Bruno Horta Soares, CISA®, CGEIT®, CRISC™, PMP®, COBIT 5 | bruno.soares@govaas.com
Nas duas últimas semanas decorreram em Portugal duas conferências relacionadas com o tema da segurança da informação, em particular o tema da cibersegurança. A particularidade é que ambas as conferências foram organizadas por Organizações militares e reuniram centenas de profissionais ligados às forças armadas, indústria e academia. Será que juntos seremos mais (cyber)fortes?
O tema da cibersegurança está na agenda das Organizações, públicas ou privadas, grandes ou pequenas. Já algumas vezes falei aqui sobre o tema e muito ainda haverá para falar, mas hoje irei apenas destacar o quanto fiquei agradado de nas últimas ter o tema da segurança da informação ser discutido em público por centenas de profissionais, provenientes de várias áreas da sociedade como as forças armadas, academia ou empresas, quer fossem fornecedoras ou clientes de sistemas de suporte à segurança da informação. A razão para a união? A cibersegurança!
Ao longo da minha carreira assisti (e continuo a assistir) a discussões muito circunstanciais sobre segurança da informação e muitas delas levadas a cabo em fóruns técnicos ou de “curiosos”. A segurança vista sobretudo de uma perspetiva empresarial não apenas limitava o escopo dos impactos às fronteiras das empresas, como muitas vezes parecia que a perda de confidencialidade, integridade ou disponibilidade da informação eram assuntos apenas relevantes para os informáticos na cave.
O tema da cibersegurança veio aumentar o alerta para o efeito sistémico da hiperconectividade, colocando militares, CEOs, jornalistas, consultores todos a discutir sobre as melhores estratégias para lidar com este tema. E bem, porque finalmente começa a emergia na sociedade uma consciência de que a segurança é de facto um assunto de todos e que só a união de esforços permitirá uma Organização, seja ela uma Empresa, um País ou conjunto de países, mais (cyber)fortes.
Das discussões destacaria três aspetos que me parecem interessantes para reflexão e discussão futura:
Como serão as fronteiras digitais?
Vivemos numa sociedade de Estados de Fronteira em que a fronteira territorial define em grande medida a soberania de um Estado. Essas fronteiras resultaram de conquistas dos Homens sobre os Homens e continuam ainda a ser uma fatalidade em algumas regiões do mundo. As infraestruturas (telecomunicações, rede de esgotos, água, eletricidade, estradas, etc.) foram e são uma das principais necessidades dos cidadãos e uma das principais responsabilidades dos governos. O mesmo racional pode ser adotado para uma Empresa, sendo os recursos os ativos que representam vantagens competitivas para a criação de valor.
Mas e quando um país ou empresa passa a ter recursos e infraestruturas, mais ou menos críticas, assentes em sistemas de informação que extravasam as barreiras físicas, onde é que fica a soberania? A discussão deste tema não é nova, mas assistimos a um avanço tecnológico e adoção de novas tecnologias que está a deixar para trás muitos conceitos firmados no “papel da lei”.
Que estamos perante uma revolução de soberania digital não me parece haver dúvidas, só resta saber como virão a ser os Estados de fronteiras digitais. Seja como for, é evidente que só com o esforço e colaboração de todos os agentes será possível garantir a segurança de um sistema que é já hoje global.
Segurança de princípios e princípios de segurança
Numa das intervenções que fiz dei nota de uma das recomendações do World Economic Fórum [1]: “Solutions that focus on specifics will be outdated rapidly; a principle-based approach is required” . Torna-se evidente que apenas com estratégias que garantam um entendimento e compromisso de toda a Organização perante um conjunto de máximas permitirá a segurança da informação. Os standards , controlos ou processos de segurança serão muito importantes para operacionalizar a segurança mas qualquer solução deverá começar e terminar nos princípios.
A nova framework COBIT 5 apresenta 5 princípios fundamentais para a boa governança e gestão do sistema de informação e muito recentemente a ISACA lançou igualmente o documento "COBIT 5 for Security" que poderá ajudar as organizações a implementarem uma estratégia efectiva de segurança da informação.
Da guerra do Golfo para os dias de hoje
Numa das sessões conduzida por um elemento das forças armadas foi referido o conceito de Effect-Based Operations (EBO), uma tática militar que emergiu na guerra do golfo em 1991 e que combinava um conjunto de métodos, militares ou não, para produzir um determinado efeito no inimigo.
Guerras à parte, achei particularmente interessante a referência do modelo por partilhar algumas semelhanças com o Princípio #1 do COBIT 5, nomeadamente a cascata de objetivos e a importância de valores mais altos (i.e. objetivos dos stakeholders ) serem ligados em todos os níveis da Organização. O mais interessante foi perceber que as estruturas militares deixaram “cair” este conceito pela sua elevada complexidade e por criar demasiadas barreiras de decisão. Este é certamente um alerta que todas as Organizações deverão ter ao implementarem mecanismos como a “cascata de objetivos”, nomeadamente quando a complexidade dos seus sistemas é maior.
Conclusão
A segurança sempre foi associada a muito secretismo, complexidade e até alguma complicação. Este tipo de estratégias apenas foi possível quando a segurança era uma responsabilidade de alguns para a proteção de todos. Hoje todos estamos hiperconectados e as ações de todos, pessoas ou Organizações, são determinantes para a proteção contra ameaças, sejam elas mais ou menos sofisticadas, mais ou menos determinadas.
Todos os cidadãos de um país ou todos os colaboradores de uma Empresa deverão ser envolvidos nas estratégias de cibersegurança para que todos estejam conscientes dos princípios e valores em causa, bem como das suas responsabilidades.
A concertação de todos os intervenientes é uma mais-valia e talvez a única solução para uma cibersegurança global. Quem sabe se não estaremos perto de uma declaração universal para a cibersegurança?
Cumprimentos desde Portugal… estamos juntos!
[1] http://www.weforum.org/issues/partnering-cyber-resilience-pcr
