Aproxima-se 2025 e, com ele, o virar de página para uma outra total e imaculadamente limpa, pronta a absorver os renovados propósitos para essa nova jornada de desafios que se avizinha. E se, invariavelmente, os votos se repetem, existem também eventos que, ano após ano, não deixam de carimbar o primeiro dia do calendário gregoriano com a sua indelével marca.

“E vem isto, na verdade, a título de quê?”, pensará por esta altura o leitor. Bom, mais uma vez não tive a sorte de ser contemplado no sorteio da Orquestra Filarmónica de Viena para o “Concerto de Ano Novo”.

Todos os anos, a tômbola (ainda que virtual, como é usual nos dias de hoje) gira e apenas os mais afortunados ficam habilitados a adquirir entrada para assistir presencialmente ao evento.

Este acontece ininterruptamente há mais de oito décadas, sendo televisionado há mais de três, com as audiências atuais estimadas em torno dos 50 milhões de telespetadores e devido à elevada procura a aquisição do ingresso está pendente de ser contemplado num sorteio prévio.

A relação do Concerto de Ano Novo e a Cibersegurança

E se, por ora, creio ter ficado explícito o parágrafo introdutório, tenho para mim que impera contextualizar o corpo deste artigo nas próximas linhas.

Na verdade, já por muitas vezes me atentei a tal espetáculo (ainda que, conforme já percebeu, apenas pela televisão…) e por todas elas me constato a pensar na exequível e até sensata analogia entre o “Concerto de Ano Novo” e respetivo papel do maestro na direção da orquestra, com o papel de um CISO (Chief Information Security Officer) a conduzir uma Avaliação do Risco da Segurança da Informação.

Comecemos pelo princípio!

Ainda que, ao longo do ano, existam vários concertos, este é, sem sombra de dúvidas, o main event. É sobre esta execução que recaem as atenções e mais fundadas expetativas de milhões de pessoas amantes da música clássica. E, bom, se as expetativas são grandes, a responsabilidade de ter sobre os ombros a condução de tal espetáculo com certeza não será menor.

Afinal de contas, é o marco anual para medir o pulso a todo um árduo trabalho de preparação e afinação que se espera culminar num propalado sucesso. É, no fundo, aqui que o indispensável e inegociável rigor começa a marcar pontos (e o quão isso é fundamental no que à Segurança da Informação diz respeito…!), mas também o primeiro ponto de contacto com a analogia que lhe proponho acompanhar.

Orquestrar uma avaliação do Risco da Segurança da Informação

Inevitavelmente, a realização de uma Avaliação do Risco da Segurança da Informação deve ser cuidadosamente preparada. Assim:

  • circunscrever e validar o âmbito e os propósitos da avaliação;
  • identificar e alinhavar a presença de todos os interlocutores interessados;
  • reconhecer o papel, responsabilidades e contributos que estes devem aportar ao exercício;
  • levantar as ameaças e vulnerabilidades do contexto;
  • identificar os ativos, definir critérios e ponderações.

Em suma escolher a partitura (leia-se metodologia) a seguir são passos fundamentais nesta obra!

Assim, diria que ensaia-se (ou inclusive dão-se concertos mais restritos) o quanto necessário for para que a execução da master piece saia a contento.

Pois, ainda que não rigorosamente inflexível, até porque de algumas variáveis poderá estar dependente, parece consensual entre a comunidade que a realização da avaliação com periodicidade anual (lá está tal como o “Concerto de Ano Novo”…) seja visto como um aceitável ponto de equilíbrio no rácio esforço/apetite ao risco.

Foto: © Wiener Philharmoniker / Dieter Nagl

A importância dos departamentos na Cibersegurança: cada naipe na orquestra

Dando sonoridade a esta analogia, podemos olhar para um organograma e perceber que cada departamento, assim como os distintos naipes de uma orquestra, contribui para a riqueza da tessitura.

Os metais e madeiras podem representar os setores financeiros, emitindo notas de estabilidade e elaboração estratégica que sustentam as opções sobre os destinos da organização gizados pelo Board.

As cordas, os Recursos Humanos, que, dia após dia, envidam esforços para tecer uma trama de relações laborais sólidas que se desejam duradouras e que visam assegurar a retenção dos melhores e mais promissores talentos, bem como daqueles experientes e renomados executantes que são, no fundo, a prata da casa.

Enquanto da zona da percussão ressoa o departamento de IT, que se deve destacar pelas implementações robustas, confiáveis e mutáveis às necessidades cada vez mais oscilantes das organizações, permitindo que toda a infraestrutura tecnológica atue como o extensor cognitivo que alavanca e possibilita a fluidez de operações que, sem tal suporte, se tornariam inviáveis.

Em resumo, e não indo mais longe nesta destrinça associativa, o reflexo da acertada identificação dos stakeholders intra-organizacionais deverá estar diante do maestro que conduzirá todo o exercício.

A metodologia e a partitura da Cibersegurança

Efetivamente, tal como os proeminentes compositores da música clássica dedicaram anos de estudo para criar as obras-primas que renomados maestros dirigem, as abordagens metodológicas reconhecidas resultam de aprofundada análise e reflexão. E, claro está, da validação por constatação da proficiência de diversas práticas que ao longo de anos e vários ciclos de melhoria a comunidade convencionou cunhar de “boas” e, por fim, verter em “normas”. Mas será isso suficiente?

Na essência, sabemos que cada composição musical é única, assim como deverá ser a metodologia que se aplica ao exercício de avaliação do risco. Por certo, esta haverá de ser composta por fases, atividades e tarefas que, devidamente ajustadas às idiossincrasias organizacionais, constituirão a partitura que se quer preconizar como estratégia sólida de avaliação e subsequente melhoria no garante da Segurança da Informação.

Todavia, assim como uma partitura não ganha vida sem a condução do maestro, as avaliações do risco carecem de um líder capaz de dar ênfase aos diversos departamentos e setores da organização.

Tal qual as peças magistrais interpretadas no “Concerto de Ano Novo”, em Viena, esta sinfonia exige meticulosidade, coordenação e, acima de tudo, uma apreciação cuidada dos insights que todas as partes envolvidas podem emprestar ao exercício.

Posto isto, é nesta figura que assume a batuta para coordenar os esforços, destacando a importância de cada naipe que pretendo centrar doravante o foco.

Assim, à semelhança de um maestro erudito, o condutor da avaliação do risco deve estar atento aos detalhes, ajustar o ritmo conforme necessário e alertar para possíveis dissonâncias. Esta sinfonia requer uma regência constante, com um feedback preciso e uma auscultação cuidadosa de todos os envolvidos, reforço.

Por vezes, ser contundente e imperativo nos gestos manifesta-se necessário para que o andamento não se perca! Por outras, impõe-se dirigir a orquestra para um adagio lento e sereno, passe a redundância. E é, precisamente, neste ponto que o conhecimento profundo da partitura, mas também da roupagem que se lhe pretende dar, num ponderado exercício de orquestração de todos os executantes que estão por diante e dos quais se deseja e deve retirar as melhores notas, são fundamentais. Sim, uma metodologia não chega per se.

Foto: © Arnaldo Colombaroli

Dissonâncias e silos de conhecimento na Cibersegurança

Por fim, tal como uma orquestra pode ser prejudicada por dissonâncias, todo este exercício também sairá afetado por eventuais notas fora de tom.

Por exemplo, hipotéticos silos de conhecimento organizacional atuarão como barreiras entre departamentos, impedindo a harmonização necessária. Esta ausência de transversalidade na disseminação do conhecimento poderá ser a nota dissonante que obliterará uma execução irrepreensível com impacto pesaroso na segurança da organização; numa pauta equivalente executantes com diminuído ou deslocado envolvimento nos processos de “awareness, education and training” poderão comprometer toda a melodia; enquanto dificuldades e assimetrias na identificação, classificação e preservação dos ativos primários mais críticos para o negócio irão desvanecer a tonalidade e força da obra!

Neste palco da segurança, a metodologia será sempre a partitura que guiará toda a sinfonia, mas a beleza da melodia dependerá dos executantes e muito da habilidade do maestro em coordenar toda a orquestra, tirando as melhores e mais ajustadas notas desta, superando as dificuldades sem nunca perder o rigor harmonioso da obra que todos esperam escutar.

Uma sinfonia de Cibersegurança duradoura

A nós, consultores da área de Cibersegurança da Axians Portugal, cabe-nos continuar por cá, aprofundando os conhecimentos teóricos e técnicos a cada dia, discutindo estratégias, melhorando as nossas habilidades para condução de diferentes orquestras, acompanhando tendências, preparando várias partituras e roupagens aplicáveis à medida dos nossos clientes.

Na certeza de que será com o afincado e resiliente empenho que nos caracteriza na busca pela excelência na execução deste complexo, mas desafiador exercício, que as organizações com as quais trabalhamos poderão desfrutar de uma sinfonia de cibersegurança ressoante e duradoura!