Cibersegurança simples mas não simplista

Por Rui Shantilal, managing partner da Devoteam Cyber Trust 

Num ano em que os impactos dos incidentes de cibersegurança voltaram a bater recordes, são necessárias novas “armas” para combater problemas “remodelados”.

Embora os números possam variar ligeiramente, os relatórios afirmam na sua maioria que pelo menos 80% dos atuais incidentes de cibersegurança foram facilitados de alguma forma por uma componente de intervenção humana – surpreendido?

A Cibersegurança é uma prática que essencialmente atua sobre as componentes tecnológicas, processuais e nas pessoas e é sabido que a componente humana é aquela que é mais suscetível a vulnerabilidades. As razões são também conhecidas, por um lado o comportamento humano é dinâmico e imprevisível, ao contrário de uma rotina informática, mas a maior razão prende-se com o facto dos utilizadores comuns não serem “encartados” em Cibersegurança, ou seja, não estarem efetivamente treinados e continuamente preparados para fazerem face às cada vez mais criativas iniciativas dos atacantes.

Na última década muito se tem tentado fazer em prol do tema da consciencialização da Cibersegurança, existem iniciativas internacionais (caso da ENISA) ou locais (CNCS) onde o objetivo é implementar a prática que cada utilizador e cidadão tem o seu papel na cibersegurança mas o facto é que estas abordagens muito válidas, não estão a ser suficientes conforme os números dos incidentes e seus impactos nos mostram.

Estaremos a combater “problemas remodelados” com “armas” que já não são suficientemente eficientes? Consciencializar é vital mas é preciso mais do que isso. É preciso consciencializar e praticar sempre..

Uma estratégia que entendo ser adequada passa por tirar partido do conhecimento geral e de mecanismos mentais que as pessoas já possam ter, para acelerar a adoção dos seus comportamentos!

Exemplo disso é a mais recente inovação da Devoteam Cyber Trust da qual fui catalista – Alert Readiness Framework (ARF).

É de conhecimento geral, e usado amplamente em contexto militar, o sistema de níveis de alerta. Uma organização, com base em indicadores específicos determina qual é o seu nível de alerta atual e aliado a cada um desses níveis estão pré-determinadas ações que todos os intervenientes devem praticar. A ideia da framework ARF, é efetivamente transportar essa prática para as organizações mas no contexto da cibersegurança.

As organizações que adotarem este sistema de gestão de cibersegurança, podem assim beneficiar de, a todo o momento, terem os seus utilizadores a “bordo”, conhecendo o estado atual de alerta da organização e estando conscientes das suas responsabilidades no que diz respeito ao comportamento e ações face ao nível de alerta em questão.

A framework, que se encontra disponível para download gratuito, providencia um extensivo guia passo-a-passo para que as organizações possam de uma forma estruturada efetuar a implementação deste sistema nas suas organizações, e que passa por determinar quais os fatores que podem influenciar o seu nível de alerta, estabelecer um processo de cálculo, determinar quais as ações de redução da probabilidade de ocorrência e de impacto nas dimensões do comportamento humano, mas também nas dimensões de negócio, tecnologia e processos e por fim comunicar e gerir a dinâmica do sistema de gestão.

Com esta abordagem inovadora da ARF, as organizações têm a oportunidade de alinhar os controlos de cibersegurança e a consciencialização humana com o nível de risco dinâmico da organização. Em vez de depender apenas de ações pontuais de consciencialização ou reações a crises, a ARF permite uma gestão proativa, dinâmica e contínua do risco, mantendo as pessoas e os processos em sintonia com as ameaças cibernéticas em evolução. Assim, cada organização pode estar sempre um passo à frente, adaptando-se proativamente ao panorama de segurança em constante mudança em prol de uma maior resiliência cibernética.

Albert Einstein uma vez disse: ‘Não podemos resolver problemas usando o mesmo tipo de pensamento que usamos quando os criamos.’ Esta reflexão ecoa na cibersegurança, onde a inovação, dinamismo e investimento são essenciais. À medida que a tecnologia avança, ela traz benefícios, mas também riscos que devem ser geridos com soluções tão sofisticadas e inteligentes quanto os métodos dos atacantes. A ARF representa essa nova onda de pensamento – um passo audaz em direção a uma cibersegurança mais eficaz e adaptável, essencial no mundo digital em constante evolução.