4 minute read
O menos mal-acompanhados que for possível - Bruno Horta Soares
from Edição 135
by Apat
O menos mal-acompanhados que for possível
Nos últimos tempos tenho evitado a todo o custo utilizar a expressão “Eu avisei!” no contexto da segurança digital, pelo que tenho recorrido a uma referência mais erudita do romance “O Sol também se levanta”, de Ernest Hemingway, quando a personagem Mike responde à pergunta sobre como tinha ido à falência dizendo: “Gradualmente, depois subitamente”.
Advertisement
Este é também o resumo da evolução das ameaças digitais nos últimos anos e a reação que profissionais e organizações, públicas ou privadas, começam a ter ao verem cada vez mais notícias de disrupções causadas por incidentes digitais.
De um momento para o outro a sensação de que “só acontece aos outros” passou a “quando será a minha vez” e só por isso podemos estar no momento certo para reconhecer que é importante aprender com os erros, de preferência dos outros.
As Cadeias de Abastecimento globais estão na base do desenvolvimento da economia digital e também aqui assistimos nos últimos anos a uma crescente sensação de que bastava clicar num botão para a magia acontecer e qualquer matéria-prima ou produto dar a volta ao mundo e chegar à nossa porta com uma rapidez cada vez maior.
Os últimos tempos têm-se revelado bastante desafiantes, com as disrupções a serem cada vez mais frequentes e com maior impacto, colocando a visibilidade e agilidade das Cadeias de Abastecimento no topo das agendas dos decisores.
Quando combinados os temas da Segurança Digital e da disrupção das Cadeias de Abastecimento, podemos achar que temos uma “tempestade perfeita”, mas o facto de as circunstâncias envolvidas não só não serem raras como a sua combinação ser cada vez mais frequente, leva-nos a entender que este não é apenas um momento de azar, talvez seja o tal “novo normal”.
Mas se as ameaças de disrupção das Cadeias de Abastecimento físicas são cada vez maiores, também os riscos de disrupção das Cadeias de Abastecimento digitais têm aumentado significativamente nos últimos anos.
O ciberataque Not-Petya, que afetou em 2017 organizações de todo o mundo, foi um dos primeiros ataques que tiveram origem numa atualização comprometida de um pacote de software de contabilidade ucraniano.
Desde então, outros pacotes de software foram comprometidos, incluindo ataques como SolarWinds, Microsoft Exchange, Kaseya e, mais recentemente, a vulnerabilidade Log4J 2.
Este contexto contribuiu para uma cada vez maior atenção das organizações para o tema dos riscos de terceiros, com um crescimento ainda mais significativo desde o início do conflito na Ucrânia.
Estudos recentes da IDC a CISOs europeus revelaram que, quando questionados se o conflito exigia avaliações de risco mais rigorosas e reforço das auditorias de segurança de terceiros, incluindo parceiros dentro de seus ecossistemas de fornecedores, 42% dos entrevistados indicaram que estavam a rever as suas práticas de avaliação e riscos de terceiros, enquanto 31% disseram que estavam a acelerar a sua implementação ou a planear fazê-lo no próximo ano.
Apesar da proximidade geográfica do conflito influenciar o nível de alerta, é inquestionável que a hiper conectividade que caracteriza a nossa economia e sociedade funciona cada vez mais como um multiplicador de tensões globais que se podem manifestar de diferentes formas.
Nos últimos tempos, organizações de todo o mundo têm vindo a reforçar as suas avaliações de risco digital relacionadas com as decisões táticas e estratégicas dos seus negócios.
Entre as principais áreas destacam-se preocupações com boas práticas de backup e recuperação, continuidade de negócio, recuperação de desastre, localização física ou realocação de ativos e localização onde os dados são armazenados ou processados.
Como forma de responder a estes desafios tem-se verificado uma “debandada geral” para a nuvem, já que muitas organizações finalmente compreenderam que sozinhas não têm recursos suficientes para se preparar, proteger, detetar, responder ou recuperar das ameaças digitais (vejam-se os exemplos da Estónia ou do Banco Nacional da Ucrânia que viram na sua transformação digital uma das principais formas de mitigarem os riscos da vizinhança).
Perante este contexto é evidente que as organizações não podem estar sós e, por isso, terão de minimizar o risco de estarem mal-acompanhadas.
O tema da Confiança Digital ganhará cada vez maior relevância nos próximos tempos e talvez até mais do que a simples partilha de riscos e de responsabilidades, talvez venha a ser a partilha de objetivos que venha a influenciar o sucesso das organizações no futuro.
Bruno Horta Soares Assessor, Consultor e Auditor em Governance, Estratégia, Transformação Digital e Cibersegurança
