Cibersegurança: os três novos desafios
A necessidade de cibersegurança não apareceu com a pandemia. Na realidade, é a transformação digital das empresas que impõe novas regras para garantir o funcionamento seguro das organizações. Aliás, é este movimento iniciado ontem para assegurar uma maior rapidez, colaboração e mobilidade que permite às empresas reagir hoje à crise.
A cibersegurança encontra-se, portanto, na linha da frente, pretendendo preservar o essencial numa altura em que o teletrabalho se está a tornar uma prática de massas e as organizações estão a mudar a sua cadeia de abastecimento num contexto de emergência. Contudo, a situação atual também exige uma reflexão sobre o futuro, tanto através da integração de novas práticas de gestão dos riscos como através da continuação da restruturação do sistema de informação.
A cibersegurança enfrenta, assim, três desafios:
- Preservar a capacidade de operar num contexto de elevada incerteza;
- Saber transformar a incerteza em gestão do risco através da revisão do plano de continuidade do negócio;
- Reduzir o ciber-risco atuando diretamente no sistema de informação.
1ºdesafio da cibersegurança: acompanhar as necessidades imediatas das empresas
Proteger os acessos remotos
A necessidade dos tempos em que vivemos levou a empresa a organizar-se de um dia para o outro para continuar a sua atividade. Praticado marginal e esporadicamente antes do confinamento, o teletrabalho tornou-se assim a norma para vários milhões de pessoas.
Esta generalização e massificação do teletrabalho impuseram três exigências aos departamentos de sistemas de informação:
- Tornar o teletrabalho possível para todos em termos de equipamento e de acesso;
- Permitir o funcionamento coletivo remoto em termos de gestão do fluxo de trabalho;
- Manter a cibersegurança do fluxo e dos dados armazenados neste contexto de operação remota.
O desafio para as equipas encarregadas da cibersegurança é ter em conta todas as interações:
- Acesso aos softwares e bases de dados;
- Trabalho colaborativo;
- Circuitos de validação e de tomada de decisão;
- Possibilidade de realizar reuniões à distância;
- Desafios do backup.
As boas práticas de TI em vigor na empresa aplicam-se naturalmente quando o trabalho é feito à distância:
- Vigilância no que se refere a e-mails suspeitos;
- Utilização de palavras-passe longas, complexas e diferentes em todos os equipamentos utilizados;
- Proteção do acesso e implementação de mecanismos de autenticação fortes;
- Backup de dados.
Porém, o teletrabalho confinado é uma forma específica de trabalho em mobilidade. A cibersegurança deve antecipar possíveis usos indevidos ligados à localização doméstica e à proximidade familiar:
- Obrigação de utilizar os recursos informáticos disponibilizados pela empresa quando estes existem, hardware e ligação VPN;
- Restrição da utilização destes meios ao uso profissional;
- Sensibilização dos familiares para o risco em caso de violação desta regra;
- Atualizações imediatas de segurança do equipamento utilizado, no caso de este ser equipamento pessoal.
Por último, as equipas responsáveis pela cibersegurança têm de incluir outros públicos na sua abordagem de alerta, públicos esses também em teletrabalho e que interagem com determinados dados da empresa, a saber:
- Fornecedores;
- Parceiros e prestadores de serviços: banca, seguros, manutenção;
- Clientes.
Proteção contra novos riscos
Claramente, a prioridade dada à capacidade de resposta e continuidade em termos de funcionamento da organização pode criar novas lacunas.
A cibersegurança deve desenvolver uma vigilância acrescida para proteger os dados da empresa:
- Impedir as tentativas de fraude;
- Criar uma barreira para os vírus que possam aceder ao sistema de informação da empresa através da rede privada dos teletrabalhadores;
- Segurança física das instalações desertas para evitar intrusões nos sistemas e servidores.
A cibersegurança deve também adaptar as suas práticas a um contexto empresarial renovado e por vezes totalmente transformado:
- Restruturação das equipas, novos interlocutores obrigados a descobrir à pressa os protocolos de validação e controlo;
- Dispersão das equipas, com algumas que permanecem no posto e outras em teletrabalho;
- Novas colaborações com fornecedores, clientes, parceiros, especialistas em logística;
- Novos modelos de negócio: drive, vendas online, click and collect;
- Novos tipos de fabrico, referenciação, logística, partilha de valor, etc.;
- Extensão do sistema de informação aos stocks remotos.
2ºdesafio da cibersegurança: melhorar o plano de continuidade do negócio
Os meios de cibersegurança focam-se prioritariamente na situação atual. Com efeito, o confinamento só começou há algumas semanas e o regresso à normalidade continua a ser uma perspetiva distante, acompanhada de novas incertezas.
No entanto, este enfoque no desafio de responder às necessidades imediatas não impede o registo das lições aprendidas à medida que estas vão surgindo.
Nesta fase de reflexão, quatro áreas de trabalho merecem certamente ser incluídas no quadro de referência do plano de continuidade do negócio. O capítulo sobre a ciber-resiliência da empresa deve, por conseguinte, dar mais espaço aos seguintes imperativos:
- Permitir a 100% dos colaboradores o acesso remoto aos servidores da empresa através de uma rede virtual segura (VPN), com dupla autenticação no momento da ligação à rede;
- Fornecer um kit completo aos colaboradores que provavelmente irão trabalhar em casa: computador portátil, ecrã externo, telemóvel, de modo a possibilitar a separação total entre vida pessoal e profissional;
- Disponibilizar uma unidade de apoio capaz de lidar com problemas e incidentes encontrados pelos colaboradores em teletrabalho;
- De qualquer maneira, manter um acesso seguro aos dados vitais da empresa ao alcance de um número limitado de pessoas identificadas; em especial, manter o controlo sobre a gestão dos movimentos financeiros.
3ºdesafio da cibersegurança: reforçar a arquitetura do sistema de informação
A inovação digital traz obviamente novas respostas em termos de cibersegurança. O nosso objetivo aqui é apresentar duas formas de garantir a segurança do sistema de informação a montante.
A cloud
O sistema de cloud é concebido logo à partida para que todos possam aceder aos dados e ferramentas a partir de qualquer lugar com total segurança, graças, nomeadamente, à partilha do custo das medidas de proteção entre todos os clientes.
É por isso que a cibersegurança é nativamente reforçada pela cloud num contexto de emergência como aquele em que estamos a viver. Mas essa não é a única razão:
- A cloud é uma alavanca para a agilidade porque oferece à organização a flexibilidade necessária em termos de largura de banda e número de utilizadores;
- As soluções SaaS proporcionam uma experiência intuitiva ao utilizador; a restruturação urgente das equipas é menos problemática do ponto de vista da continuidade do negócio;
- As soluções SaaS são standard e estão implementadas em todos os continentes;
- A cloud está a tornar-se cada vez mais acessível.
Para reforçar ainda mais a cibersegurança da cloud, existem quadros de controlo extremamente rigorosos que permitem uma avaliação independente dos intervenientes. A norma internacional ISAE 3402 garante às empresas o mais alto nível de segurança para o outsourcing das suas operações na cloud.
As soluções de última geração acrescentam características únicas à flexibilidade e segurança nativas da cloud, numa lógica de plataforma colaborativa e aberta.
Em termos simples, uma plataforma de última geração coloca os dados e recursos da empresa fora do alcance dos ataques. Operando na cloud, esta solução centraliza, organiza e distribui os dados de forma hermética dentro do perímetro pretendido.
Uma plataforma de última geração representa quatro certezas em termos de cibersegurança:
- Capacidade de operar com pouco pessoal, graças ao seu elevado nível de automatização dos processos;
- Capacidade de partilhar informações e tomar decisões com base em indicadores altamente visuais, eliminando qualquer ambiguidade de interpretação;
- Capacidade de absorver alterações nas operações da cadeia de abastecimento com grande reatividade, através da rápida adição de novas funcionalidades, da restruturação de processos ou da abertura “plug and play” a outras aplicações;
- Obtenção da colaboração dos utilizadores através da ferramenta.
Por fim, a cibersegurança transforma-se em segurança pura e simples num contexto de transformação digital e de virtualização das operações.
A cibersegurança atua a dois níveis:
- Proteção dos dados e dos ativos da empresa em geral;
- Manutenção, mesmo em contextos operacionais profundamente invulgares, dos canais de comunicação e da capacidade de agir e decidir.
O profissionalismo das equipas responsáveis pela cibersegurança, tanto na antecipação possível como na reação perante o inédito, merece ser elogiado.
No futuro, este profissionalismo, enriquecido com as lições da cibersegurança de emergência, será utilmente investido em duas áreas:
- Revisão do plano de continuidade do negócio;
- Redução dos riscos graças à continuação da transformação digital.
Nesta perspetiva, a cibersegurança deve ser vista como aquilo que é ou seja, não como um constrangimento, mas como uma ajuda para assegurar a transformação bem-sucedida das organizações.