Winds of Change

A expansão marítima portuguesa (impulsionada por figuras ilustres, como o Infante D Henrique, que cedo percebeu as virtudes desta jornada) para navegar “por mares nunca dantes navegados” obrigou a uma evolução significativa da ciência náutica. A caravela, criada pelos portugueses e usada durante a época dos descobrimentos era uma embarcação rápida, de fácil manobra, e que, em caso de necessidade, podia ser movida a remos. Fazendo uso das velas latinas era capaz de bolinar (navegar em direção ao vento, ziguezagueando). Papel de destaque para garantir o sucesso da jornada teve também a bússola, que indicava sempre o Norte aos nossos intrépidos navegadores.

Fazendo um paralelismo pessoal com a cibersegurança, navegamos num palco com atores bem definidos:

• A caravela representando as organizações;
• A bússola simbolizando a regulação e decisores de topo como patrocinadores fulcrais;
• As velas simbolizando a tecnologia, com destaque para os avanços de eficiência que a IA (Inteligência Artificial) nos tem trazido;
• A orientação do GRC (Governance, Risk & Compliance) , norteando estratégias, com normativos e boas práticas, e garantindo o sucesso de cada jornada;
• Os navegadores como cada um de nós, enquanto utilizadores e decisores, promovendo a resiliência do ciberespaço.

Como operacionalizar as medidas regulatórias

Numa perspetiva prática aborda-se três dos principais desafios, personificados em riscos, que temos encontrado no mercado, fruto das tendências regulatórias, nomeadamente:

Gestão do Risco Humano: 

É um facto, que os utilizadores, enquanto seres sociais, continuam a ser alvo de manipulação por parte de atores maliciosos. Para mitigar este risco, a combinação de treino contínuo, testes periódicos de phishing e análise de resultados, com o suporte de IA, oferece vários benefícios, entre os quais:

• ​Experiência de aprendizagem enriquecida, através da análise comportamental e treino adaptativo.
• Formação contextualizada, ajustada à função, nível de risco, localização e idioma do utilizador (entre outros)
• Feedback individual, imediato e adaptado ao utilizador, permitindo uma resposta mais eficaz às ameaças.

Estes projetos, quando devidamente preparados e contextualizados na organização, são geralmente Quick Wins, com um ROI atrativo, reduzindo de forma mensurável o risco de exposição e transformando os utilizadores numa verdadeira "Firewall Humana", onde participam ativamente na defesa contra ciberameaças.

Risco da Cadeia de Valor:

Esta área lida com um volume de dados muito relevante e não é surpresa que surjam funcionalidades inovadoras, suportadas em automação e inteligência artificial, tais como:

• Análise automática da postura de cibersegurança dos Parceiros de negócio,
• Questionários inteligentes (cruzando informação de resposta com informação pública para detetar incoerências),
• Ratings de contexto (tendo em conta o risco e impacto para o negócio),
• Alertas acionáveis, propostas de planos de remediação.

Resiliência Digital

Em cibersegurança, já não é uma questão de SER atacado, nem de QUANDO isso acontecerá, mas de COMO estamos preparados para responder, evitando a disrupção. Aqui a IA tem um papel fulcral nas ferramentas de xMDR (capacidade de resposta proativa, alertas acionáveis, threat intelligence), nas soluções de Cyber Recovery, de gestão dos ativos críticos, de gestão de vulnerabilidades e intrusão, etc. Ainda assim temos assistido a uma evidente oportunidade de melhoria na (re)definição da estratégia de continuidade de negócio, com especial destaque para a gestão de incidentes disruptivos (p.e. Ransonware).

O papel das plataformas GRC

Transversalmente a tudo o que à IA diz respeito, acredito que ela está de facto, a alterar de forma avassaladora, a forma como trabalhamos, sendo um auxiliar precioso para evoluir e capitalizar esta tendência incontornável.  

Na área de GRC, assistimos a uma evolução de tarefas manuais, subjetivas, pouco integradas e dificilmente escaláveis, para uma gestão centralizada, automatizada, integrada, permitindo proactivamente avaliar, gerir e mitigar os riscos para o seu negócio.

Na Securnet em sentido lato, e na Business Unit de GRC & Consulting em particular, acreditamos que estas plataformas nos permitem consubstanciar a nossa visão de colaborar proativamente na melhoria da resiliência digital dos nossos clientes na sua jornada de transformação digital, numa prestação de serviços que se ambiciona cada vez mais diferenciada e inovadora.

Conteúdo co-produzido pela MediaNext e pela Securnet