Christopher Perry: “A cibersegurança tem de ser um enabler de negócios” (com vídeo)

Christopher Perry, Vciso & Ex.U.S. Navy Warfare Officer, partilhou 30 anos de experiências e conhecimento na área da cibersegurança, que começou na União Soviética, onde conduziu navios e se deparou com os desafios da cibersegurança desde o início da era digital, na IT Security Conference 2024.

A cibersegurança tem evoluído consideravelmente nos últimos anos, afastando-se de um pensamento puramente focado em segurança para se concentrar também nos conceitos de confiança e resiliência: “Tem havido um pensamento além da segurança” evoluindo para o “pensamento de confiança e resiliência”. Esta mudança de paradigma obriga a repensar como as empresas e os governos abordam a proteção das suas infraestruturas críticas, de acordo com Christopher Perry, em resposta a um mundo onde as ameaças são cada vez mais complexas e onde os riscos se diversificam.

Os padrões de cibersegurança e a convergência global

O desenvolvimento de padrões universais foi uma resposta à necessidade de harmonizar as práticas de cibersegurança. Nos Estados Unidos, o governo ditou que três das suas agências unissem esforços para criar um padrão comum. O resultado foi a criação de uma lista de 800 melhores práticas para “todos chegaram ao mesmo padrão e conectaram os seus sistemas de segurança”, explicou o orador.

Esta harmonização não foi exclusiva dos EUA, com a Europa também a adotar algo semelhante. “Ao longo do tempo percebeu-se que devia haver um padrão universal”, referiu o orador, realçando que, atualmente, há um conjunto de normas e requisitos a serem seguidos pelas organizações, algo que pode complicar a gestão de riscos.

O orador enfatizou também a necessidade de entender que onde há “uma vulnerabilidade, há um risco”, sublinhando a importância de avaliar cada situação com contexto e não tratar todas as vulnerabilidades de igual forma. Christopher Perry destacou que “a calculação de risco é difícil” e que muitas organizações não conseguem entender o risco residual que enfrentam, tratando cada vulnerabilidade e cada desequilíbrio da mesma maneira.

Cibersegurança como facilitadora dos negócios

“Não se pode fazer cibersegurança sem entender os fluxos de negócios”, disse Christopher Perry, que também destacou que a cibersegurança não pode ser encarada como um elemento separado do fluxo de negócios. A sua verdadeira função é habilitar o sucesso empresarial, algo que só pode ser alcançado através da integração com os processos operacionais e, nesse sentido referiu que, “a cibersegurança tem de ser um enabler de negócios”.

Um dos exemplos dessa abordagem é a arquitetura Zero Trust, que opera com um modelo baseado em conformidade, assegurando que a confiança é continuamente verificada. “Quando se trata de compliance, é automação no campo da compliance. […] Costumo dizer que não é suficiente usar automação para os controlos técnicos. É preciso olhar para soluções de gestão de trabalho para automatizar a gestão e os seus controlos operacionais”. De acordo com o orador, esta abordagem mudou a forma como as organizações lidam com a segurança e afirmou que, neste momento, o primeiro passo está em “procurar a confiança” e de seguida o que é necessário “construir em segurança” para se ter essa confiança.

Outro ponto crítico abordado por Christopher Perry foi a automação no campo da conformidade e afirmou que “não é suficiente usar automação para os controlos técnicos”, enfatizando a necessidade de soluções de gestão de trabalho para automatizar controlos operacionais. Essa mudança é vital para garantir que a cibersegurança seja tratada de forma proativa e eficiente, de acordo com o especialista.

A importância de uma estratégia e de um orçamento

A implementação de uma abordagem eficaz à cibersegurança exige planeamento e previsibilidade financeira. Para o orador, não é possível garantir uma segurança robusta sem um plano estratégico bem definido. “É necessário porque o passo seguinte é encarar” e apontou que “ter um budget de ano para ano obriga-nos a prever e a projetar o que se vai gastar em cibersegurança nos próximos cinco anos”.

Essa visão estratégica é fundamental para lidar com as mudanças tecnológicas que continuam a moldar o mundo digital. Christopher Perry também fez uma analogia interessante com a saga Star Trek, onde ele disse que “toda a tecnologia que foi imaginada, premeditada dentro de Star Trek, está a acontecer”. Como referiu o orador, muitos dos conceitos imaginados em 1965, como a inteligência artificial, já são uma realidade, reforçando a necessidade de antecipação e adaptação às inovações futuras o que, por sua vez, reflete as mudanças rápidas no cenário da cibersegurança.

O fator humano

Apesar de todos os avanços tecnológicos, o elemento humano continua a ser o ponto mais vulnerável na cibersegurança. “O ser humano é a linha mais fraca”, confirmou o orador, realçando que a criação de uma cultura de cibersegurança em toda a organização é fundamental. Para tal, é necessário um esforço conjunto, desde os gestores até aos colaboradores e revelou: “Acredito que temos que fazer um melhor trabalho ao trazer cada membro da organização para a cibersegurança”.

A capacitação dos funcionários através de formação e ferramentas adequadas é essencial para fortalecer a resiliência das organizações. “É aí que se vai construir resiliência, porque agora as pessoas que estão envolvidas em negócios vão começar a ver o impacto da cibersegurança no processo de negócio”, explicou. O orador reforçou ainda que a cibersegurança deve ser uma responsabilidade partilhada por todos os níveis da organização, os quais precisam estar preparados para enfrentar os desafios de um ambiente em constante evolução.