Massachusetts Institute of Technology: O manual de resiliência cibernética do CEO
A 7 de Maio de 2021, os executivos da Colonial Pipeline descobriram que os cibercriminosos lançaram um ataque de ransomware aos seus sistemas informáticos. Para evitar que o malware se espalhasse ainda mais, a empresa desligou os seus sistemas informáticos, desactivando 8800 quilómetros de oleodutos que forneciam 45% do combustível consumido na Costa Leste dos EUA. A interrupção durou quase uma semana, criando pânico nas compras e escassez de combustível. Numa decisão polémica, a Colonial Pipeline pagou um resgate de quase quatro milhões de euros em troca das chaves de desencriptação para colocar os seus sistemas novamente online. Um mês depois, com a recuperação e as investigações em curso, o CEO da Colonial Pipeline, Joseph Blount, defendeu esta decisão perante o Senado dos EUA, testemunhando: «Estávamos numa situação angustiante e tivemos de fazer escolhas difíceis que nenhuma empresa deseja enfrentar.»
O testemunho de Joseph Blount reflecte as experiências de muitos dos CEO que entrevistámos no âmbito da nossa investigação relativamente à maneira como os líderes gerem os riscos e os ataques à cibersegurança. Estes CEO partilharam connosco relatos igualmente dolorosos de terem de tomar decisões existenciais com base em informações imperfeitas, sob enorme pressão. Graves ataques cibernéticos colocaram os CEO na ribalta, escrutinados pelos media, accionistas, reguladores e outros stakeholders.
Realizámos 37 entrevistas aprofundadas com os principais executivos de grandes empresas (com receitas médias de 11 mil milhões de euros) nos EUA, Europa e Ásia. Nove deles lideraram a sua empresa durante um grave ataque cibernético, o que nos permitiu comparar as suas opiniões testadas no terreno com as dos CEO que ainda não sofreram ataques desses. Este artigo descreve estratégias, com base nas suas lições, para ajudar a sua organização a deixar de depender excessivamente da cibersegurança e a começar a desenvolver a resiliência cibernética como uma oportunidade estratégica.
DE QUE SE ARREPENDEM OS CEO APÓS UM CIBERATAQUE GRAVE
Os CEO que viveram ataques cibernéticos às suas organizações falaram abertamente (e anonimamente) sobre as suas experiências, avaliando as suas estratégias de preparação e as acções que tomaram. Partilharam também os seus arrependimentos com base nas lições aprendidas com as suas experiências.
Concentraram-se muito estritamente na prevenção. Será difícil encontrar uma empresa que actualmente não coloque o risco cibernético no topo da lista de riscos empresariais. A cibersegurança tornou-se uma prioridade inevitável para os CEO. Mas, muitas vezes, os líderes acreditam ser possível proteger a confidencialidade, a integridade e a disponibilidade dos sistemas e dados de informação através da prevenção de ataques. Isto provavelmente nunca foi verdade – e certamente não é hoje. À medida que o cibercrime ganha sofisticação e é cada vez mais utilizado como arma por Estados-nação, mesmo as organizações tecnologicamente mais avançadas serão violadas – e precisam de planear essa inevitabilidade.
De longe, o arrependimento mais comum que ouvimos dos CEO foi que enfatizaram excessivamente a cibersegurança, negligenciando a resiliência cibernética. Só depois do ataque é que compreenderam que tentar prevenir os ciberataques é escusado. Estes executivos concentraram-se em saber “se” seriam atacados, em vez de “quando” seriam atacados e como reagiriam quando isso acontecesse. Embora os CEO tenham investido recursos significativos em defesas tecnológicas, as suas empresas careciam frequentemente de práticas organizacionais básicas de resiliência cibernética.
A resiliência cibernética descreve a capacidade de uma organização antecipar, resistir, responder e adaptar-se a ataques cibernéticos. O objectivo não é simplesmente evitar um ataque, mas sim minimizar o seu impacto, recuperar rapidamente e emergir mais forte. Ao desviarem o foco de uma organização da prevenção para a preparação, os líderes dão prioridade ao desenvolvimento de capacidades adaptativas, o que deve acontecer em todos os departamentos.
Sentiam-se meramente responsabilizáveis pela cibersegurança. Todos os CEO que entrevistámos insistiram serem responsabilizáveis por tudo no seu negócio, incluindo a cibersegurança – e ainda assim 72% declararam que não se sentiam confortáveis em tomar decisões nesta área. Notavelmente, os CEO que passaram por um ataque lamentaram sentir-se meramente responsabilizáveis – o que significa assumir a responsabilidade após algo de mau ter acontecido. Ser responsável, por outro lado, envolve um envolvimento contínuo e proactivo antes que as coisas corram mal.
Como disse um CEO, precisavam de ser “co-responsáveis” pela resiliência cibernética juntamente com o seu chief information security officer (CISO). É um desenvolvimento que muitos dos 40 CISO com quem também falámos no âmbito da nossa investigação acolheriam com agrado, uma vez que consideravam os seus CEO insuficientemente responsabilizáveis, e muito menos responsáveis, pelo risco cibernético. Um CEO no nosso estudo relatou um compromisso tangível com esta co-responsabilidade: passou 10 dias inteiros com a sua equipa de cibersegurança após a empresa ter recuperado de um ataque devastador, para mostrar que seria responsável em conjunto com eles no futuro.
Confiaram cegamente nas equipas de cibersegurança e tecnologia. Os CEO confiam nas suas equipas o tempo todo. As equipas de cibersegurança e de tecnologia não deveriam ser diferentes – mas são. A maioria dos CEO tem algum grau de especialização em funções como marketing ou finanças que os ajuda a avaliar e desafiar os conselhos de outras pessoas. Em contraste, muito poucos CEO têm experiência em TI, muito menos em cibersegurança. Após um ciberataque, muitos dos CEO deixaram o destino da empresa nas mãos de especialistas cujos conselhos não conseguiam compreender totalmente.
Como resultado, os CEO que passaram por um ataque procuraram desenvolver uma confiança mais informada nas suas equipas de cibersegurança. Os executivos devem compreender o suficiente para conseguirem fazer as perguntas certas, desafiar os conselhos e tomar decisões. Isto exige curiosidade e humildade para aprender continuamente à medida que a cibersegurança e o cenário de ameaças evoluem constantemente. Quanto mais os CEO compreendem sobre a resiliência cibernética, mais se preocupam; quanto mais preocupados estão, mais se envolvem.
Sentiam-se bem preparados para um ataque cibernético. Com a notável excepção daqueles que sofreram um ciberataque, a maioria dos CEO do nosso estudo considerou que as suas organizações estavam bem preparadas para tal evento. Esta mentalidade pode gerar uma complacência que prejudica os esforços para reforçar continuamente as defesas e o planeamento da resiliência. Os CEO com experiência em ciberataques admitiram que só quando os piratas informáticos atacaram é que se aperceberam do quão mal preparados estavam e que a situação era muito mais terrível do que imaginaram.
Os planos e manuais de crise podem alimentar a ilusão de preparação. Embora sejam necessários, não são preparação suficiente para uma ameaça que provavelmente se desenvolverá de forma imprevisível. Como os atacantes se adaptam e desenvolvem continuamente novas tácticas, as organizações provavelmente enfrentarão ameaças até então desconhecidas: é improvável que o ciberataque de amanhã se assemelhe ao de ontem. E embora os manuais estabeleçam procedimentos para gerir a crise, um ataque pode comprometer a própria infra-estrutura necessária para o fazer, como, por exemplo, os principais canais de comunicação.
Os CEO que passaram por um ataque não acreditam que as organizações possam estar verdadeiramente preparadas. Adoptam uma mentalidade de constante impreparação para incentivarem as suas equipas a testarem e desenvolverem continuamente a capacidade da organização para responder a um ataque. Por outras palavras, nunca se sentem preparados, mas estão sempre prontos para um ciberataque.
Reagiram em vez de tranquilizarem os stakeholders. Durante um ciberataque, os CEO enfrentam uma enorme pressão de todos os lados. Os accionistas preocupam-se com o impacto financeiro, o conselho de administração quer provas da recuperação dos negócios, os reguladores querem respostas, os clientes preocupam-se com os seus dados e os parceiros de negócios querem saber se os seus sistemas estão em risco de contágio. Confrontados com este dilúvio de exigências concorrentes por respostas rápidas, os CEO podem optar por um modo reactivo, no qual transmitem, em grande parte, informações sem primeiro avaliá-las cuidadosamente, como comunicar um calendário de recuperação irrealista da equipa de TI a stakeholders externos. Em retrospectiva, muitos CEO lamentaram não ter envolvido vários stakeholders de forma mais proactiva – tranquilizando-as em vez de simplesmente reagirem.
Os CEO podem expressar tranquilização de três formas principais. Como “amplificador”, o CEO reforça as pressões externas para criar um sentido de urgência. Isto é particularmente útil para tranquilizar os stakeholders externos de que a organização não sucumbiu à complacência durante as operações diárias e quando surgem novos riscos. Como “filtro”, o CEO julga que tipos de pressões absorver ou transmitir. Isto é muito benéfico durante e após um ciberataque, quando as pressões externas para a responsabilização, e até mesmo a culpa, podem desviar a atenção das pessoas que estão no centro da resposta à crise dos esforços de recuperação. Por fim, como “absorvente”, o CEO não transmite nenhuma pressão, mas absorve-a e concentra- se em tranquilizar todos os stakeholders sobre a resiliência da empresa.
COMO PODEM OS CEO DESENVOLVER RESILIÊNCIA CIBERNÉTICA
Com base na nossa investigação, desenvolvemos um manual de melhores práticas para os CEO, de modo a ajudar as suas organizações a desenvolverem uma maior resiliência cibernética e a ganharem confiança na sua própria capacidade de gerir todos os stakeholders quando ocorrem inevitavelmente ataques cibernéticos.
Convide um CEO externo com experiência em ciberataques para falar com o CEO, a equipa de liderança e o conselho de administração. Ouvir relatos em primeira mão sobre ataques pode servir como um importante alerta para os mais complacentes. Os executivos que geriram um ataque sério podem partilhar histórias pessoais poderosas e experiências valiosas relevantes para qualquer empresa. Isto aumenta a pressão externa para uma maior resiliência cibernética e tranquiliza os stakeholders de que a questão está a ser levada a sério. Ouvir os executivos, e não os especialistas em tecnologia, proporciona uma perspectiva mais compreensível para os executivos anteciparem os ciberataques e prepararem- se para os enfrentar. E, claro, os próprios CEO podem obter uma visão directa relativamente à forma como os seus pares contribuíram para limitar os danos e desenvolveram uma perspectiva mais informada.
Crie um fórum de aprendizagem sobre resiliência cibernética. Alguns CEO do nosso estudo reúnem regularmente o conselho de administração, a equipa de gestão, os líderes das unidades de negócio e as equipas de segurança e TI para um intercâmbio aberto sobre os desafios mais prementes da cibersegurança e as prioridades empresariais actuais. O objectivo destas sessões é criar um entendimento partilhado – uma perspectiva mais integrada e completa sobre a resiliência empresarial que líderes empresariais e especialistas cibernéticos possam utilizar tanto para o planeamento cibernético como para a resposta a ataques. O CEO deve presidir ao fórum e estabelecer a norma de que as perguntas mais ingénuas são bem-vindas: ajudam a levar os indivíduos a uma confiança mais informada. Considere a possibilidade de realizar um fórum pelo menos anualmente, embora trimestralmente possa ser mais apropriado para este tema em rápida evolução. O fórum situa-se fora dos processos formais de governação do risco e dá ênfase à aprendizagem. Não substitui os processos e comités de gestão do risco cibernético.
Peça uma auditoria cibernética independente. Considere o valor obtido com as auditorias financeiras. Da mesma forma, os CEO devem encomendar auditorias independentes de resiliência cibernética uma vez por ano. Estes especialistas reportarão quaisquer conclusões directamente ao CEO e oferecerão conselhos para resolver quaisquer problemas que descubram. O objectivo não é obter a certificação de acordo com algum padrão do sector, mas sim que o CEO obtenha uma melhor compreensão do status quo, construa uma confiança mais informada com a equipa de tecnologia e descubra pontos cegos na organização. Para conseguir tudo isto, os CEO devem trabalhar em estreita colaboração com o seu líder de cibersegurança para analisarem os resultados, que podem variar de técnicos a organizacionais e estratégicos, dependendo do foco da auditoria. Infelizmente, verificamos frequentemente que os CISO hesitam em encorajar o CEO a encomendar auditorias cibernéticas porque o CISO teme ser questionado sobre as conclusões. Mas, na realidade, uma auditoria cria frequentemente confiança entre o CEO e a equipa de cibersegurança e cria co-responsabilidade pelos esforços de resiliência cibernética.
Identifique processos críticos e prioridades em caso de ataque. Na ausência de um plano de resposta abrangente, quando todos os sistemas estiverem desactivados, cada departamento insistirá que os seus processos de negócio são essenciais e devem ser restaurados primeiro. Para evitarem conflitos e lutas internas – e montarem uma resposta coordenada e rápida –, os CEO devem reunir-se com o seu conselho e equipa de gestão e identificar os dois a cinco processos de negócio que são mais críticos para manter a organização em funcionamento. Os componentes de cada processo devem ser mapeados para as aplicações e servidores que os suportam, para que as equipas não só compreendam as prioridades de acção, mas também possam tornar cada processo crítico mais resiliente. Os processos fundamentais de uma empresa de produção podem ser receber encomendas de clientes e manter determinadas linhas de produção em funcionamento; para um escritório de advogados, podem ser o e-mail e o controlo de tempo.
Concordar com estas prioridades alinha a organização e informa a tomada descentralizada de decisões quando os sistemas estão inactivos. No entanto, mesmo quando as organizações elaboraram planos cuidadosamente e acordaram prioridades empresariais, o truísmo de que “nenhum plano sobrevive ao contacto com o inimigo” ainda se aplica. Os líderes devem estar prontos para tomar decisões ousadas sobre as prioridades no momento. Mas os CEO não devem tornar-se o único ponto de tomada de decisão. Os CEO que entrevistámos enfatizaram a importância de um conjunto partilhado de princípios orientadores para a organização. Isto pode ser tão simples como comunicar que a segurança dos colaboradores está em primeiro lugar, os clientes em segundo e os accionistas em terceiro.
Procure assistência especializada antes de uma crise. Apesar dos planos bem elaborados, as organizações raramente têm todas as capacidades actualizadas necessárias para lidarem sozinhas com um ciberataque grave. Os líderes devem manter um painel de conselheiros de confiança a quem recorrer em caso de ataque. Estes podem incluir escritórios de advogados para cumprir os regulamentos e interagir com agências governamentais, especialistas em comunicação para proteger a reputação da empresa, investigadores forenses para descobrir como o ataque aconteceu, e até mesmo negociadores de resgate para ganhar tempo ou, na pior das hipóteses, reduzir um pedido de resgate.
Prepare-se para comunicar proactivamente. Uma das decisões iniciais mais importantes que os CEO enfrentam durante um ciberataque é o que e como comunicar com os colaboradores, os stakeholders e o mercado. Manter tudo em segredo não é uma opção: é quase impossível controlar a narrativa sem uma estratégia mediática aberta e transparente. Os mercados e os reguladores são muito menos indulgentes com os ataques cibernéticos se parece que a empresa foi apanhada de surpresa ou, pior, se parece que esconde alguma coisa. Os CEO devem ter um plano de comunicação de crise em vigor para estarem prontos para tranquilizar proactivamente os stakeholders sobre a maneira como a empresa irá minimizar o impacto e a disrupção.
Faça uma autópsia se o pior acontecer. Quando uma organização acaba de sobreviver a um ciberataque, os seus líderes devem obter perspectivas rapidamente. Embora muitos na organização estejam provavelmente exaustos, os CEO devem iniciar uma revisão do incidente com stakeholders de diversas unidades de negócio. Esta discussão deve centrar-se mais do que apenas nos aspectos técnicos do ataque e no que pode ser feito para evitar ataques semelhantes no futuro. Os participantes devem também considerar elementos de resiliência organizacional que podem ser melhorados, como a comunicação, as capacidades de gestão de crises e os processos de continuidade de negócio. Além disso, os workshops post-mortem podem expor processos empresariais desactualizados e ineficiências anteriormente despercebidas que impediram a resiliência durante o ciberataque.
Esteja atento às oportunidades. A resiliência cibernética não consiste apenas em evitar perdas – pode também levar à criação de valor. Um CEO com quem falámos disse-nos que o ataque expôs ineficiências significativas na configuração tecnológica da organização. Os esforços para reforçar a resiliência cibernética através da consolidação de sistemas produziram ganhos de eficiência. O CEO alocou as poupanças resultantes no desenvolvimento de resiliência cibernética – uma situação vantajosa para todos.
Mas também existem oportunidades em estruturas organizacionais mais amplas, para além da optimização dos conjuntos de tecnologias. Um ciberataque pode criar uma nova apreciação da criticidade dos processos empresariais que, de outra forma, estariam escondidos, uma maior consciência das dependências mútuas e um maior reconhecimento dos líderes que intervieram em tempos de crise. Este é o momento de unir mais toda a organização, reformular as estruturas organizacionais e reorganizar as equipas de liderança para aumentar a resiliência.
Estas considerações não devem ficar nos limites organizacionais. Um grande ataque cibernético espalha-se frequentemente pelos sectores e reúne rivais que, de outra forma, seriam competitivos. Capte oportunidades para adoptar uma abordagem mais ecossistémica que desenvolva a resiliência cibernética em conjunto com concorrentes, fornecedores e outros stakeholders.
Mas o mais importante é saber que estas oportunidades não vão acontecer por si só. Os CEO devem procurá-las, tratando o período pós-ataque como uma oportunidade para fortalecer os próprios alicerces da sua empresa para a era digital.
A experiência de um ciberataque grave é algo que muitos CEO gostariam de esquecer. Embora normalmente a considerem difícil pessoalmente, observam que, em termos organizacionais, as memórias tendem a desaparecer quando a normalidade regressa. Por isso, embora seja um trauma doloroso de revisitar, é importante manterem a memória viva.
Para desenvolverem resiliência cibernética para além dos limites das suas organizações, os CEO devem também partilhar a sua experiência com outros líderes. Embora os principais executivos mantenham naturalmente as suas informações secretas enquanto procuram superar a concorrência e ser mais espertos que os seus rivais, a resiliência cibernética prospera com o apoio mútuo e a partilha de informações. O ciberespaço deve ser visto como um domínio não competitivo onde as empresas – até as do mesmo sector – trabalham em conjunto para alcançarem maiores níveis de resiliência. Ao partilharem as suas histórias e o que aprenderam com outros pares da indústria, os executivos contribuem para a resiliência de todo o ecossistema.
Artigo publicado na Revista Executive Digest n.º 222 de Setembro de 2024