Securnet: “As equipas de GRC devem ser o radar destas práticas e antecipar os impactos antes que eles ocorram” (com video)

Na IT Security Summit Porto, Luís Sousa, BU Manager de GRC da Securnet, desafiou os participantes a refletirem sobre os temas que mais preocupam os profissionais da cibersegurança, num mundo cada vez mais regulado e impulsionado pela Inteligência Artificial (IA).

“Se fizéssemos aqui uma votação, entre o IA: adoção versus riscos, os riscos da cadeia de valor, a gestão do risco humano e o peso da regulação, qual é que vos tira o sono?”, questionou o orador, lançando o desafio à audiência presente. A maioria da audiência demonstrou preocupações dispersas, com destaque para os riscos associados à cadeia de valor e à gestão do fator humano.

O paradoxo da inovação: entre o legítimo e o ilegal

A inteligência artificial surgiu como um tema dominante. Luís Sousa exemplificou com um cenário hipotético: “Imaginem que eu hoje usava ferramentas de IA para saber, em tempo real, os vossos sentimentos ou reações. Usava sensores, dados biométricos, cruzava imagens com bases de dados. Era legítimo o propósito, mas na prática estaria a violar várias leis”.

Para alertar sobre o dilema entre a inovação e a regulação, o orador mencionou que “estamos a falar de algo que parece útil, mas que é proibido pela legislação europeia e pelo EIAC. É aqui que a ética, a privacidade e o contexto local devem entrar”.

Referiu que ainda que muitos dos atuais usos da inteligência artificial, mesmo com boas intenções, podem inadvertidamente infringir o Regulamento Geral sobre a Proteção de Dados (RGPD), criando riscos reputacionais e legais para as organizações. “As equipas de GRC devem ser o radar destas práticas e antecipar os impactos antes que eles ocorram”.

GRC com IA: de ferramenta a potenciador estratégico

A apresentação centrou-se depois no potencial da inteligência artificial como aliada na gestão de risco e na governança. “A inteligência artificial tem ajudado na deteção de comportamentos anómalos, nas personalizações da formação e na medição do retorno de investimento. Já não basta fazer bem dentro de casa; é preciso fazer bem em todo o ecossistema de parceiros”, referiu Luís Sousa.

Luís Sousa destacou ainda o fenómeno da “fadiga tecnológica” em algumas organizações: “Temos visto empresas que acumulam soluções tecnológicas, mas não as integram nos seus processos. O resultado? Ferramentas que estão subutilizadas e planos de cibersegurança que não saem do papel”.

A aposta na integração tecnológica é, de acordo com o orador, uma necessidade urgente. O GRC deve ser capaz de unir áreas antes fragmentadas, como IT, compliance e operações, através de plataformas de gestão de risco contínuo que comuniquem com sistemas críticos da organização.

O orador sublinhou ainda que o GRC precisa de sair do seu “isolamento operacional”. “Queremos deixar de depender tanto de consultores e processos manuais”. O BU Manager de GRC da Securnet mencionou que as empresas necessitam de plataformas que unam o GRC à realidade tecnológica e que integram com sistemas como MDM, recursos humanos, ticketing e gestão de ativos.

Visibilidade, automação e confiança: o futuro do GRC

A visão da Securnet apresentada pelo orador aponta para um GRC mais automatizado e interligado. “O nosso objetivo é perceber, de forma contínua, se os controlos estão a funcionar. Este é o verdadeiro valor que a IA pode trazer: um GRC dinâmico, responsivo e com impacto direto no negócio”, explicou.

Num exemplo prático, partilhou um caso de uso com uma plataforma parceira, onde o cruzamento de dados de compliance com sistemas de gestão permitiu detetar falhas de controlo em tempo real. “Estamos a falar de ganhar semanas ou meses na resposta a falhas que, de outro modo, só seriam identificadas numa auditoria anual”.

O orador acredita que, num futuro próximo, as equipas de segurança deverão ser também promotoras de confiança externa: “Temos de partilhar com os stakeholders aquilo que estamos a fazer bem. Portais de confiança vão ser uma tendência clara”.

Risco de terceiros e risco humanos: dois desafios permanentes

Na reta final da apresentação, Luís Sousa abordou a gestão de risco de terceiros como um dos pilares estratégicos do GRC moderno. “Ferramentas de IA permitem cruzar o que os parceiros dizem com o que a realidade mostra. Isto é essencial para cumprir diretivas como a NIS2, que exigem monitorização contínua”.

O orador explicou que a abordagem da Securnet inclui uma análise aprofundada da “superfície de ataque” dos parceiros, combinando informações públicas com os resultados dos questionários de avaliação. “É um trabalho que exige contexto, precisão e, acima de tudo, capacidade de adaptação”.

Já sobre o risco humano, foi perentório: “Não chega dar formação genérica. É preciso formação adaptativa, programas completos que abranjam toda a organização, da alta direção ao chão de fábrica”. O orador sublinhou que a mudança de comportamento só acontece com programas sustentados e métricas objetivas. “Medir KPI, analisar o impacto e ajustar o plano é o ciclo contínuo necessário para transformar a cultura organizacional”.

Luís Sousa terminou a sua apresentação com uma mensagem de equilíbrio entre tecnologia e humanismo, destacando que “o papel dos consultores e das pessoas é fundamental. A IA não substitui, potencia. O GRC potenciado pela IA tem o poder de unir processos, tecnologia e pessoas com propósito, para criarmos juntos um ciberespaço mais seguro, resiliente e humano”.