CISO no Limite: Como parcerias estratégicas podem combater os ciberataques nas organizações

É inegável que a crescente digitalização trouxe vantagens para as organizações mas também pôs a descoberto um lado mais crítico com os ciberataques, que têm aumentado tanto em número como em sofisticação, causando danos financeiros, legais e de reputação. Na verdade, o grau de agilidade e sofisticação deste tipo de ataques é cada vez maior, o que reforça a importância da prevenção  para garantir a segurança do negócio e dos colaboradores. Não podemos hesitar na hora de trazer o tema da Cibersegurança a debate, seja em reuniões com os Chief Information Security Officer (CISO) ou exclusivamente com os membros do Conselho de Administração. É uma prioridade estratégica de alto nível e, como tal, deve ser tratada como parte integrante do negócio e sempre numa ótica transversal.

Perante a persistência deste tipo de incidentes, tornou-se necessário estabelecer uma resposta jurídica e regulamentação adequadas, sendo exemplo disto o RGPD em 2016 e a nova Diretiva NIS 2, que  substitui a NIS de 2018. Estas diretrizes e legislação mostram, mais uma vez, a importância da promoção da segurança e estabilidade do ciberespaço, perante o já referido aumento dos ciberataques e dos seus impactos. Na verdade, é notório que os CISO estão sob muita pressão, com vários assuntos importantes sob a sua alçada, e tudo isto associado ainda a uma manifesta escassez de recursos humanos qualificados difícil de colmatar. A falta de talento é uma realidade e formar pessoas é algo que demora o seu tempo, o que justifica em parte haver cada vez mais empresas a procurar parceiros eficientes, eficazes e ágeis. 

Desde muito cedo na minha carreira, defendo que as organizações devem centrar-se onde fazem efetivamente a diferença, como no suporte ao seu negócio, confiando nos seus parceiros de serviços geridos -managed services - que aproveitam a escala, a especialização e a experiência para oferecer serviços assertivos, otimizados, fiáveis e com resultados mais efetivos. A propósito deste tema, a Devoteam Cyber Trust juntamente com a IDC, lançou recentemente um estudo interessante, que nos ajuda a entender as motivações, prioridades e desafios dos profissionais de IT e de Segurança perante a decisão da escolha de um MSSP (Managed Security Service Provider). Os números são bem claros, com apenas 31% das organizações a afirmar conseguir gerir todos os aspetos de conformidade referentes à segurança e privacidade. O que  demonstra que as organizações estão ainda a lutar para corrigir os riscos de segurança conhecidos, e que fortalecer a sua postura de segurança ao longo do tempo representa até então um enorme desafio.

Apesar de a resiliência cibernética ser uma prioridade e dos crescentes orçamentos de segurança, tanto as organizações que têm equipas de segurança internas, como aquelas que trabalham com MSSP ainda apresentam dificuldades na  execução operacional e eficiência. Perante o atual contexto de crescentes ameaças, as empresas encontram-se todas elas mais expostas e vulneráveis, o que faz da  terceirização da segurança a melhor opção. De acordo com o estudo mencionado, os requisitos chave  são as capacidades técnicas, rapidez e eficiência no tempo de resposta e know-how especializado. 

Em suma, os tempos que vivemos são desafiantes, especialmente para os CISO, que enfrentam  um cibercrime cada vez mais organizado que exige que as empresas estejam mais atentas do que nunca e que olhem para as soluções de cibersegurança como uma necessidade crucial. É certo que já existem algumas PMEs com equipas estruturadas a trabalhar este tema de forma efetiva, mas continua a existir uma clara necessidade de investimento na área. O estudo acima referido demonstra que, apesar da importância estratégica dada à questão da segurança e privacidade, continuam a persistir níveis baixos de confiança na gestão dessas questões por parte das organizações. Quanto ao sucesso do funcionamento com o MSSP é preciso adotar uma postura e visão holísticas do relacionamento, alinhando a visão, cultura e respetivas métricas.

Para concluir, deixo-vos com uma previsão da Gartner, não enquanto alarmismo, mas antes como chamada de atenção. Segundo a previsão, até 2025, devido ao aumento das ciberameaças e dos ataques informáticos, quase metade dos líderes de cibersegurança deverá mudar de trabalho devido a fatores relacionados com stress e pressão no trabalho, sendo que 25% admite mesmo mudar para diferentes funções. A rotatividade de talentos nesta área representa uma ameaça às equipas de segurança de uma organização, portanto é essencial delinear uma estratégia bem pensada, sendo necessário que os CISO considerem “cada vez mais o risco interno ao desenvolverem um programa de cibersegurança”.