Já todos estamos de alguma forma conscientes acerca da crescente importância do tema ‘cibersegurança’, com os ataques informáticos a alcançarem um impacto mediático significativo nos últimos tempos. No contexto organizacional, é urgente que esta consciência assuma o seu expoente máximo, entre gestores e colaboradores, sob pena de as empresas estarem vulneráveis a riscos desnecessários e de uma dimensão incalculável.
Uma das tendências a que penso que vamos assistir num futuro próximo passa pela massificação dos ataques de white hats. Os white hats, ou hackers éticos, são especialistas em descobrir vulnerabilidades e podem, assim, ter um papel importante na identificação das fragilidades das empresas, apoiando a sua estratégia de segurança. Com a entrada do tema na ordem do dia, cada vez mais empresas poderão querer testar os seus sistemas – por um lado, para poderem corrigir atempadamente qualquer falha; por outro, para dar segurança aos clientes.
Acredito que teremos um número crescente de empresas que não querem correr o risco de esperar por um ataque real para avaliar as suas linhas de defesa, pelo que esta estratégia poderá vir a ganhar um grande realce. O único senão é que os white hats não possuem necessariamente educação certificada nem se regem por modelos oficiais, o que pode provocar desconfiança nas empresas. Neste sentido, é provável que em breve se observe uma maior padronização e regulamentação do conhecimento, habilidades e experiência para habilitar hackers éticos ou, pelo menos, para que passe a existir uma certificação oficial.
Outra tendência, e talvez mais controversa, a que podemos vir a assistir com mais expressão dentro das empresas nos próximos tempos passa pela responsabilização dos próprios colaboradores nas questões de cibersegurança.
As organizações demonstram níveis diferentes de importância dada ao tema, assim como níveis diferentes de investimento na sensibilização/formação e na correção de práticas desadequadas, e isto pode ter implicações na forma como os colaboradores lidam com a cibersegurança. Por exemplo, se uma empresa utiliza um sistema de gestão de passwords, os colaboradores entenderão à partida que há um investimento na área e que terão um papel importante na segurança da empresa. Por outro lado, se não existem orientações nem investimentos evidentes, acaba por ficar ao critério de cada um como lidar com estas questões e, aí, corre-se o risco de, por desconhecimento – ou por displicência -, as pessoas não tomarem as medidas básicas de segurança, colocando todo o sistema em risco.
É por isto que, antes de responsabilizar, é importante começar pelas ações preventivas. Para isso, é imperativo que as empresas meçam os seus resultados de segurança atuais e promovam workshops e outras sessões de formação para transmitir conhecimento aos colaboradores acerca do que está a ser feito, de qual é o papel de cada um, de quais são os riscos, de quais são os potenciais impactos, etc. Depois das ações preventivas, os colaboradores podem e devem ainda ser informados acerca dos hábitos que têm de ser corrigidos – não faz sentido que se avance com ações punitivas antes desta chamada de atenção. Se tudo isto falhar, vem a responsabilização.
Uma vez que não existe enquadramento legal específico, a responsabilização só pode acontecer quando de facto são dadas instruções expressas no que concerne à segurança e se consiga provar que o colaborador ignorou estas instruções, seja com ou sem intenção de causar danos. Assim, é fundamental que a segurança digital passe a fazer parte dos manuais, códigos de conduta e outros documentos que regulem a relação entre empregador e colaborador, por forma a deixar evidentes as expectativas em relação ao tema.
Conforme se forem clarificando os papéis de cada elemento – e atendendo a que seja dada formação adequada e não exista dúvida de que há uma ação negligente –, podemos então vir a testemunhar uma maior responsabilização individual dos colaboradores pela segurança digital de uma empresa, o que, em última análise, pode mesmo culminar em despedimento por más práticas.
