Para enviar as suas questões, dúvidas ou comentários para o "Consultório PortalGSTI" deverá utilizar o email: consultorio@portalgsti.com.br
Consultório Portal GSTI #13 – O dia do Juízo Final cibernético!
“Poderá existir um dia do Juízo Final cibernético?"
Chief Security Officer (Lisboa)
Caros leitores,
Esta semana aproveito para partilhar convosco uma das questões que foi lançada num debate em que tive o prazer de participar no contexto do encontro " 7 th Chief Security Officer (CSO) Summit & Roundtable" [1]. Não podia haver melhor tema que o Juízo Final para discutir na edição n.º 13 (esse número tão cheio de misticismo) do Consultório Portal GSTI!
As discussões em torno da segurança da informação, em particular quando se fala de ciber-segurança, muitas vezes aproximam-se vertiginosamente de um cenário hollywoodesco em que os heróis e vilões são o centro das atenções e a salvação do planeta uma tarefa quase diária. Se tivesse de escolher uma banda sonora para caracterizar muitas das discussões sobre segurança da informação em que participo, sem dúvida que a minha escolha seria a do filme Armageddon: “I Don't Want to Miss a Thing”, dos Aerosmith! [2]
Toda a minha carreira foi desenvolvida na área do risco e controlo e, como tal, há muito que ganhei o hábito de ponderar qualquer cenário, por mais radical que seja, colocando sempre uns “óculos” de probabilidades e impactos. É por isso que prefiro sempre uma discussão sobre a ciber-segurança que não entre em exageros e análises confusas, privilegiando sempre um reconhecimento da complexidade do tema e procura das melhores ferramentas para lidar com essa complexidade. Para mim a ciber-segurança não é um problema, é apenas mais um risco…
Também para analisar esta questão podemos valorizar a máxima defendida por Albert Einstein de que "Tudo deve ser feito tão simples quanto possível, mas não mais simples”. Assim, v oltemos à origem da segurança da informação relembrando os seus 3 pilares: Confidencialidade, Integridade e Disponibilidade.
Quando se fala de Juízo Final fala-se de um momento extremo, do fim de algo, e talvez pelos motivos cinéfilos que referi no início, talvez esse fim seja naturalmente associado à dimensão da "Disponibilidade". Numa sociedade cada vez mais hiperconetada em que a “Internet das coisas” cresce a passos largos em direção à “Internet de tudo” , esse dia do Juízo Final é obviamente associado ao medo de que um dia todo este cenário construído em cima de alicerces pouco robustos desabe, comprometendo o acesso a tudo (Disponibilidade) ou pelo menos colocando em causa a verdade de tudo (Integridade). Vendo por este prisma, podemos ficar com a perceção de que a cada dia que passa estamos mais perto de um Juízo Final, mas na realidade não me parecem ainda existir factos que apontem para a necessidade de começarmos já a pensar em construir uma arca de Noé cibernética!
No entanto, se analisarmos a dimensão da "Confidencialidade" da segurança da informação, talvez o dia em que tudo muda não só não esteja muito longe como talvez possa já ter ocorrido. O requisito da "Confidencialidade" tem a capacidade de poder ser o mais mediático e barulhento, quando associado a todo o voyeurismo que a cultura “Big Brother” nos habituou, mas por outro lado também é aquele que, de forma silenciosa, tem vindo a alterar a forma como lidamos com as Tecnologias. Quando somos todos os dias confrontados com novos casos mediáticos de utilização de recursos tecnológicos como arma privilegiada de suporte a “guerras” com fins de defesa nacional ou ataque comercial, é natural que um estado de paranóia se instale na sociedade global e que exista uma sensação generalizada de que passámos a andar acompanhados por um duende norte-americano, um chinês e um russo para todo o lado que vamos .
Sem dúvida estamos a entrar numa nova era onde as Tecnologias de Informação e Comunicação estão a colocar em causa muitos dos dogmas e alicerces da sociedade como a conhecemos. Como tal, o s desafios da ciber-segurança deverão sempre ser analisados tendo em conta as perspetivas de oportunidades e evolução, mais do que de ameaças e destruição.
O fenómeno Global é sem dúvida o centro de toda a discussão que envolve a ciber-segurança e ignorar esse facto é ignorar, mais uma vez, as oportunidades e as ameaças envolvidas. A tabela seguinte apresenta alguns cenários onde se pode ver como minimizar ou exagerar a utilização e o o impacto da ciber-segurança pode afectar o sucesso ou insucesso num contexto empresarial:
Nome | Origem dos recursos | Utilização/ objetivos dos recursos | Efeito da ciber-segurança |
Localização ou “Orgulhosamente sós” | Local | Local | Será que ainda existem Organizações que conseguem não ser afeadas de forma direta ou indireta por Tecnologias de Informação e Comunicações? Talvez existam casos muito - mas mesmo muito - concretos em que tal seja possível e só a ausência de utilização de Tecnologia poderá significar ausência de exposição a recursos Globais e consequentemente ao tema da ciber-segurança. Só mesmo ignorando todas as oportunidades se pode ignorar qualquer ameaça. |
Globalização [3] | Global | Global | Este é sem dúvida o cenário mais afetado pela ciber-segurança mas aquele que melhor caracteriza os tempos em que vivemos. Gerir os riscos de utilização de recursos Globais e explorar oportunidades Globais é quase um desígnio de qualquer Organização ou indivíduo. |
Glocontrol | Local | Global | Em toda a história da humanidade existiram super-potências. Se outrora os dotes da navegação dos mares foram um fator crítico de sucesso, sem dúvida que hoje as super-potências são as Organizações relacionadas com controlo de fontes de energia ou Tecnologias. Como tal, os detentores das Tecnologia são hoje os novos conquistadores, sendo muitas vezes vistos como os “agentes do mal” que tentam dominar o mundo a partir das suas cadeiras do poder. Se no caso dos detentores da Energia este cenário possa fazer sentido, no caso dos fornecedores de Tecnologias de Informação e Comunicações parece-me um cenário mais difícil de concretizar pelo que o mais natural seja considerar sempre o Global-Global. |
Glocalização [4] | Global | Local | Este é provavelmente o cenário em que um maior número de Empresas utilizadoras de Tecnologias de Informação e Comunicações se encontra. Perante a necessidade de criação de valor ao nível local vêm-se confrontadas com a necessidade de utilização de recursos Tecnológicos Globais. Se as ameaças de dependência externa são uma realidade (resultantes da hiperconectividade), as oportunidades e as vantagens competitivas de adaptação e utilização de recursos inovadores deverão ser o principal foco da discussão. Veja-se o caso dos serviços da nuvem ( cloud ) prestados por grandes players mundiais que, apesar de disponibilizarem ao mundo novas soluções para suporte à inovação, continuam a ser por muitos considerados os novos “cofres do mundo” onde toda a informação é armazenada e onde as ameaças associados a um “single point of failure” são apontadas como a principal ameaça. |
Num mundo cada vez mais conectado, visões primitivas de responsabilidade de “Estado Nação” orientadas a fronteiras físicas são cada vez menos razoáveis, devendo colocar-se na agenda da discussão universal o papel que as Tecnologias de Informação e Comunicação poderão e deverão ter no desenvolvimento da humanidade, garantindo que são consideradas as oportunidades mas também as enormes responsabilidades de gestão das ameaças associadas.
Espero ter ajudado,
Bruno Horta Soares, CISA®, CGEIT®, CRISC ™ , PMP®
"The more you know, the less you no!"
Para enviar as suas questões, dúvidas ou comentários para o "Consultório PortalGSTI" deverá utilizar o email: consultorio@portalgsti.com.br
[1] http://www.mistieurope.com/default.asp?Page=65&ProductID=16839&LS=cso
[2] http://pt.wikipedia.org/wiki/I_Don%27t_Want_to_Miss_a_Thing
[3] http://pt.wikipedia.org/wiki/Globaliza%C3%A7%C3%A3o
[4] http://pt.wikipedia.org/wiki/Glocaliza%C3%A7%C3%A3o