“Risco Empresarial e Cibersegurança” acaba de chegar às bancas. O livro, editado pela FCA, é da autoria de António Miguel, doutorado em Tecnologias e Sistemas de Informação, MBA e Engenheiro Eletrotécnico, professor universitário, consultor e formador internacional em gestão de projectos e gestão do risco.
Security magazine – Qual a importância que este livro assume para os profissionais do sector?
António Miguel – Estão disponíveis no mercado, fundamentalmente em língua Inglesa, muitas fontes de informação fragmentadas cobrindo os aspectos focados no livro. No entanto, não encontrei nada similar agregando, numa única obra, toda a variedade de temas que o livro trata. Por outro lado, não encontrei, em português europeu, nenhuma obra que trate a gestão do risco empresarial e a cibersegurança de uma forma integrada.
Este livro é fruto da minha experiência como profissional de gestão de projectos, gestão estratégia e consultor e como formador em gestão do risco, a nível nacional e internacional. O meu contacto com muitas empresas e organizações deram-me uma consciência clara do tipo de informação necessária para uma correcta e eficaz gestão do risco empresarial e da cibersegurança.
Este livro tem como objectivo fundamental concentrar num único volume as metodologias, normas, frameworks e boas práticas a nível mundial para a gestão do risco operacional, do risco da informação e do risco da cibersegurança.
Os profissionais do risco encontram nesta obra uma visão crítica das metodologias, técnicas e ferramentas disponíveis no mercado, apresentando sempre os pontos fortes e fracos de cada uma. Por outro lado, são apresentados muitos exemplos práticos que permitem perceber a respectiva aplicabilidade. São igualmente analisadas, com detalhe, as principais normas ISO/IEC e as frameworks do NIST e do COSO ERM.
O livro avalia igualmente o impacto da Inteligência Artificial e da computação quântica em todos os tipos de riscos, em especial no risco de cibersegurança. A IA e a computação quântica são uma faca de dois gumes, potenciando as capacidades dos hackers, mas igualmente possibilitando às organizações inúmeras oportunidades de defesas sofisticadas.
Para além disso, o livro trata de forma profunda os impactos reputacionais e legais dos diversos tipos de riscos e apresenta a legislação europeia e nacional pertinente para a segurança da informação e a cibersegurança, com especial destaque para o RGPD e a recente norma NIS2 da União Europeia.
Em suma, os profissionais do sector encontram nesta obra um mapa orientador sobre os aspectos técnicos, de gestão, legislativos, normativos e regulatórios fundamentais para a gestão dos diversos tipos de riscos.
Que aspectos destacaria como mais relevantes neste livro?
O livro sustenta a necessidade de uma visão integrada da gestão dos diversos tipos de riscos que as empresas e organizações enfrentam, em contraponto a uma visão parcelar, em silos, sob pena de os investimentos na gestão do risco se revelarem ineficazes, ou mesmo contraproducentes.
Na minha já longa experiência como consultor, constatei que em muitas organizações (quando) a gestão do risco é realizada de uma forma não integrada – o risco dos projectos fica a cargo dos gestores de projecto, o risco operacional é responsabilidade das unidades funcionais e o risco da informação e da cibersegurança é entregue ao departamento de TI sob a tutela de um CISO – sem que os diversos responsáveis dialoguem entre si. Por outro lado, a maioria das Administrações não associa os investimentos em gestão do risco ao planeamento estratégico, com a consequente dispersão e ineficiência dos recursos envolvidos – humanos, materiais e financeiros.
Este livro apresenta uma visão moderna da gestão do risco, preconizando a integração da gestão de todos os riscos e o respectivo investimento organizacional subordinado aos objectivos estratégicos e a uma correcta definição do apetite e da tolerância ao risco. É realçada a necessidade de as organizações desenvolverem e implementarem um Plano de Continuidade do Negócio eficaz e um Plano de Recuperação de Desastres que inclua um Plano de Resposta a Incidentes de cibersegurança. O livro detalha o conteúdo de cada um destes planos.
Há uma tendência para considerar a gestão do risco de cibersegurança como uma questão meramente tecnológica; não o é. Pelo contrário, é uma questão estratégica, dadas as potenciais consequências financeiras, reputacionais e de mercado que um ciberataque bem-sucedido pode causar.
Por outro lado, descura-se muitas vezes a componente humana na incidência dos riscos. O Fórum Económico Mundial, no seu Global Risks Report de 2022 afirma que 95% dos ciberataques bem-sucedidos se devem a erro humano. Por isso, o livro salienta a importância do estabelecimento de um plano de consciencialização e formação e treino dos recursos humanos, de modo a criar um verdadeiro “firewal humano” imune a ataques de engenharia social, como phishing, smishing, deep fakes, etc.
Uma organização pode implementar as tecnologias mais recentes de protecção como, por exemplo, next generation firewalls, mas isso pode não impedir intrusões de hackers se os seus funcionários forem permeáveis à engenharia social.
O livro fundamenta-se nas melhores práticas internacionais e nos mais modernos frameworks e normas, e apresenta igualmente uma análise do papel da Inteligência Artificial na gestão do risco da cibersegurança e uma secção dedicada à investigação forense da cibersegurança.
Cibersegurança, ciberesiliência e gestão de risco são temas que estão na ordem do dia. Na sua perspectiva, quais as grandes preocupações que os nossos gestores deverão ter nessas matérias? Como perspectiva o futuro destas áreas?
O mundo está cada vez mais caracterizado por um ambiente em que dominam a incerteza, a volatilidade e a não-linearidade.
A antiga imagem de “uma borboleta bate as asas na China e provoca um tornado nos EUA” que ilustrava o caos, está agora bem patente no efeito devastador que os ciberataques podem ter nas organizações e mesmo em países.
Sistemas críticos para as sociedades, como as redes de energia, os sistemas de cuidados de saúde ou as cadeias de abastecimento podem ser dramaticamente interrompidos devido a ataques com motivações criminosas ou políticas. Esta situação exige uma estratégia de cibersegurança proactiva e abrangente, integrada na trama mais ampla da gestão do risco empresarial, de modo a garantir uma defesa robusta contra a miríade de riscos que as organizações modernas enfrentam.
Em 2013, o cibercrime custou ao mundo a quantia exorbitante de 4,3 triliões de dólares e espera-se que este valor seja de 10,5 triliões até 2025. Este número inclui uma variedade de custos, como destruição de dados, dinheiro roubado, perda de produtividade, acções litigiosas, perda de reputação, roubo de propriedade intelectual e muito mais.
Há igualmente que ter em consideração os custos políticos, económicos e estratégicos causados pelas ameaças de interferência em processos eleitorais. A acrescer a tudo isto, a crescente expansão da Inteligência Artificial veio, não apenas acrescentar novas e significativas dificuldades à cibersegurança, mas igualmente proporcionar formas sofisticadas de gerir o risco da informação e a cibersegurança.
A resiliência, definida como a capacidade de recuperar rapidamente a normalidade após sofrer uma situação catastrófica, tornou-se uma questão de sobrevivência para as organizações e mesmo as sociedades.
Tudo isto obriga a um repensar das estratégias de gestão do risco por parte das organizações privadas e públicas, bem como dos estados nação.
É imperativo encarar a gestão do risco numa óptica estratégica e integrada. O uso de tecnologias sofisticadas para protecção contra ciberataques deve ser acompanhado pela consciencialização e capacitação dos recursos humanos. A política e a estratégia da gestão do risco devem estar subordinadas aos objectivos estratégicos.
Esta necessidade é sublinhada pelos rigorosos regulamentos e directivas da União Europeia, nomeadamente o Regulamento Geral de Protecção de Dados e a Directiva NIS2 que obriga as organizações a adotarem medidas rigorosas para a gestão do risco.
Os modernos gestores necessitam possuir uma aguda consciência de risco, definir claramente o seu nível de tolerância ao risco, patrocinar e fomentar uma clara estratégia de gestão do risco e comunicar a toda a organização essa estratégia. A gestão do risco deve ser uma responsabilidade de todos os stakeholders, não apenas dos profissionais do risco.
