A urgência de implementar cinco medidas para uma transformação digital segura

Cibersegurança e cibersoberania são palavras de grande impacto estratégico nos tempos que vivemos. Crescem os ciberataques e os seus custos são incalculáveis. Hoje debatemo-nos com uma crise de saúde pública de extensão global e amanhã o mesmo pode acontecer com outros vírus informáticos. A cibersegurança é um indicador reputacional das organizações e dos estados e o seu valor nunca foi tão valorizado como hoje. Importa acautelar agora para não termos de remediar amanhã um problema com dimensões inimagináveis.

A Internet das Coisas (IoT) é a extensão da Internet a um nível subsequente, ou seja, aproximando o mundo digital do mundo físico das coisas e fazendo-os interagir. A Internet liga as pessoas através das máquinas; a IoT interliga informação gerada pelas pessoas com informação gerada pelas coisas. O processo de digitalização, tirando partido desta nova realidade de um mundo interligado, tem mudado de forma muito significativa as organizações e a tendência é que esta mudança se acentue ainda mais nos próximos anos.

No entanto, a transformação digital das instituições tem riscos que é importante conhecer e mitigar. Áreas como proteção de dados, privacidade e cibersegurança têm vindo a ganhar cada vez mais preponderância e o seu impacto, quer financeiro quer reputacional, nas instituições deve levar os conselhos de administração a adotar uma abordagem proativa para a mitigação destes riscos. O número e o impacto dos ciberataques crescem a cada ano e o custo é significativo.

Hoje os riscos associados ao digital são completamente diferentes dos que existiam há cinco ou 10 anos. As ameaças são cada vez mais latentes por natureza e, em muitos casos, ignoradas até que seja tarde demais. Existem capacidades técnicas disponíveis a baixo custo. Na internet podemos encontrar vários tutoriais que ensinam como explorar as vulnerabilidades existentes nos sistemas de informação que as instituições não têm o cuidado de corrigir atempadamente, permitindo que mesmo pessoas com baixa capacidade técnica possam causar problemas com elevado impacto.  Ou seja, em paralelo com a crescente digitalização dos ativos corporativos, houve uma digitalização correspondente do risco corporativo. Mesmo as ameaças que dependem de práticas básicas de cibersegurança, como o backup regular e atualizações de segurança atempadas, podem ter um elevado impacto.

Um exemplo conhecido com um impacto global foi o ciberataque do tipo ransomware que ficou conhecido como WannaCry. Este ciberataque cifrava os dados das máquinas que usavam um determinado sistema operativo, exigindo pagamentos de resgate em Bitcoin. O ataque começou a 12 de maio de 2017 e em 24 horas infetou mais de 230 mil computadores em mais de 150 países. O Serviço Nacional de Saúde (NHS) do Reino Unido, a Telefónica de Espanha, FedEx e Deutsche Bahn foram apenas algumas das empresas afetadas. No NHS o ataque teve como consequência o cancelamento de mais de 19 mil consultas, com um custo associado de 20 milhões de libras e 72 milhões na subsequente limpeza e atualização de seus sistemas de informação. O NHS foi criticado por usar sistemas desatualizados. Neste contexto é imperativo que os conselhos de administração assumam a responsabilidade de garantir que a organização identifique, quantifique e monitorize os riscos no ciberespaço, e simultaneamente se prepare para lidar com um ciberataque bem-sucedido. Só o facto de estar ligado à Internet representa um risco e não existem sistemas 100% seguros.

Esta nova realidade coloca uma pressão adicional sobre os administradores, a Associação Nacional de Diretores Corporativos (NACD) nos EUA descreveu cinco princípios fundamentais que os conselhos de administração devem considerar para a supervisão dos riscos inerentes ao digital:
1. Os conselhos executivos devem endereçar a cibersegurança como uma componente da gestão de risco da organização como um todo, mais do que um problema de TI.
2. Os conselhos executivos devem estar cientes das implicações legais e regulamentares dos riscos digitais, visto estarem relacionados com a atividade específica da organização.
3. Os conselhos de administração devem ter assessoria adequada em cibersegurança, e a discussão da gestão de riscos digitais deve figurar na agenda das reuniões.
4. Os conselhos executivos devem solicitar aos diretores que estabeleçam uma estrutura de gestão de riscos digitais para toda a organização, com pessoas e orçamento adequados.
5. As discussões da gestão de riscos digitais nos conselhos de administração devem endereçar os riscos a aceitar mitigar e quais os que devem ser transferidos através de seguros específicos, bem como planos específicos associados a cada abordagem.

Com a pandemia da COVID-19 muitas organizações tiveram de acelerar a componente do trabalho remoto do seu plano de transformação digital. As soluções de trabalho remoto existentes no mercado, com enfoque nos sistemas de comunicação voz e vídeo, podem representar um elevado risco para as organizações. Basta ver as notícias internacionais sobre as várias vulnerabilidades que foram reportadas nos últimos meses. Acresce que, muitas vezes, os grupos empresariais detentores destas soluções têm um modelo de negócio assente em propriedade intelectual e industrial, e outros intangíveis, que em ambiente de trabalho remoto são discutidos usando estas ferramentas.

Um estudo de 2011 mostrava que 80% do valor total da Fortune 500 consistia em propriedade intelectual e outros intangíveis. A maioria das organizações adotou soluções de terceiros, não auditadas nem escrutinadas pelo Gabinete Nacional de Segurança, pondo em risco assim toda a informação sensível da empresa. Ao adotar soluções não auditadas e de países terceiros, as organizações correm o risco de comprometer informação sensível, desde propriedade industrial e intelectual até processos de contratação internacional. Estes novos riscos podem afetar o posicionamento competitivo da organização, o preço das ações e o valor para o acionista.

Acresce, por fim, que este é um risco não só para as empresas, mas também para os órgãos de soberania do país, que na sua maioria estarão a usar estas ferramentas também. É, pois, altura de na definição das estratégias empresariais e na definição de políticas públicas ter em consideração os riscos de exposição no ciberespaço, e apostar em produtos e empresas nacionais que garantam a soberania das instituições no ciberespaço.

[O artigo foi publicado na última edição da Líder e pode ser lido na íntegra aqui]


Por Luís Filipe Coelho Antunes, diretor do Centro de Competências em Cibersegurança e Privacidade da Universidade do Porto

 

Artigos Relacionados: