O mundo é cada vez mais tecnológico. Desde as pequenas ações do dia a dia às mudanças estruturais nas empresas, a tecnologia está no centro de tudo, o que aumenta o debate em torno da cibersegurança. Afinal, a inovação não pode estar separada da segurança. Mas como será possível encontrar um equilíbrio? Como poderá a cibersegurança influenciar o sucesso e a longevidade de uma organização? A regulamentação e as tecnologias emergentes serão uma ajuda?
Frederico Macias, Partner e um dos responsáveis pela área da Cibersegurança da Deloitte, começa por esclarecer que não será possível ser bem-sucedido sem um termo chave: a confiança. “É um dos fatores essenciais nas relações entre as pessoas e entre as organizações. E a cibersegurança é essencial para reforçar essa confiança entre as organizações. Em particular no universo B2B, de organização para organização, é fundamental criar mecanismos que reduzam ou mitiguem o risco de um potencial ataque. Obviamente que não existe risco zero, mas existe um conjunto de ações que podemos adotar e desenvolver para evitar um potencial ataque”. No caso específico da Deloitte, e precisamente a pensar neste incentivo à confiança, de dentro para fora da organização, tem sido feito um trabalho exaustivo nesse sentido: “Nós temos investido e desenvolvido muito as questões de awareness, de cultura e de preocupação das nossas pessoas com as áreas de cibersegurança”, explica Frederico Macias, que aproveitou a oportunidade para lançar o desafio para que “outras organizações adotem as mesmas medidas, porque consideramos que a educação para a cibersegurança é uma área com um retorno bastante grande a médio e longo prazo”.
Frederico Macias acredita ainda que as tecnologias emergentes e a regulamentação podem, de facto, ser uma ajuda na área da cibersegurança, mas não devem ser o foco central no trabalho desenvolvido pelas organizações. “A principal preocupação é garantir que estamos a entregar produtos e serviços seguros como uma distinção dos nossos concorrentes no mercado e que a confiança é maior naquilo que nós fornecemos. O fenómeno da globalização e o facto de as economias estarem cada vez mais ligadas leva a que um ataque tenha efeitos nas organizações que colaboram connosco”, assegura sem qualquer hesitação, ressalvando em seguida de que forma podem as organizações preparar-se para estar em conformidade com essas mesmas diretivas, como é o caso, por exemplo, da NIS2: “As diretivas têm diversos pontos de incisão. Eu retiraria dois ou três pontos que me parecem fundamentais. O primeiro tem a ver com o risco. As organizações devem ser capazes de medir o risco, de fazer uma gestão efetiva do risco de cada um dos ativos e depois, com base nessa gestão, desenvolver as medidas adequadas. O segundo ponto que me parece crítico tem a ver com a cadeia de abastecimento, a cadeia de valor, os terceiros. E testar muito as respostas a incidentes para garantir que não deixamos de fora pontos que, muitas vezes, quando existe um incidente real, não são tidos em conta e só nos apercebemos nesse momento. Toda a regulamentação proposta vai no sentido de incentivar as organizações a testar cada vez mais os potenciais incidentes, da mesma forma que fazemos com os simulacros. Devem existir simulacros de incidentes de cibersegurança, de forma a garantir que somos capazes de responder rapidamente. Acrescentava ainda um quarto ponto que me parece muito importante, mas que não é tão explícito na regulamentação e que nós internamente na Deloitte fazemos, que diz respeito à capacitação das pessoas”.
Além da regulamentação, as tecnologias emergentes, como a Inteligência Artificial, trazem consigo novos riscos. “Na Deloitte, temos uma framework específica para a segurança ou utilização segura de Inteligência Artificial (IA) que tem vários eixos, mas eu destacaria a importância da veracidade dos dados, com base nos quais os modelos são formados, ou com base nos quais os algoritmos utilizam a informação residente nesses dados e, sendo fundamental a sua veracidade. Muitos dos ataques que são dirigidos aos modelos e algoritmos de IA que as organizações utilizam são dirigidos também aos dados para utilização desses modelos. Para garantir a proteção desses mesmos dados e a sua integridade é fundamental garantir que mitigamos um dos grandes riscos da IA”, esclarece.
Com a conversa a acabar, ainda foi possível abordar o tema da Cloud. Poderá a segurança em Cloud ser, também, uma opção a ter em consideração para um futuro que se quer mais seguro? Frederico Macias acredita que sim e reforça que as áreas da cibersegurança não devem viver de forma isolada, mas acompanhar a evolução digital das organizações: “as áreas de cibersegurança, têm de ser capazes de adequar as suas medidas, independentemente da infraestrutura onde as organizações colocam os seus dados e os seus processos, no caso no tema da Cloud. Já existem formas, ferramentas e tecnologias que possibilitam às organizações encriptar os dados antes de eles serem movidos para a Cloud, garantindo a sua segurança. Tal implica que as áreas de cibersegurança estejam muito próximas do negócio e alinhadas com a estratégia e a visão da organização para que seja possível desenvolver políticas de segurança adequadas à infraestrutura utilizada pelas áreas de negócio”.
No fundo, e para o futuro, fica a certeza de que, para encontrar o equilíbrio entre inovação e segurança, as organizações precisam de se adaptar às mudanças, à velocidade a que se movem os agentes maliciosos e à urgente customização que cada organismo terá de fazer de forma a encontrar as respostas e os mecanismos necessários para fazer parte de um caminho cada vez mais ciberseguro. “O maior desafio atual e aquele que, no limite, se continuará a colocar num futuro próximo é o de as organizações serem muito mais lentas a adotar determinados mecanismos do que os agentes maliciosos. As organizações demoram sempre mais tempo a adequar as suas medidas internas. Esse é o maior desafio das organizações e irá manter-se nos próximos tempos”, conclui Frederico Macias.