Pessoas e empresas estão consciencializadas e sensibilizadas para as questões da cibersegurança e, sobretudo, para que se encontrem respostas de minimização dos riscos de ataques informáticos.
Contudo, persistem dois problemas que têm vindo a tornar-se mais complexos.
O primeiro, passa pela complexidade da decisão das empresas sobre quanto, onde e como se devem aplicar os investimentos em cibersegurança. É um tema recorrente porque, na verdade, há muitas formas de abordar este desafio. E sejam quais forem as soluções, o facto é que as opções têm sempre de ser eficientes do ponto de vista tecnológico, do investimento e da organização dos recursos.
Por exemplo, o External Attack Surface Management (EASM) é reconhecidamente uma componente essencial para a definição de uma estratégia robusta de cibersegurança para qualquer empresa.
E as razões são várias.
Desde logo, porque o EASM concentra-se na identificação e compreensão dos pontos de entrada que um invasor pode explorar para obter acesso não autorizado aos sistemas e dados de uma organização. Através do EASM conseguimos ter uma visão abrangente da pegada digital de uma organização, desde sistemas a portas, serviços, tecnologias e aplicações, mas também nos dá a visibilidade sobre potenciais vulnerabilidades de toda a infraestrutura digital exposta.
Depois, permite reduzir os riscos, porque faz a monitorização e avaliação contínua da chamada superfície de ataque, a qual permite, entre outras, identificar proativamente configurações incorretas e mudanças na infraestrutura em tempo real. Por fim, porque melhora substancialmente a capacidade de identificação e gestão de vulnerabilidades, o que permite, depois, fazer uma alocação otimizada dos recursos e a garantir que os investimentos em cibersegurança se concentram nas áreas que mais necessitam deles.
Contudo, esta é só uma das dimensões do problema. A outra dimensão que está a ganhar complexidade e a deixar as empresas em sérias dificuldades, é a dimensão regulatória da cibersegurança.
É que, em breve, haverá mais uma diretiva a entrar em vigor, desta vez para impor ao sector financeiro a implementação de medidas proativas de cibersegurança, nomeadamente através de testes frequentes como o EASM.
De seu nome DORA, esta diretiva é para aplicar a partir de janeiro de 2025 e este novo layer de regulação vem acrescentar complexidade a uma teia de regulamentos e legislações que deixam qualquer gestor à beira de um ataque de nervos. Nomeadamente, porque é praticamente impossível estar em conformidade com todas as exigências. Mas não só. É que a esta camada de regulação dedicada à cibersegurança, é preciso, ainda, juntar a que diz respeito à proteção de dados. E o verdadeiro problema não é, apenas, a regulação, mas sim as pesadas coimas previstas.
O confronto entre estas duas realidades tecnológicas e regulatórias transforma qualquer decisão sobre investimentos em cibersegurança um verdadeiro quebra-cabeças. É que além do investimento em tecnologia, acresce o investimento em advogados e em auditorias técnicas e jurídicas, ou em certificações, que somadas, podem não caber na folha de cálculo.
No entanto, a diretiva DORA preconiza uma solução para esse desafio com a referida exigência de testes frequentes, os quais são, comprovadamente, uma excelente forma de construir e consolidar uma boa política de cibersegurança, porque nos dão acesso a uma informação crítica para o processo de decisão: conhecer o que está exposto e com que grau de vulnerabilidade.
A DORA não é a deusa da cibersegurança, mas podia. Ao preconizar o EASM como solução, permite que não se gaste tempo, nem dinheiro, a tentar proteger o que não se conhece.
O estranho, é que seja preciso uma lei para perceber esta máxima.
