a responsabilidade da Cibersegurança não pode continuar fechada no IT. Já não é apenas um tema tecnológico; é uma responsabilidade organizacional que exige envolvimento da gestão e capacidade de traduzir risco para a linguagem da decisão, avisa David Grave.
Por David Grave (*)
A maturidade em Cibersegurança não se compra nem se decreta por transposição legislativa. Constrói-se quando diferentes perspetivas conseguem sentar-se à mesma mesa.
Durante anos, muitas organizações perguntaram quanto custava cumprir. Hoje, a questão que se coloca é outra: quanto custa não cumprir? Esta e outras questões dificilmente se respondem numa única organização, mas podem começar a ganhar forma quando diferentes realidades se encontram na mesma sala.
Porque as consequências fazem-se sentir no dia a dia de todos. O custo da não conformidade não vive apenas nas multas. Vive nas operações interrompidas, na reputação comprometida, nos clientes que deixam de confiar, na propriedade intelectual exposta e na vantagem competitiva perdida. Vive também na falsa sensação de segurança que resulta de olhar para a Cibersegurança como um exercício de conformidade e não como uma questão de resiliência.
A NIS2 veio acelerar este debate, mas não o resolve por si só. Uma diretiva pode impor mínimos, clarificar responsabilidades e obrigar a prestar contas. Mas, sozinha, não consegue criar uma cultura de segurança nem alterar a forma como as organizações encaram o risco.
A ameaça mudou de natureza. A segurança económica, a espionagem industrial e a proteção das infraestruturas críticas passaram a fazer parte da mesma equação. É neste contexto que urge afirmar um enquadramento que continua a faltar à maioria das conversas técnicas: a soberania digital já não cabe em discursos solenes.
Hoje, a soberania digital traduz-se numa pergunta concreta: quem controla a infraestrutura, os dados e as dependências de que um país ou uma organização não conseguem prescindir quando a situação aperta? A resposta a esta pergunta tornou-se determinante. A espionagem industrial deixou de ser um argumento de filme para passar a integrar o orçamento de risco de qualquer empresa com propriedade intelectual suficientemente valiosa para se tornar alvo de ataque.
Também por isso, mas não só, a responsabilidade da Cibersegurança não pode continuar fechada no IT. Já não é apenas um tema tecnológico; é uma responsabilidade organizacional que exige envolvimento da gestão e capacidade de traduzir risco para a linguagem da decisão.
É por isso que a NIS2 deve ser lida como um verdadeiro programa de transformação. Os requisitos legais não têm de ser um travão à inovação, desde que alguém consiga traduzi-los para a linguagem certa. E é aqui que o papel do CISO se torna decisivo: levar a mensagem para cima, com clareza.
Reconhecer que o tema deve subir ao nível da gestão de topo não significa que todas as organizações devam responder de igual forma. A mesma ameaça atravessa o Estado, as infraestruturas críticas e o setor privado, mas não encontra em todos o mesmo contexto, a mesma maturidade ou a mesma capacidade de resposta.
Há quem esteja ainda a organizar processos, há quem já trate a segurança como parte natural da operação e há quem tenha administrações que perceberam, há muito, o custo de não levar este tema a sério. Maturidades diferentes exigem respostas diferentes. Nenhuma realidade organizacional é igual a outra. É precisamente esta diversidade que falta a quem procura uma receita única e a vende como se ela existisse.
Existe outra ideia que importa desmontar: a tecnologia raramente é o problema. O que destrói projetos é quase sempre a pressa de implementar, o desalinhamento interno e a tentação de tratar a Cibersegurança como uma checklist regulatória – poucas vezes é a falha técnica. A organização que compra uma solução apenas para cumprir requisitos leva para casa a ilusão de estar protegida.
Na Cibersegurança, como em tantas outras áreas críticas, o conhecimento cresce quando diferentes perspetivas se cruzam. Quando Estado, empresas, academia, infraestruturas críticas e especialistas conseguem discutir os mesmos desafios a partir de realidades distintas, o resultado não é conforto. É fricção. E é dessa fricção que nasce a única coisa que escala melhor do que qualquer ferramenta para quem trabalha em silos: o conhecimento partilhado.
Portugal é pequeno. Costumamos tratar isso como uma desvantagem, mas é exatamente o oposto. Somos pequenos o suficiente para caber, de facto, numa sala: o regulador, o Estado, a academia, os serviços de informações, as infraestruturas críticas e quem as protege. Esta foi, aliás, uma das ideias que mais sobressaiu no recente Security & Compliance Day da Claranet Portugal, um evento que reuniu à mesma mesa os principais atores do ecossistema nacional de Cibersegurança. É uma vantagem de que poucos países dispõem.
A questão já não é se temos tecnologia à altura da ameaça. É se vamos usar essa vantagem antes de o próximo ataque nos obrigar a aprender da forma mais difícil.
(*) Cyber Security Senior Director da Claranet Portugal
Crédito: Link de origem