Quando se trabalha em segurança digital há um quarto de século como é o meu caso, muitas vezes as pessoas perguntam qual é o meu primeiro conselho para ajudar as empresas e as organizações a fomentar a confiança com os seus clientes e parceiros.
A minha resposta é sempre a mesma: “Não seja sinistro!”
Sei que é um cliché utilizar filmes para estabelecer paralelos, mas o “Relatório Minoritário” tem um grande exemplo do que estou a falar. Esqueça a premissa geral do filme que é a probabilidade de alguém cometer um crime antes de o fazer. Para mim, o momento mais inquietante do filme é quando a personagem interpretada pelo Tom Cruise entra numa loja, analisam o seu globo ocular e, em seguida, lhe dizem exatamente de que roupas irá gostar. Pode parecer um ótimo serviço, mas é sinistro. E a mim parece-me que as pessoas se preocupam com tudo o que é sinistro.
Quando as empresas falam sobre a utilização de tecnologias avançadas como a IA, o que está implícito é que podem utilizar os dados do cliente para criar perfis das pessoas. Assim, as empresas que utilizam a IA devem fazê-lo com integridade e de uma forma ética, para que as pessoas possam confiar que o que estão a utilizar é por um bom motivo e para bons fins. Se pisar o risco, perde essa confiança.
A minha função é ajudar as organizações a utilizar a tecnologia de uma forma que fomente a confiança. Por isso, quero partilhar alguns dos principais fatores que um CISO deve considerar na sua abordagem à segurança na era digital.
A importância de dar saltos de confiança
Uma pessoa que influenciou muito a minha forma de encarar a confiança é Rachel Botsman, em particular o conceito que esta criou denominado Saltos de Confiança. Para Botsman, os saltos de confiança ocorrem quando as pessoas têm de dar um salto mental do conhecido para o desconhecido. Estes saltos são caracterizados por uma emoção em particular: a incerteza.
Quando as organizações passam de infraestruturas no local para infraestruturas baseadas na cloud, têm de dar um salto de confiança, ou seja: têm de enfrentar a incerteza. Assim, quando damos o salto para a transformação digital, é necessário existirem informações e visibilidade suficientes para tornar esse salto o mais confortável possível.
Os CISOs que adotam a migração para a cloud avaliam fornecedores de serviços de cloud em hiperescala como a Microsoft e colocam a si próprios questões como as seguintes:
- Será que a vossa organização vai cuidar dos meus dados?
- Terei controlo sobre esses dados quando lá estiverem?
- Terei visibilidade sobre o que está a acontecer no serviço de cloud?
- Posso ter uma ideia de como vão funcionar no back-end?
- Terei visibilidade do risco?
Fazemos tudo o que está ao nosso alcance para responder a estas e a outras perguntas porque compreendemos que a migração para a cloud é um salto de confiança abissal para algumas organizações. Quanto mais informação e transparência pudermos oferecer, menos assustador o salto será. Porque, em última análise, a confiança resume-se em sentir que tem o controlo e que o que espera que vai acontecer, acontecerá.
Como a transparência reduz a necessidade de confiança
A transparência é uma palavra que surge com frequência quando falamos de confiança. Mas Rachel Botsman salienta algo que me fez muito sentido: na realidade a transparência não fomenta a confiança, reduz é a necessidade de confiança. Ao ser transparente, reduz a dimensão do desconhecido e assim o salto de confiança é menor.
No que toca à confiança, é importante implementar os controlos adequados para saber o que está a acontecer, monitorizar o que acontece e demonstrar empenho: tudo isto cria maior transparência e reduz o fosso de confiança.
Mas também acredito que, nas circunstâncias certas, a transparência pode ser efetivamente utilizada para fomentar a confiança. A falha de segurança de dados da Norsk Hydro é um excelente exemplo disto em ação.
A Norsk Hydro é uma grande multinacional de fabrico de alumínio cujas fábricas dependem das tecnologias digitais para operar as suas máquinas. Assim, quando foram atingidos por um ataque em massa de ransomware, o desastre para a sua linha de produção e imagem de marca parecia inevitável, mas a sua reação salvou-os.
Quando o ataque ocorreu, fizeram uma conferência de imprensa. Foram muito transparentes sobre o que tinha acontecido: sobre o próprio ataque, a investigação e o seu empenho. Assim, em vez de a falha de segurança ter tido um efeito negativo na sua imagem, muitos comentários das pessoas na altura mencionaram a confiança e o respeito que reforçaram no setor devido à forma transparente como reagiram.
Este é um exemplo clássico de fazer limonada quando a vida nos dá limões. E foi possível porque foram transparentes, éticos, honestos e responsáveis com a confiança dos clientes e parceiros cujos dados foram postos em risco.
Assumir a responsabilidade pela cibersegurança
Uma das características da confiança e da privacidade é terem uma dimensão emocional muito forte. Confiar é ser vulnerável e os cibercriminosos sabem-no, sendo por isso que a nossa confiança é muitas vezes a porta que tentam explorar para conseguir a entrada nas nossas organizações.
Continuarão a ter sucesso porque faz parte da natureza humana cometer erros. É fácil dizer “Se receber uma ligação, não clique na mesma”. Mas os especialistas de segurança têm de se lembrar que o mundo moderno foi criado para incentivar as pessoas a clicar em ligações. Assim, dizer “não clique na ligação” é como dizer “não faça aquilo para o qual foi condicionado nos últimos 15 anos”. Não é realista e penso que os especialistas de segurança são demasiado duros com os utilizadores finais ao esperarem que se comportem de uma forma que não é natural para eles.
A melhor resposta é esperar pelo ataque e estar preparado. É assim que funciono: espero que sejam cometidos crimes. Espero que as pessoas cometam erros. E aceito a responsabilidade por tentar gerir esta equação e atenuar o seu impacto.
Do meu ponto de vista, a tecnologia é a maior defesa que temos nesta luta.