Cibersegurança, pilar do negócio: investimento, confiança e controlo no centro da estratégia
Num ambiente cada vez mais instável, onde a inteligência artificial avança ao mesmo ritmo que as ameaças digitais, a cibersegurança enfrenta um desafio fundamental: não basta fazê-lo bem, é preciso nunca falhar. As regras mudam, os intervenientes tornam-se mais sofisticados e o jogo continua a ser profundamente desigual.
Durante a sua participação no fórum empresarial Wake Up Spain! organizado pelo El Español, Invertia e Disruptores, Juan Luis García Rambla, Lead for Business Development in Cybersecurity & Defense da Izertis, analisou o confronto entre atacantes e defensores, questionou o peso real do fator humano e apontou novos riscos, desde a cadeia de abastecimento até à utilização não regulamentada da IA, posicionando a cibersegurança como um ativo crítico para a continuidade e a confiança do negócio.
Em plena expansão da IA, como descreveria o equilíbrio atual entre a capacidade ofensiva dos ciberataques e os sistemas de defesa das empresas? Existe realmente uma vantagem a favor dos atacantes?
Na Izertis, consideramos que não se trata tanto de estarmos em desvantagem, mas sim da existência de uma luta assimétrica. Não podemos perder nem uma batalha e aos nossos adversários basta ganhar uma, é isso que causa a inquietação.
A IA é um novo elemento no terreno. É um novo ativo a incorporar nos nossos domínios, onde é preciso saber o que estamos a jogar e onde as regras não estão totalmente definidas. Utilizamo-la, mas por vezes sem a consciência necessária. Aí está a Shadow AI ou a utilização descontrolada de agentes. Sem consciência, estamos destinados a perder uma nova batalha.
No entanto, sabemos que, se a jogarmos com inteligência, temos um ativo que vai jogar a nosso favor. A IA é um dos pilares estratégicos que temos na Izertis: fomos a primeira consultora a obter a certificação ISO 42001 em Espanha.
A IA é um dos pilares estratégicos que temos na Izertis
Na área da cibersegurança, sabemos da necessidade de a utilizar, mas também de a proteger e de ajudar a usá-la com responsabilidade. Temos uma relação curiosa com ela.
Além disso, é um percurso que não nos é estranho, uma vez que já o percorremos com outras tecnologias disruptivas na sua altura.
Quando falamos de riscos na cibersegurança, onde reside hoje o verdadeiro ponto crítico: nas ameaças externas ou nas vulnerabilidades internas? O fator humano continua a desempenhar um papel determinante?
Com o avanço e o salto que se verificou na aplicação de medidas de segurança, o principal risco reside em não cumprirmos as nossas próprias premissas e em subestimarmos as capacidades dos adversários.
O principal risco reside em não cumprirmos as nossas premissas
O utilizador foi despojado de privilégios, proporcionámos-lhe mecanismos de coordenação para limitar que, com os seus atos inconscientes, provoque um grande impacto ao ser o canalizador de uma ameaça. Chega-se mesmo a dar-lhe formação.
Mas nem todo o pessoal de uma organização tem, talvez, os mesmos requisitos. Provavelmente teremos de procurar outro tipo de culpados, uma vez que o utilizador médio atual tem um impacto limitado quando, por sua causa, se materializa uma ciberameaça.
Provavelmente, o horizonte dos ataques para organizações com maior maturidade desviou-se para os ataques à cadeia de abastecimento.
No entanto, não se dá a essa cadeia a devida importância.
Será que a cibersegurança deixou de ser vista como uma despesa para se tornar um elemento estratégico do negócio? Quais são os pilares que devem sustentar uma estratégia eficaz nesta área?
A cibersegurança deve ser vista como um fator facilitador do negócio. Quando falamos de investimento em cibersegurança, o que projetamos é confiança, transmitimos controlo da situação, capacidade de reagir adequadamente... No fim de contas, trata-se de uma série de elementos que não são apenas exigidos pelas normas, mas também desejados pelas diferentes partes interessadas com quem interagimos.
Uma estratégia atual deve ser entendida em três contextos. O primeiro é o próprio de quem somos como empresa. O que fazemos, o que devemos fazer e o que se espera de nós. O segundo é de natureza externa: os nossos clientes, os nossos fornecedores, as autoridades. O terceiro, e aquele que é frequentemente deixado de lado, é o do adversário. Não devemos virar-lhe as costas.
Quanto maior for o desconhecimento sobre um dos nossos ativos, maior deve ser o foco que lhe dedicamos
Temos de conhecer a sua postura em relação a nós e estar cientes de que irão aproveitar as lacunas existentes.
Mesmo em elementos tão recentes como a utilização da IA, que mencionámos no início.
Aí, talvez ainda mais devido ao desconhecimento sobre a sua utilização.
Dado o atual panorama de ameaças, será que as empresas estão a alocar os recursos necessários para se protegerem ou ainda há margem para melhorar o investimento em cibersegurança?
Há empresas que alcançaram um ponto de equilíbrio, em que o custo de implementar mais medidas de segurança não compensa um risco que já é residual. Nesse caso, o objetivo é monitorizar e manter-se atualizado em todos os aspetos.
Mas não é o caso geral. Ainda não existe uma convicção total da necessidade. Em muitos casos, continua-se a investir apenas para cumprir uma norma, mas o que se está a demonstrar é que se está a ir pelo mínimo, e este é o terreno fértil para os adversários. Cumprir o mínimo implica que damos ao adversário a capacidade de dominar qualquer batalha em que o enfrentemos.
Como se interpreta o quadro regulamentar europeu em matéria de cibersegurança, com regulamentos como o DORA, o NIS2 ou o RGPD? Trata-se de um impulso necessário ou de um reflexo de lacunas anteriores?
São importantes e talvez cheguem tarde. Mas, em geral, revelam um possível fracasso do setor ao ter de impor uma série de requisitos e medidas a considerar, sem ter em conta que se trata de algo que qualquer organização deveria ter feito no seu próprio interesse.
Ninguém aprovou uma lei que determine a adequação ou a obrigatoriedade de instalar portas nas casas, alarmes, fechaduras seguras... por que razão, no caso da tecnologia, precisamos disso?
Se tivessem de dar um único conselho a um CEO neste contexto, qual seria a chave para enfrentar com sucesso o desafio da cibersegurança na sua organização?
A tecnologia é uma aliada e não devemos menosprezar nenhum sistema, como o que temos em cima da mesa com a IA. Mas devemos fazê-lo com consciência.
Proibir a IA por medo não é o caminho certo
Proibir a IA por medo não é o caminho certo, pois é fácil contornar as barreiras e utilizá-la sem controlo ou à margem da entidade.
Devemos compreendê-la, implementá-la e utilizá-la com o devido respeito que qualquer elemento novo que chega às nossas vidas merece.