Colaboração, diversidade e governação - Três formas de como a indústria pode melhorar a cibersegurança

Mas se olharmos para o resto de 2022 e para além deste ano, há motivos para otimismo. Existe hoje e  cada vez mais uma articulação das ciberameaças quando falamos de risco empresarial. A indústria está a potenciar uma maior automatização e padronização e a melhorar a colaboração entre setores.

Houve recentemente um painel de CISO´s da indústria que discutiu a melhor forma de abordar as ameaças em mudança. Eu acredito que a indústria da cibersegurança precisa de se basear também nos aspetos positivos, compreendendo a ciberestratégia no contexto da boa governação empresarial e abordando a crescente diversidade e falta de competências.

1. Os atacantes aproveitam a crescente complexidade das cadeias de abastecimento

O mundo mudou muito em apenas dois anos. Para os CISOs, isso significou uma rápida adaptação a uma nova realidade empresarial, práticas de trabalho fluídas e maior investimento digital. A superfície de ataque está a expandir-se exponencialmente à medida que as TI se modernizam para apoiar o trabalho remoto, novas experiências dos clientes e processos empresariais em evolução. 

No entanto, há uma história mais interessante por detrás das notícias de ciberataques. Há anos que falamos sobre o mesmo velho paradigma do atacante e vítima. 

Nesta relação de um para um, o agressor tem como alvo uma vítima e ou tem sucesso, ou não tem. Mas agora estamos a começar a ver mais do que poderíamos chamar ataques "um-para-muitos". Os ataques da cadeia de abastecimento não são nada de novo, claro, mas estamos a ver um avanço na sofisticação e ambição dos criminosos. Eles entendem a importância de encontrar um ponto comum que liga centenas ou mesmo milhares de potenciais vítimas, e depois comprometer esse ponto. 

Mesmo com os tremendos desafios atuais da globalização, as cadeias de abastecimento estão a tornar-se mais complexas. À medida que as organizações procuram gerir o risco dos fornecedores, o custo em espiral e a tensão geopolítica no mundo pós-pandémico, a complexa teia de interdependências de que dependem está a crescer. 

Na indústria dos transportes aéreos, o  VP & CISO da United Airlines, Deneen DeFiore, referiu como a mentalidade no ciberespaço está a passar da proteção de dados para a resiliência. A compreensão destas dependências dos fornecedores é fundamental para gerir o risco de forma eficaz.

2. A colaboração é fundamental para a gestão da complexidade

Esta complexidade crescente também torna a colaboração ainda mais importante. Tal como referido pelo líder de Cybersecurity Officer da Siemens USA, Kurt John, a vítima de um ataque de um-para-muitos pode ser capaz de ver apenas uma pequena peça do puzzle. É apenas através da colaboração com as organizações certas do sector público e privado que podemos compreender como os atacantes estão a operar. 
Todos podemos concordar que os Indicadores de Compromisso (COI) estão praticamente desatualizados assim que são publicados. Então, o que de relevante pode ser partilhado entre organizações?

O tema centra-se muitas vezes no facto de uma organização ter sido ou não atacada com sucesso. Se as violações estão próximas do inevitável, talvez nos devamos concentrar mais na partilha dos resultados das violações que realmente ajudam os outros. A forma como a CISA coordenou a partilha de informação durante os primeiros dias da saga Log4Shell oferece um modelo útil. A agência fez um trabalho exemplar, captando várias peças de grande informação de diferentes fontes da indústria. Vamos aprender com ela. Porque, como explicou Ian Pratt, Chefe Global de Segurança para Sistemas Pessoais da HP Inc, as organizações de cibercrime são agora geridas como empresas - tornaram-se mestres na partilha de inteligência, informação e ferramentas para promover os seus objetivos.

3. O fim da linguagem técnica e da complexidade desnecessária na cibersegurança 

A indústria da cibersegurança tem falta de mais de dois milhões de profissionais a nível mundial. Neste momento de crise, devemos aumentar a nossa reserva de talentos e acabar com as barreiras para entrar no sector. O sector da cibersegurança está cheio de palavreado técnico, conhecimentos e acreditações internas. Como estamos a aperceber, esta abordagem não nos tem servido bem numa altura em que tentamos recrutar novos talentos.

Há uma oportunidade real de tornar a tendência de cibersegurança maior, olhando para fora da indústria. Podemos recorrer a mais pessoas não instruídas profissionalmente, uma vez que não precisamos necessariamente de diplomas universitários para cada função. Podemos visar pessoas a meio das suas carreiras que possuem um rico conjunto de competências em áreas como a gestão de riscos ou a comunicação.

A diversidade também é crítica, e ainda há muito trabalho a fazer. De acordo com um novo estudo da HP, 30% das mulheres nos EUA candidataram-se a uma promoção no ano passado. Contudo, das que se candidataram, apenas 40% delas foram bem-sucedidas, contra 52% dos homens. Entretanto, apenas metade dos empregados nos EUA acredita que o seu empregador melhorou na luta contra a discriminação de género. A cibersegurança, tal como a indústria tecnológica no seu conjunto, tem uma questão de diversidade, particularmente com a colocação das mulheres em cargos superiores. Temos de compreender melhor como melhor apoiar as mulheres e as suas carreiras, uma vez que isto é fundamental para promover uma força de trabalho diversificada e atrair novos talentos.

Como Kurt John explicou, a diversidade é a principal forma de impulsionar a criatividade em resposta às ameaças que todos nós enfrentamos.

A boa notícia é que os conselhos de administração estão a começar a apreciar a importância da diversidade e da cibersegurança - tal como os CISOs estão finalmente a começar a falar do ciberespaço na linguagem do risco empresarial. Temos pois motivos para otimismo. 

O que se torna cada vez mais evidente é que os líderes de cibersegurança têm muito mais probabilidades de tomar as decisões certas para a empresa ao verem a cibergovernação no contexto de uma governação empresarial eficaz e ao concentrarem-se na forma como a ciberestratégia deve enfatizar e promover a boa governação.