOC 2, TISAX) de fornecedores.
• Monitorizar acessos privilegiados de terceiros.
• Adotar contratos com cláusulas de cibersegurança.

Escassez de talento

• Investir em formação interna e programas de certificação.
• Utilizar automação e IA para tarefas repetitivas.
• Criar parcerias com universidades para atrair novos talentos.

Governança e alinhamento estratégico

• Estabelecer comités de risco cibernético com participação do board.
• Integrar KPIs de segurança nos objetivos corporativos.
• Garantir conformidade regulatória (RGPD, NIS2, DORA).

Para os CFOs recomendo, também, algumas medidas para cada desafio.

Impacto financeiro dos ataques

• Criar fundos de contingência para incidentes.
• Contratar seguros cibernéticos robustos.
• Implementar planos de continuidade de negócio.

Conformidade regulatória

• Automatizar reporting de incidentes.
• Garantir auditorias periódicas.
• Integrar compliance no ERP para visibilidade financeira.

Riscos de terceiros

• Avaliar exposição financeira de fornecedores críticos.
• Exigir due diligence cibernética antes de contratos.
• Monitorar riscos de concentração (dependência excessiva).

Custos crescentes

• Negociar políticas de seguro com coberturas específicas.
• Investir em soluções escaláveis para reduzir custos futuros.
• Avaliar ROI de projetos de segurança.

Danos reputacionais

• Criar planos de comunicação de crise.
• Monitorar redes sociais e reputação online.
• Garantir transparência com stakeholders após incidentes.

Em suma, e citando Shakespeare, na componente sobre a vida e a morte, que o desafio que as organizações enfrentam no campo de jogo cibernético, a morte do negócio por via dos ciberataques, ou a vida por via da sobrevivência e resiliência, e não aceitando a sina estabelecida do jogo no palco da world wide web, em que “ser ou não ser” atacado, nunca “é a questão”, mas antes abracemos outra vez Hamlet e usemos como referência a notável frase "o mundo inteiro é um palco, e todos os homens e mulheres são apenas atores", para encararmos a ciber luta como um palco, em que todos são atores, desde ciber criminosos até homens e mulheres de bem que estão do lado da ciber defesa das suas empresas, da sua vida, da sua família e da sua prosperidade, sempre a tentar contrariar a sina, de forma robusta, consciente e coordenada, com políticas, estratégia, foco, investimento, coordenação e ação constante, neste palco que é a ciber luta, e em cada final o que se espera é que, “quem se defende bem e continuamente, de forma organizada e concertada” sobrevive “a quem ataca constantemente, de forma ávida, focada e impiedosa”.

No final, todos desde CEOs, CFOs, CIOs, devem ter como missão da sua vida empresarial questionar o “ser ou não ser (atacado), nunca é a questão”, e seguir uma outra grande máxima de Shakespeare, “ser grande é abraçar uma causa”, e encarar a “IT Security” como a base da sua vida.