A cibersegurança como garantia da continuidade de negócio

Por: Daniel Lara
Mestrando em Relações Internacionais – Especialização em Estudos de Segurança, da Paz e da Guerra

A percepção dos riscos inerentes aos diversos sectores de actividade económica é cada vez mais importante. A segurança deixou de ter três campos operacionais. Hoje, ela trata-se no espaço aéreo, marítimo, terrestre e cibernético.

O factor humano, a ausência de planeamento e gestão de crises, assim como a falta de meios adequados para a prevenção e combate a ameaças cibernéticas são alguns dos factores que podem levar uma organização a ver as suas actividades a serem interrompidas.

O que há de comum entre a continuidade de negócio e a cibersegurança? O que liga estas duas questões e como se deve encarar a gestão de crises como solução de problemas de segurança cibernética nas organizações?

Antes de mais, o que é a Cibersegurança?

A Cibersegurança é a arte de proteger redes, dispositivos e informação contra acesso não autorizado ou a quebra da garantia da confidencialidade, integridade e disponibilidade das informações (Cybersecurity&Infraestructure Security Agency, 2009).

Os sectores públicos e privados estão cada vez mais dependentes das tecnologias para desenvolverem as suas actividades.

Ainda que a galopante modernização traga consigo um enorme desenvolvimento, oportunidades e a possibilidade de alavancar os modelos de negócio através da inovação, também expõe as organizações e a economia a ameaças cada vez mais difusas.

Os governos não são as únicas vítimas de ciberataques, pelo contrário.

Desde o início dos anos noventa e da implosão do Pacto de Varsóvia que a informação económica se tornou uma das principais fontes de preocupação dos serviços secretos ocidentais (Pascal Boniface, 2002).

Se ao nível estatal as várias ameaças se tornaram uma grande preocupação ao nível da manutenção da ordem e da soberania, no setor privado a espionagem industrial constitui uma ameaça enormemente disruptiva devido à crescente importância que as empresas privadas têm para as economias nacionais.

Hoje, distinguir em que campo se situa a espionagem industrial é uma tarefa cada vez mais complexa devido à forte cooperação e interdependência económica entre Estados e empresas.

Neste sentido, fazendo uma ligação entre uma ameaça concreta e a cibersegurança poderemos constatar que a informação se tornou num factor intangível. E é precisamente a tecnologia que pode proteger as empresas e permitir a continuidade dos seus negócios.

De uma forma geral, os riscos seguem uma tendência de agravamento. Face a este cenário e tendo em conta que a segurança ainda é vista como um custo, em vez de um investimento, um dos principais riscos para quem pensa a estratégia de resiliência é exatamente o compromisso dos gestores de topo, meios e orçamento a serem aplicados na continuidade de negócio.

Paralelamente a uma realidade em que gestores e colaboradores ainda precisam de ver todo um trabalho de sensibilização ser desenvolvido por responsáveis de segurança, existem as empresas de menor dimensão. Estas empresas não estão capacitadas para combater as ameaças cibernéticas e, muitas, não traçam planos de segurança e gestão de crises.

Importa frisar que, para garantir a continuidade de qualquer negócio, é necessário conhecermos o ativo que estamos a proteger.

Desta forma, torna-se imperativo identificar os riscos inerentes à actividade da organização. Estimar e valorar os riscos, confrontando-os com referenciais previamente estabelecidos. Uma vez concluída a análise dos riscos, fazer uma avaliação dos mesmos. Se o risco for considerado aceitável, deve ser gerido.

Caso contrário, as medidas existentes devem ser melhoradas.

Estas medidas poderão ser implementadas definindo quatro pilares:

i) Prevenção

ii) Gestão de Riscos

iii) Resposta e Recuperação

iv) Comunicação

Tal como já referimos, a prevenção é crucial em qualquer sistema de segurança. É na fase da prevenção que se antevê cenários e que se ganha conhecimento sobre o que se passa dentro, e o que gravita à volta do ambiente das organizações.

No que toca ao ciberespaço este princípio mantém-se na íntegra. Falar de prevenção no ciberespaço remete-nos a falar de inteligência de ameaças cibernética, vulgo Cyber threat intelligence.

Esta deve ser vista em três patamares. O patamar estratégico, tático e operacional.

No patamar estratégico, conhecer o QUEM e o PORQUÊ. Ao nível tático, O QUÊ e ao nível operacional o COMO e ONDE.

A inteligência de ameaças cibernéticas envolve a recolha e análise de informações sobre ameaças que foram analisadas, interpretadas ou enriquecidas para fornecer o contexto necessário para os processos de tomada de decisão (National Institute of Standards and Technology).

Este tipo de solução tecnológica é uma questão cada vez mais preemente nos ambientes organizacionais. 

Assim, verificamos que os factores de insegurança e a continuidade do negócio têm muito em comum. 

Ao nível técnico poderemos vir a ter a percepção de transferência do risco para soluções, como a migração de dados e todo o tipo de informação para a cloud.

Ao nível da gestão de topo há a preparação, o comprometimento na gestão e a definição de objetivos comuns, assim como as medidas de mitigação de impacto nas infraestruturas das organizações.

Relativamente ao comprometimento dos gestores de topo, esta é a questão de um milhão de dólares.

As organizações africanas não estão a dar à cibersegurança a prioridade que merece e esta segurança inadequada está a afetar diretamente os negócios das empresas, bem como dos países. De acordo com a Techcabal, África perde 4 bilhões de dólares norte-americanos por ano, devido ao cibercrime. No entanto, o cibercrime prejudica as empresas para além das suas finanças, levando à perda de dados e roubo de propriedade intelectual. A ainda débil cibersegurança em África também significa que a região é alvo de cibercriminosos como o “ponto fraco” das redes de negócios globais. Em África, muitos países observaram um aumento nas ameaças digitais e atividades cibernéticas maliciosas (Shane McCarthy, 2022).

A perceção no tratamento de questões de gestão de crises e de ataques cibernéticos persiste em ser, por vezes, redutora, vista como um custo em vez de investimento. Comparando com problemas de segurança clássica, esta visão sobre investimento em cibersegurança vai persistindo. Entenda-se por clássica, a segurança nacional, do pessoal, física, entre outras.

A legislação e formação deve ser o ponto de partida.

A regulação que remeta para as questões disruptivas ligadas à cibersegurança devem ser absorvidas.

O factor humano 

O elemento humano na segurança cibernética é tanto sobre crimes deliberados como por erros despidos de intenção maliciosa, por parte de pessoas que são induzidas a aceder a conteúdo disruptivo através de engenharia social ou puro desconhecimento de procedimentos de segurança.

As mesmas pessoas deixarão de aplicar medidas básicas de segurança, tais como limitar acessos a bancos de dados em nuvem. Apesar de alguns progressos, as organizações africanas precisam de reforçar ainda mais a sua cibersegurança (World Economic Forum, 2022).

Outra forma de conseguir um maior comprometimento ao nível da gestão de topo é motivar a mesma a exercer uma gestão proativa no que diz respeito ao pelouro da segurança.

Não há segurança total, não há risco zero.

O princípio da prevenção de incidentes, da antecipação de cenários que tanto falamos em segurança não se altera no campo do ciberespaço.

Respondendo à pergunta inicial, a ligação entre a cibersegurança e a continuidade de negócio encontra-se no impacto. Se as ameaças cibernéticas são capazes de arruinar a reputação de uma organização, por um período indeterminado, criando um impacto representado por perda de capital, então aí iremos pensar em continuidade do negócio.

Verifica-se um impacto similar quando decorre um incêndio ou uma explosão. 

Hoje a mesma coisa sucede no ciberespaço. Mas as ameaças cibernéticas são silenciosas.

Contudo, o impacto e os danos são reais. 

É importante relembrar que nenhuma organização estará totalmente segura, por mais meios que sejam empregues. Portanto, o planeamento e medidas será sempre a melhor forma de mitigar os impactos.

*O artigo foi redigido mediante o antigo acordo ortográfico.