
Os colaboradores e as empresas precisam de poder trabalhar melhor em equipa, onde quer que estejam, e precisam de fazê-lo em segurança. Mesmo quando aparecem novas ameaças. Descubra os pesadelos de segurança mais comuns para as empresas.
Sian John
Chief Security Advisor
Quando se trabalha em segurança digital há um quarto de século como é o meu caso, muitas vezes as pessoas perguntam qual é o meu primeiro conselho para ajudar as empresas e as organizações a fomentar a confiança com os seus clientes e parceiros.
A minha resposta é sempre a mesma: “Não seja sinistro!”
Sei que é um cliché utilizar filmes para estabelecer paralelos, mas o “Relatório Minoritário” tem um grande exemplo do que estou a falar. Esqueça a premissa geral do filme que é a probabilidade de alguém cometer um crime antes de o fazer. Para mim, o momento mais inquietante do filme é quando a personagem interpretada pelo Tom Cruise entra numa loja, analisam o seu globo ocular e, em seguida, lhe dizem exatamente de que roupas irá gostar. Pode parecer um ótimo serviço, mas é sinistro. E a mim parece-me que as pessoas se preocupam com tudo o que é sinistro.
Quando as empresas falam sobre a utilização de tecnologias avançadas como a IA, o que está implícito é que podem utilizar os dados do cliente para criar perfis das pessoas. Assim, as empresas que utilizam a IA devem fazê-lo com integridade e de uma forma ética, para que as pessoas possam confiar que o que estão a utilizar é por um bom motivo e para bons fins. Se pisar o risco, perde essa confiança.
A minha função é ajudar as organizações a utilizar a tecnologia de uma forma que fomente a confiança. Por isso, quero partilhar alguns dos principais fatores que um CISO deve considerar na sua abordagem à segurança na era digital.
Uma pessoa que influenciou muito a minha forma de encarar a confiança é Rachel Botsman, em particular o conceito que esta criou denominado Saltos de Confiança. Para Botsman, os saltos de confiança ocorrem quando as pessoas têm de dar um salto mental do conhecido para o desconhecido. Estes saltos são caracterizados por uma emoção em particular: a incerteza.
Quando as organizações passam de infraestruturas no local para infraestruturas baseadas na cloud, têm de dar um salto de confiança, ou seja: têm de enfrentar a incerteza. Assim, quando damos o salto para a transformação digital, é necessário existirem informações e visibilidade suficientes para tornar esse salto o mais confortável possível.
Os CISOs que adotam a migração para a cloud avaliam fornecedores de serviços de cloud em hiperescala como a Microsoft e colocam a si próprios questões como as seguintes:
Fazemos tudo o que está ao nosso alcance para responder a estas e a outras perguntas porque compreendemos que a migração para a cloud é um salto de confiança abissal para algumas organizações. Quanto mais informação e transparência pudermos oferecer, menos assustador o salto será. Porque, em última análise, a confiança resume-se em sentir que tem o controlo e que o que espera que vai acontecer, acontecerá.
A transparência é uma palavra que surge com frequência quando falamos de confiança. Mas Rachel Botsman salienta algo que me fez muito sentido: na realidade a transparência não fomenta a confiança, reduz é a necessidade de confiança. Ao ser transparente, reduz a dimensão do desconhecido e assim o salto de confiança é menor.
No que toca à confiança, é importante implementar os controlos adequados para saber o que está a acontecer, monitorizar o que acontece e demonstrar empenho: tudo isto cria maior transparência e reduz o fosso de confiança.
Mas também acredito que, nas circunstâncias certas, a transparência pode ser efetivamente utilizada para fomentar a confiança. A falha de segurança de dados da Norsk Hydro é um excelente exemplo disto em ação.
A Norsk Hydro é uma grande multinacional de fabrico de alumínio cujas fábricas dependem das tecnologias digitais para operar as suas máquinas. Assim, quando foram atingidos por um ataque em massa de ransomware, o desastre para a sua linha de produção e imagem de marca parecia inevitável, mas a sua reação salvou-os.
Quando o ataque ocorreu, fizeram uma conferência de imprensa. Foram muito transparentes sobre o que tinha acontecido: sobre o próprio ataque, a investigação e o seu empenho. Assim, em vez de a falha de segurança ter tido um efeito negativo na sua imagem, muitos comentários das pessoas na altura mencionaram a confiança e o respeito que reforçaram no setor devido à forma transparente como reagiram.
Este é um exemplo clássico de fazer limonada quando a vida nos dá limões. E foi possível porque foram transparentes, éticos, honestos e responsáveis com a confiança dos clientes e parceiros cujos dados foram postos em risco.
Uma das características da confiança e da privacidade é terem uma dimensão emocional muito forte. Confiar é ser vulnerável e os cibercriminosos sabem-no, sendo por isso que a nossa confiança é muitas vezes a porta que tentam explorar para conseguir a entrada nas nossas organizações.
Continuarão a ter sucesso porque faz parte da natureza humana cometer erros. É fácil dizer “Se receber uma ligação, não clique na mesma”. Mas os especialistas de segurança têm de se lembrar que o mundo moderno foi criado para incentivar as pessoas a clicar em ligações. Assim, dizer “não clique na ligação” é como dizer “não faça aquilo para o qual foi condicionado nos últimos 15 anos”. Não é realista e penso que os especialistas de segurança são demasiado duros com os utilizadores finais ao esperarem que se comportem de uma forma que não é natural para eles.
A melhor resposta é esperar pelo ataque e estar preparado. É assim que funciono: espero que sejam cometidos crimes. Espero que as pessoas cometam erros. E aceito a responsabilidade por tentar gerir esta equação e atenuar o seu impacto.
Do meu ponto de vista, a tecnologia é a maior defesa que temos nesta luta.
This page is also available in English