A sociedade da informação em que vivemos, nesta fase de progressiva virtualização, tem revelado as suas vulnerabilidades e cedido perante a crescente ação criminosa. O acesso generalizado das pessoas às tecnologias de informação e comunicação faz transitar para o mundo virtual grande parte da vida real quotidiana criando formas de equivalência ou até de extrapolação da realidade.
O virtual não se opõe ao real, antes mimetiza-o e prolonga-o. No eixo da virtualização da sociedade da informação continuam a estar as pessoas.
O referido acesso generalizado às tecnologias de informação e comunicação e a esse mundo virtual foi facilitado de diversas formas, mas não foi acompanhado pela generalização do conhecimento quanto ao correto modus vivendi nesse prolongamento da realidade.
Dito de outro modo, a generalidade das pessoas entrara nesse novo mundo pela via das óbvias facilidades comunicacionais criadas, por exemplo, pela disseminação das redes sociais, pela proliferação de jogos, pela disponibilidade da informação dos jornais online e dos blogues, ou pela criação de canais de acesso simplificadores e desburocratizantes.
A maioria das pessoas não só não tinha um conhecimento apropriado a funcionar de forma integral em ambiente virtual, como esqueceu ou menosprezou os conhecimentos aprendidos na vida real.
Desde cedo na nossa vida que somos educados para, e interiorizamos, procedimentos de segurança que, por vezes, nem consideramos como tal, e que passam por regras de bom senso e de funcionamento básico em sociedade. E esses procedimentos e comportamentos são da mais variada natureza.
A título meramente exemplificativo, não deixamos objetos de valor em qualquer lado sem as devidas cautelas, não partilhamos publicamente informação sensível sobre nós e os nossos, circulamos com cautela em áreas mais esconsas das cidades, evitamos áreas menos recomendadas, fechamos a porta das nossas casas e empresas à chave e com códigos de acesso, instalamos alarmes e videovigilância, acompanhamos os nossos filhos, ensinamo-los, entre outras coisas, a não aceitar ofertas de estranhos, desligamos o gás e a luz antes de sairmos, verificamos as portas e janelas, fazemos tantas coisas que, na prática, não são mais do que procedimentos securitários.
No fundo, interiorizámos uma miríade de comportamentos que visam apenas reduzir as nossas vulnerabilidades face a potenciais ameaças e, consequentemente, o risco para a nossa vida pessoal e profissional.
No mundo virtual, das redes sociais, dos nossos computadores e telemóveis, até dos servidores das nossas empresas, a maioria de nós esqueceu-se de tudo, ou quase, desses procedimentos básicos. Somos capazes de anotar as nossas passwords em autocolantes no exterior do computador, partilhamos passwords e códigos de acesso, abrimos e-mails e links sem saber de onde vêm e quem os enviou, colocamos informação pessoal nas redes sociais desconhecendo como isso nos expõe e visitamos regularmente locais virtuais menos recomendados e frequentados pela pior espécie de gente, sempre com a ideia de que, através do nosso computador ou telemóvel, “não somos vistos”.
Paradoxalmente, sentimo-nos mais em segurança em frente a um aparelho ao qual confiamos os nossos segredos, pessoais e profissionais, e que constitui uma enorme janela pela qual todo a gente olha e entra no nosso espaço privado, do que na rua no meio das pessoas.
Falsa sensação de segurança. O mundo virtual está cheio de lugares esconsos e escuros, frequentado pelos piores seres humanos. O crime e os criminosos também encontraram nesta virtualização uma continuidade da sua vida real.
Mas não são apenas as pessoas que, neste mundo virtualizado, não tomam os cuidados necessários para proteger o que de valor aí existe.
As organizações, empresas privadas e instituições públicas, com raras exceções, também pouco ou nada fazem em matéria de segurança da informação ou em matéria de cibersegurança.
Separo as duas questões porque são noções distintas. A segurança da informação engloba a quase totalidade da cibersegurança ou segurança informática.
A segurança da informação compreende um conjunto de normas, procedimentos, práticas e técnicas que visam salvaguardar a totalidade do acervo de dados ou de informação privada de uma organização ou pessoa, quer sejam guardados em suporte digital ou físico. Para a segurança da informação concorrem a segurança física ou de instalações, a segurança das pessoas e bens, a segurança eletrónica e a cibersegurança ou segurança informática.
A cibersegurança define as normas, metodologias, práticas e procedimentos, que garantam a proteção de dados ou da informação no ciberespaço.
Muitos dos incidentes que catalogamos genericamente como ciberataques têm na sua origem incidentes de segurança de informação, em particular procedimentos incorretos e falhas incorridas por pessoas.
Tal como na vida real, o risco resulta da equação de duas variáveis, a vulnerabilidade e a ameaça. Se não possuímos informação sobre a forma, natureza ou tempo da ameaça, a única variável com que podemos realmente trabalhar para reduzir o risco é a vulnerabilidade. É o que se faz normalmente na vida real e quase nunca se faz na vida virtual.
Em relação às organizações, públicas ou privadas, a situação é semelhante, sendo que neste caso incide sobre as mesmas um ónus específico de proteção dos dados privados dos cidadãos, consagrado no Regulamento Geral de Proteção de Dados.
Não quero dizer com isto que muitas empresas privadas e instituições públicas não façam, já há algum tempo, um grande investimento no reforço das suas capacidades de cibersegurança.
A questão é que normalmente fazem-no mal.
O investimento em software, clouds, encriptação, firewalls, etc. sendo muito importante, não é o mais importante, pelo menos não por essa ordem.
Aliás, como bem se pode ver, tanto organizações tecnológicas, aparentemente bem dotadas em matéria de cibersegurança, como outras menos bem apetrechadas, são igualmente vítimas de ciberataques virulentos e penalizadores.
Muitas dessas organizações, e os seus responsáveis técnicos, antes desses incidentes diriam, como disseram, que tinham toda a defesa montada e que a mesma seria quase intransponível. E mesmo depois do incidente ocorrido muitos ainda têm dificuldades em perceber o que é que falhou.
Para descanso dos mesmos, e para evitar juízos demasiado críticos, é importante dizer que entendo que não existe capacidade de defesa absoluta contra ataques cibernéticos. Contudo, é fundamental que as organizações comecem, de uma vez por todas, a compreender que a segurança da informação e a segurança informática, ou cibersegurança, é, em primeira linha, uma das políticas centrais da condução da atividade da mesma. Não são assuntos técnicos, mas sim temas de governança (governance).
A questão da informação privada, para além do já referido impacto na proteção de dados privados, com as consequentes penalizações para a organização que os guarda, tem impacto direto no P&L das empresas, no seu capital intelectual, na goodwill, no fundo, nos bens intangíveis da empresa.
Também as organizações públicas, não se preocupando com o P&L, deverão acautelar o impacto que um incidente securitário desta natureza pode ter no erário público e, mais importante, na relação de confiança dessa entidade com os cidadãos. Numa sociedade que por definição é cada vez mais virtualizada, não tardará muito que incidentes deste género prejudiquem irremediavelmente pessoas titulares de cargos públicos.
Nenhuma organização, qualquer que seja a sua natureza, deveria implementar o que quer que fosse em matéria de cibersegurança sem primeiro proceder a uma auditoria a todo o seu dispositivo de segurança de informação e segurança informática, sem implementar instrumentos de avaliação do seu risco cibernético, preferencialmente com um ranking de performance que lhe permita comparar a sua performance com outras entidades do mesmo género, sem ter uma avaliação objetiva do seu nível de cumprimento do RGPD, sem conhecer e ter mapeados todos os seus ativos cibernéticos, sem definir uma política interna de segurança de informação e, sobretudo, sem ter todos esses elementos estruturados e integrados no processo de informação de gestão da liderança.
E o início da implementação das normas, métodos, práticas e procedimentos deveria sempre começar pela vertente da segurança de informação, visando o reforço do elo mais fraco do sistema, a pessoa.
