Opinião
A cibersegurança começa no topo
As violações de dados não são um facto da vida moderna. São um artefacto da indiferença moderna.
Cada vez que ocorre uma falha ao nível da cibersegurança numa grande empresa, a resposta parece ser sempre a mesma: gritam "caos!" e chamam os primeiros socorristas cibernéticos que encontram para tentar resolver a falha. Mas quando um executivo ou dois são chamados a falar perante os comités do governo, para darem alguma explicação e assegurarem que estão comprometidos com um reforço dos protocolos de segurança, as pessoas – incluindo os hackers – já seguiram em frente. E com cada falha, o ciclo acelera: as pessoas ou ignoram a ameaça – pensam que provavelmente não lhes vai acontecer a eles – ou aceitam-na como uma armadilha inevitável da vida moderna.
A verdade é que, o que uma ameaça de violação ao nível da cibersegurança representa, é tanto grave como evitável. O essencial para mitigá-las é compreender que a cibersegurança não é simplesmente uma questão tecnológica; é também uma questão estratégica urgente que deve estar no topo da agenda de todos os conselhos de administração e equipas de gestão. Afinal, da Yahoo à Equifax, as violações aos níveis dos dados estão frequentemente enraizadas em forças internas, descuidos ou mesmo malícia.
A escala e a velocidade que estes ataques atingem é já enorme. Foi conhecido recentemente que a violação de dados na Yahoo afectou três mil milhões de contas. Em Maio, o ataque ransomworm afectou dúzias de fundos do Serviço Nacional de Saúde do Reino Unido, e espalhou-se ao nível mundial à velocidade da luz.
A violação de dados na Equifax, revelada recentemente – que ocorreu durante dois meses quando a empresa estava a corrigir uma vulnerabilidade de segurança conhecida, mas não a tinha ainda solucionado – deu aos hackers acesso aos dados pessoais e sensíveis de 145,5 milhões de clientes. De acordo com o testemunho dado pelo agora ex-CEO da Equifax, Richard F. Smith, no Congresso norte-americano, a falha foi o reflexo da negligência de uma pessoa do departamento de informática.
Os riscos estão apenas a crescer. O Centro de Cibersegurança Nacional do Reino Unido, fundado no ano passado, já respondeu a quase 600 incidentes significativos. O director do departamento previu, recentemente, que o nosso primeiro "ciber-incidente de categoria um" ocorreria nos próximos anos.
Um problema é que muitas organizações simplesmente não têm no seu radar a cibersegurança. Eles acreditam que são demasiado pequenos para serem um alvo ou que tais falhas estão limitadas aos sectores tecnológicos e financeiros. Mas, só recentemente, a cadeia norte-americana de comida rápida Sonic – não é propriamente um gigante tecnológico – revelou que alguns dos seus estabelecimentos comerciais tinham sido alvo de um ataque de malware, o que pode ter permitido aos hackers o acesso aos dados de cartões de crédito dos seus clientes.
O facto é que muitos tipos de empresas usam a tecnologia, isto se não estiverem mesmo dependentes dela. E recolhem muitos tipos de dados, tanto sobre os clientes como sobre os funcionários, sistemas de distribuição e transacções. Os consumidores muitas vezes não compreendem a dimensão dos dados que as empresas recolhem e não compreendem também para que é que os "cookies" são usados quando navegam na web. De acordo com o relatório da Pew Research Center, de Março de 2017, muitos norte-americanos, por exemplo "estão confusos quanto a alguns dos tópicos de cibersegurança fundamentais, bem como alguns termos e conceitos".
Claro que os consumidores têm de estar informados e vigilantes sobre os seus próprios dados. Mas mesmo aqueles que estão, percebem que se querem envolver-se totalmente na vida moderna, têm pouca escolha a não ser entregar os seus dados pessoais a organizações tanto do sector público como do sector privado, desde empresas financeiras e de serviços públicos a hospitais e autoridades fiscais.
Com a automatização, esta tendência vai acelerar, com as pessoas a contarem com a tecnologia para fazerem tudo, desde encomendarem mercearias até ligarem as luzes e mesmo trancarem as portas. O poder que isto dá a empresas como a Google e a Amazon, já para não falar de um conjunto crescente de start-ups, é óbvio. O que não é óbvio é que os consumidores possam confiar nos conhecimentos nas empresas e no dever destas de proteger a informação que recolhem.
Nenhuma empresa pode permitir ter uma atitude de desleixo em relação à cibersegurança. Mesmo assim, as próprias companhias tecnológicas levaram algum tempo a reconhecer a dimensão das suas responsabilidade técnicas, incluindo a necessidade de um executivo de nível C para gerir as suas necessidades tecnológicas. Não há muito tempo, tais firmas mantinham frequentemente uma mentalidade de "apoio ao utilizador": ter a certeza que mais pessoas podem usar o produto e haver alguém a quem chamar se as coisas correrem mal.
Mas com a proliferação das violações de dados, frequentemente com consequências críticas para o negócio, não há desculpa para a inércia. Tais violações podem paralisar as companhias tanto em termos operacionais como financeiros, devido ao roubo directo de fundos ou propriedade intelectual e aos custos de conexão das falhas de segurança ou o pagamento de multas. As violações podem ainda diminuir a reputação da empresa e a sua credibilidade junto de investidores, parceiros empresariais e comunidades, mesmo em casos em que a brecha é pequena e não compromete informação sensível.
Apesar de nem todos os membros do conselho de administração terem de ser especialistas tecnológicos, eles precisam de manter-se actualizados quanto ao estado da tecnologia da sua empresa, incluindo o quão segura está. Um comité de risco no conselho de administração pode levar a revisões profundas. Mas actualizações regulares do estado da tecnologia ao conselho de administração, tal como em outros assuntos cruciais que afectam o negócio, é também necessário.
No mundo de hoje, nenhuma organização – pública ou privada, comercial ou sem fins lucrativos – tem desculpa para não ser extremamente vigilante e pró-activa em relação à segurança dos seus dados e sistemas. Não é suficiente cumprir com os requisitos legais, que não acompanham as mudanças tecnológicas. Em vez disso, essas exigências devem ser vistas como um ponto de partida para um sistema efectivamente mais robusto e monitorizado de perto que proteja verdadeiramente os dados dos quais as nossas sociedades e economias, cada vez mais, dependem.
As violações de dados não são um facto da vida moderna. São um artefacto da indiferença moderna.
Lucy P. Marcus é CEO da Marcus Venture Consulting.
Copyright: Project Syndicate, 2017.
www.project-syndicate.org
Tradução: Ana Laranjeiro