transformar a cibersegurança: o papel vital das soft skills na comunicação IT - Negócio

Não faz assim tanto tempo, em que, na maioria das empresas, existia o negócio e, à parte, possivelmente meio escondidos numa cave, existia o IT.

Assim de repente, ninguém se lembrava do IT. Ele apenas existia nas sombras. A abrir computadores, a configurar servidores, a programar, a fazer uma série de coisas meio estranhas, enfim, as coisas técnicas e misteriosas que as pessoas do IT costumam fazer. 

No passado, estes dois mundos - negócio e IT - quase não se encontravam, a não ser que algo não estivesse a funcionar:

• Falhou a internet? 
• O PC não está a funcionar?
• Onde está o IT?

Claro que, nos nossos dias, isto já não se verifica, este é até um pensamento bem antiquado. 

Atualmente, a tecnologia em todas as suas vertentes, necessita de estar integrada nas organizações já que é fundamental para o funcionamento das empresas, mesmo que não seja o seu “core business”.

Isto é particularmente evidente em relação à área de IT de segurança da informação. A cibersegurança das empresas é um tema tão presente e pode impactar de tal forma as organizações, que esta área da tecnologia passou a fazer cada vez mais parte das decisões e, já dita, inclusive, algumas regras de negócio.

Contudo, por outro lado, o IT, não deixou de ser um “pessoal meio esquisito”, que diz coisas que ninguém entende e que são conhecidos por trazerem más notícias. São, por natureza, pessoas complicadas e no mínimo falam de forma confusa.

Muitas áreas de negócio chegam até a encarar a cibersegurança como uma espécie de pedra no sapato. Dizem sobre a segurança: “eles restringem tudo, limitam tudo, só criam entraves, fazem com que tudo demore muito mais tempo e para eles existe sempre um perigo escondido do qual ninguém se iria lembrar.” Ou será que iria?

as más notícias

No último World Economic Forum, na conferência da Global Cybersecurity Outlook 2023, foram apresentadas as tendências da cibersegurança a nível mundial, as que mais vão afetar as sociedades e as economias.

A conclusão apresentada foi que, até 2025, o custo da cibersegurança, em resultado de crimes, fraudes, chantagens e extorsões, pode custar à economia mundial aproximadamente 10.5 trilhões de dólares.

É que eu nem sei escrever isto em números…

Felizmente para mim, o Primeiro Ministro da Albânia, Edi Rama, um dos quatro nomes do painel dessa conferência, explicou que se o custo da cibersegurança fosse um país, seria o equivalente ao 3º maior PIB do mundo - ficaria só atrás dos EUA e da China.

Certo é que a subida tem sido constante e muitos fatores a explicam: aumento de transações online, pandemia, desenvolvimentos geopolíticos, crise energética, o próprio desenvolvimento da tecnologia e o aparecimento de novas inovações, entre tantos outros fatores.

Certo é também que a frequência e a complexidade dos ciberataques cresceram significativamente após a pandemia e com o desenrolar da guerra na Ucrânia.

Em suma, o que Edi Rama relembra é que o mundo corre o risco de uma catástrofe cibernética, não num futuro distante, mas sim, nos próximos 2 anos. Ele sabe bem do que fala, já que a Albânia sofreu um ciberataque em julho de 2022, que afetou toda a infraestrutura crítica e que paralisou as comunicações dos serviços públicos, colapsou os sites do governo e chegou a desativar os sistemas de controlo das fronteiras do país.

pode estar mais perto do que parece

E não pensem que só acontece na Albânia, na mesma época Portugal sofreu vários ciberataques a estruturas governamentais.

Mas os ataques não são só em grande escala e a grandes alvos. O que é realmente esperado é que grande parte destes custos de que se fala, os tais 10.5 trilhões de dólares, sejam o preço a pagar em ataques menores e a alvos mais simples e, por isso, menos preparados.

Entende-se que os ataques venham a ser perpetuados principalmente através de phishing e da cada vez mais sofisticada ação da engenharia social, mas também de forma puramente técnica, através de novas formas de malware e ransomware, que também estão cada vez mais elaboradas.

O resultado será cada vez mais casos de fraudes, de chantagem, de extorsão e de roubo de identidades. E quem são as potenciais vítimas destes ataques? As vítimas vão ser as pequenas e médias empresas, assim como as pessoas. Isto é, cada um de nós.

E é claro que, por isto, as equipas de segurança da informação são no geral encaradas como portadoras das más notícias. Contudo, é fácil concordar que estes números são bastante impressionantes e estas possibilidades bastante assustadoras.

Se estes crimes acontecem, e acontecem cada vez mais, é porque alguém se lembra de que nem sempre as pessoas estão informadas, nem sempre as empresas estão blindadas e devidamente protegidas e, que em muitas delas, o IT continua escondido nas caves.

os diferentes idiomas de IT e negócio

O possível impacto deste panorama é realmente alarmante, por isso, é necessário alinhar e integrar cada vez mais negócios e  IT e manter todos sempre informados - trabalhar na chamada resiliência cibernética.

Mas para que estes 2 mundos se compreendam, é preciso que a comunicação flua; e aqui ainda existe um problema de entendimento, como se o IT e o negócio falassem idiomas diferentes. Lá está, o IT, por vezes, continua a ser “aquele pessoal” que fala coisas que ninguém entende.

A empresa de cibersegurança Kaspersky publicou recentemente um estudo intitulado “Separados por uma linguagem comum: podem os executivos C-level decifrar e agir perante a ameaça real dos ciberataques”  - um título comprido, mas que explica bem o tema.

Este estudo revelou que 52% dos gestores de C-level não estão relacionados com IT, ou seja mais de metade dos executivos em Portugal, considera que os ataques de cibersegurança são o maior risco a ser enfrentado pelas empresas, contudo referem que não conseguem, ou sentem dificuldades, em definir prioridades de ação.

Este mesmo estudo revelou ainda que 98% das empresas, portanto quase todas, já experimentaram algum tipo de falha na comunicação com as equipas relacionadas à segurança de IT.

Estas falhas levam a consequências, consequências que vão desde pequenos atrasos em projetos, até incidentes de segurança com implicações e custos.

O motivo? Apresentam vários, mas o principal culpado foi apontado como sendo a linguagem confusa usada em cibersegurança. Mais de um em cada dez executivos (não técnicos) nunca ouviu falar de ameaças como Botnet, APT e zero day exploit, ou de termos como DecSecOps, ZeroTrust, SOC e Pentesting.

As dificuldades de entendimento de certo não se limitam ao C-level, acontecem em todas as camadas, entre técnico e não técnico.

traduzir para uma linguagem comum

Mas como traduzir a cibersegurança para o risco? Sem jargão técnico.

Será que um dashboard que mostra quantos patches foram aplicados faz sentido? Será que ter um indicador que mostra o desempenho de um servidor, explica o risco?

Ao falar com uma área não técnica pode ser mais relevante traduzir para algo comum:

• reputação da empresa,
• impacto financeiro,
• impacto legal,
• impacto operacional, se for explicado ao negócio o que pode parar, é quase certo que a mensagem vai ser recebida. 

É fácil? Não. Para trazer um assunto lá da “cave onde fica o IT” é por vezes necessário percorrer uma distância grande. Até porque no caso da segurança da informação o risco não é uma ciência exata, nem tudo é possível de ser medido em valores e nem sempre as respostas são binárias, como geralmente o negócio gosta. 

Mas a perceção do risco é algo que facilmente pode ser entendido por todos e só esse entendimento pode levar a que a segurança e a resiliência sejam incorporadas em todos os aspetos da organização.

competências, além da capacidade técnica

Por isso, a tendência de formação para os profissionais de cibersegurança, em especial dos que necessitam contactar com áreas não técnicas, está cada vez mais a abranger 4 pilares:

• conhecimento técnico
• habilidades relacionadas com as soft skills
• habilidades de gestão
• habilidades políticas (onde se inclui aprendizagem de métodos facilitadores da comunicação)

É preciso entender qual o ambiente onde se está. É importante traduzir numa linguagem que seja aceite, que seja entendível. A comunicação não consiste só no que eu digo, mas sim no que o outro entende. Caso contrário a área técnica não vai comunicar, vai só falar.

o risco desconhecido é sempre o mais perigoso

Por outro lado, o estudo referido, também aponta que, nas equipas não técnicas, há muitas vezes relutância em mostrar alguma falha no conhecimento. Outras vezes, as equipas não técnicas não têm a confiança de que o profissional de IT possa explicar de forma clara, pelo que preferem nem perguntar ou ver depois. Isto é crítico. 

A cibersegurança, ou o IT, não são as únicas áreas responsáveis pela segurança da informação da empresa, esse é um trabalho conjunto. De todos. 

Cada elemento da empresa tem a sua responsabilidade e faz parte da chamada grande firewall humana que protege a organização.

As áreas de Segurança da Informação e Proteção de Dados são fundamentais para garantir a continuidade do negócio, principalmente num cenário como o do mundo atual, de uma cada vez maior digitalização e uma cada vez maior abertura para uma visão tecnológica.

É preciso estar consciente de que o impacto de um ataque cibernético pode ser muito significativo para as organizações, e ter em consideração perdas financeiras, sanções e perdas de reputação, que causam muitas vezes danos incalculáveis. O risco desconhecido é sempre o mais perigoso.

segurança da informação, um trabalho conjunto

Paralelamente, é extremamente importante que a segurança da informação, assim como outras áreas técnicas, consigam mostrar que existem para ajudar, promover, e permitir que o negócio funcione e consiga executar os projetos. Sendo que o objetivo da segurança da informação é tornar o caminho do negócio mais seguro e com menos obstáculos.

Em resumo, e até porque já comecei a falar em firewalls e gostava de evitar ao máximo cair nos erros de comunicação que aqui apresento, é importante lembrar que o mundo é dinâmico. Tal como as necessidades do negócio crescem e evoluem conforme os negócios crescem, as necessidades de cibersegurança também mudam, e a uma velocidade muito elevada; cabe aos profissionais das áreas técnicas acompanhar o desenvolvimento dessa realidade. Mas sem partilha e sem comunicação entre as partes não se chega a lado nenhum.

A resiliência cibernética só será conseguida com cooperação entre IT e negócio e, o presente diz-nos, que no futuro os negócios só vão poder crescer se a alcançarem.

No fim, estamos todos no mesmo barco, e o segredo da comunicação é a vontade. 

Se a vontade existir todos nós vamos conseguir entender-nos, nem que seja por gestos.

vamos tirar o IT da “cave”?

Por isso, e em jeito de conclusão diria:

ao pessoal do IT

1 - Lembrem-se que a comunicação tem 3 intervenientes: emissor, recetor e mensagem. Se qualquer um deles falhar, não estamos a comunicar.

2 - Traduzir é importante.

3 - Vamos estar abertos ao feedback e entender o que está ou não a dar resultado?

ao pessoal do negócio

1 - Por favor, partilhem e perguntem. Afinal, quem sabe perguntar consegue chegar onde quiser, olhem só o Chat GPT a provar que isso é verdade.

2 - Olhem para as sugestões do IT como se fosse um conselho das vossas avós. Não é para criar dificuldades mas sim para procurar soluções conjuntas e entender de forma consciente os riscos de forma a no mínimo estarmos preparados para atuar em caso de necessidade. É sempre para o vosso bem, não custa “levar um casaco” só por segurança

3 - Integrem, não deixem o IT de fora.

Vamos lá tirar o IT da cave de uma vez por todas?