Ver ou não ver, eis a questão!

Ver ou não ver, eis a questão!

A cibersegurança, i.e., a gestão do ciber-risco, só será devidamente financiada pela gestão das organizações e, portanto, eficaz e eficiente, se tornar-se o que o nome propõe – uma prática gerida

Não se gere o que não se mede, não se mede o que não se define, não se define o que não se entende e não há sucesso no que não se gere”. Esta frase, proferida há 70 anos por William Deming, é hoje tão relevante como foi na altura revolucionária. E é a razão da crescente insegurança da maioria das organizações.

Quando a fatura é pequena, a gestão intermédia consegue eventualmente acomodar algumas despesas. Mas quando ela ganha proporções relevantes, o tom da conversa muda, bem como os interlocutores e a mesa onde a decisão é tomada.

Não é mais possível gerir a cibersegurança de uma organização aplicando-se controlos de forma arbitrária, seja por que razão for. Muito menos é possível apresentar ao Board uma lista de compras extensa e onerosa porque não se sabe quais são os investimentos relevantes, alegando que são todos necessários sem uma justificação adequada, à luz de critérios racionais e económicos.

Ao contrário dos riscos associados a outros aspetos da atividade das organizações, como e.g. a gestão da frota automóvel, custos com comunicações de dados ou gestão de tesouraria, os ciber-riscos que as organizações devem endereçar variam imenso consoante o setor de atividade, o valor da informação dos seus clientes, a cadeia de fornecedores, o país em que estão baseadas, o nível de sensibilização dos colaboradores, entre muitos outros fatores. 

Considerando a frase de Deming acima, temos então que para uma organização ser bem-sucedida no domínio da cibersegurança (i.e., o custo do impacto dos incidentes nunca superar o custo da mitigação dos ciber-riscos), terá de a gerir, o que significa primeiramente “entender e definir as ciber-ameaças relevantes”.

Consideremos este como o 1.º nível de visibilidade que uma organização, ou melhor, o seu responsável máximo pela gestão de ciber-riscos, deve ter. 

A identificação das ameaças é um exercício que implica um completo entendimento do modo como a organização se relaciona – técnica, administrativa e processualmente - com toda a sua envolvente, onde as seguintes questões, meramente ilustrativas, devem ser endereçadas e respondidas: A informação que a organização processa é de interesse para quem, e porquê? Os parceiros de que a organização depende são tão seguros quanto ela ou podem comprometê-la? Os colaboradores da organização entendem as ameaças e fazem parte da sua arquitetura de segurança ou, pelo contrário, são eles próprios uma ameaça? Os sistemas de informação que a organização tem em operação são sofisticados o suficiente para resistirem a ataques? Quem são os ciber-criminosos que poderão ter interesse em atacar a organização? A integridade da interação com os clientes pode ser comprometida de forma externa aos sistemas da organização? 

Muitos dos problemas expostos pela análise destas questões não são facilmente mitigáveis de forma total, nem duradoura, nem economicamente viável, numa ótica de gestão de risco. E, por isso, um 2º nível de visibilidade ganha relevância. 

Ao não ser possível atirar dinheiro para cima dos problemas (são potencialmente demais, e com custos de mitigação totais elevadíssimos), urge monitorizar indicadores de forma a antecipar riscos crescentes para que a aplicação de contramedidas (i.e., os investimentos) seja criteriosa, economicamente interessante e, portanto, justificável à luz das melhores práticas de gestão. 
 
Tendo-se “entendido e definido as ameaças relevantes” torna-se possível medir vários tipos de indicadores que caracterizam tais ameaças, possibilitando a sua gestão. 

O gestor de cibersegurança não deve mais definir orçamentos plurianuais onde investimentos são realizados em determinados anos por razões históricas (“está na hora de fazer o upgrade”), intuições (“tenho sentido a falta”), tendências (“todos estão a implementar”), descontos comerciais definidos por fornecedores (“se for este ano dão-me um desconto especial”) e outras práticas menos rigorosas. Alternativamente, deve negociar e aprovisionar meios financeiros para realizar investimentos quando são necessários, à luz da monitorização de vários indicadores. 

Os seguintes pares de investimento e indicadores monitorizados são, novamente, meramente ilustrativos do exercício que deveria definir a vida do gestor moderno de cibersegurança: Reforço do Programa de Sensibilização e Formação (investimento) quando os colaboradores começam a piorar de forma relevante nas avaliações de cibersegurança (indicador); Plano de Comunicação específico a avisar clientes de campanha de malware que os visa quando se deteta que esta está a ser preparada ou já em atividade; Bloqueio automático de conta de utilizador e avaliação da situação por técnico quando este falha a password várias vezes num tempo reduzido; Agendamento imediato de aplicação de patch a sistema quando nova vulnerabilidade aplicável ao sistema se torna conhecida; Implementação de sistema de controlo de cópia de dados para medias amovíveis quando se torna evidente que a sensibilização não é suficiente para disciplinar o comportamento dos colaboradores; Troca de um fornecedor por outro quando o primeiro não consegue melhor a sua postura de cibersegurança; Ativação de mecanismos de lockdown, auditoria e análise forense de postos de trabalho quando se verifica que estes estão a aceder a serviços inapropriados na Internet; entre muitos outras situações.

É hoje possível, a custos controlados, contratar soluções e serviços para realizar vários tipos de monitorização de indicadores, interna e externamente ao domínio de segurança da organização. E, a partir da análise continuada destes, tomar decisões de investimento quando ele é realmente necessário, técnica e economicamente. 

Talvez assim os desejados budgets para cibersegurança, em crónica falta, surjam.

João Barreto

João Barreto

Managing Partner
CyberOps

Fundador e líder de empresas de cibersegurança há mais de 20 anos (SysValue, e agora CyberOps), com uma passagem pela gestão da S21sec durante três anos, após a aquisição pelo Grupo Sonae da SysValue. Com uma formação científica de base (Matemática Aplicada), estudos pós-graduados em Informações e Segurança, e múltiplas formações profissionais nos domínios da Segurança da Informação, Privacidade e Proteção de Dados, foi também durante vários anos docente na Universidade Católica nos cursos de Engenharia Informática e Pós-Graduação em Segurança da Informação. Nas empresas que criou foi, e é, responsável pela área de prática de consultoria, além de gestor com responsabilidades pelo marketing estratégico, gestão de portfolio (serviços e produtos) e desenvolvimento de negócio.

Outros artigos deste autor


REVISTA DIGITAL

IT SECURITY Nº2 Setembro 2021

IT SECURITY Nº2 Setembro 2021

NEWSLETTER

Receba todas as novidades na sua caixa de correio!

O nosso website usa cookies para garantir uma melhor experiência de utilização.