As aplicações são desenvolvidas com o intuito de dar resposta a um conjunto de requisitos de negócio. Uma falha na resposta a estes requisitos poderá ter um elevado impacto e constituir um risco acrescido para a atividade mas normalmente é detetável
Uma aplicação com vulnerabilidades ou baixo nível de segurança é “silenciosa”. Far-se-á notar apenas quando essas vulnerabilidades são descobertas e começam a ser exploradas. Nesta altura os impactos poderão ser bem superiores aos de uma falha num requisito de negócio. Então como se organizam as equipas que controlam este risco? Serão os Centros de Excelência em CiberSegurança uma solução? As ameaças estão cada vez mais sofisticadas e industrializadas graças a uma forte transformação digital. Embora os benefícios desta sejam sobejamente conhecidos, os riscos associados evoluem a uma rapidez incrível que nos obriga a reforçar as políticas de deteção, resposta e recuperação de incidentes. Isto torna a área de CiberSegurança fascinante mas de extrema complexidade. Centros de Excelência são claramente interessantes e oferecem soluções a problemas como a escassez de perfis TI à escala mundial, alargando a base de procura para alimentar as necessidades de profissionais talentosos! O sobejamente conhecido nível técnico dos nossos profissionais de TI é então conjugado com boas soft skills, permitindo a integração em organizações complexas, muitas vezes presentes em diversas localizações. A incrível adaptabilidade permite-nos também catapultar e atingir níveis de produtividade muito interessantes com uma qualidade ímpar. As responsabilidades do Centro de Excelência variam consoante o modelo operacional escolhido. Podemos ter modelos de extensão das equipas centrais onde os principais objetivos serão, por exemplo, a análise de riscos de segurança e potenciais impactos, o assegurar da robustez da segurança dos sistemas e gerir os incidentes de segurança como um data breach. Já em modo Shared Service Centre, toda a responsabilidade recai no Centro de Excelência. Por experiência, dada a criticidade que este tipo de iniciativas demonstra e a visibilidade que as mesmas têm por parte do comité executivo das organizações, o modelo de equipa estendida é o privilegiado, potenciando um melhor controlo. Esta vertente de Centro de Excelência é claramente a mais rápida de implementar e a mais versátil pois permite evoluir o modelo operacional de acordo com a maturidade. É uma boa forma de conciliar proximidade e olhar crítico extremamente valioso, nomeadamente em funções de auditoria e controlo permanente. Para além disso, permite uma riqueza e complementaridade de talento que é uma mais-valia para qualquer organização. Sendo a responsabilidade partilhada, as tarefas de valor acrescentado são também partilhadas e os processos idênticos, o que facilita a formação e posterior partilha de conhecimento. Aspeto importante a ter em conta nas equipas de um Centro de Excelência é a formação em temas tipicamente não abordados ou áreas na qual não haverá experiência prévia. Um bom exemplo é o conhecimento de regulamentação internacional como a LPM (Loi de Programmation Militaire) ou SNCM (Singapore National Cybersecurity Masterplan). Dado o cariz multinacional das organizações, há uma clara necessidade de criar capacidade de formação adaptada que representa um investimento nas pessoas que compõem o Centro e que se apoie no conhecimento já existente para potenciar a aprendizagem de novos conceitos. Em suma, uma abordagem baseada em Centros de Excelência é válida para atividades sensíveis como a Cibersegurança! Encontrar as pessoas certas, providenciar- lhes as ferramentas corretas e a formação adequada é o ponto de partida para esta aventura, que é, sem dúvida, chave para a organização global das grandes empresas. |