Num cenário ainda fortemente marcado pelo rescaldo da recente pandemia de covid-19 e cada vez mais moldado pela tensão geopolítica causada pelo conflito Rússia-Ucrânia, 2022 foi palco de um conjunto de ataques cibernéticos de grande escala nos mais diversos setores (dos media à saúde, passando pelas telecomunicações, retalho, entre outros). E, 2023 não se adivinha diferente.

Mas, ainda que se tenha registado um maior número de ciberataques nos últimos meses, a verdade é que o ciber-risco se adivinhava já como uma preocupação premente junto das lideranças. Olhemos para os números: para as empresas de todo o mundo, segundo o Global Risk Management Survey da Aon, os ataques cibernéticos são atualmente o risco que mais as preocupa (em Portugal, este risco encontra-se na 6ª posição). O mesmo relatório prevê ainda que, em 2024, o ciber-risco se mantenha no top das principais ameaças identificadas pelas organizações, diz ainda o mesmo estudo.

Uma coisa é certa: quanto maior a integração dos negócios com o digital – ainda que “abra portas” para um leque de vantagens competitivas – maior será a exposição das organizações ao ciber-risco. Mas será que, com a aceleração da digitalização da nossa economia, as nossas empresas têm conseguido dotar-se das skills e das ferramentas necessárias para mitigar o risco?

Complementarmente, de que forma estão as empresas a rever as suas estratégias de gestão do risco face à rápida evolução tecnológica? E como estará o atual cenário de risco a impactar todo este processo? Estas foram algumas das premissas que lançaram o debate para o terceiro “Think Tank | Global Risk Management” moderado pela jornalista Helena Garrido e dedicado, exatamente, à cibersegurança.

E, apesar de tudo, os participantes no debate consideram que as empresas portuguesas nem sempre olham para esta área com o devido “respeito”. Em Portugal, a cibersegurança “nem sempre é percebida como um risco”, considera Ricardo Negrão. O head of Cyber Risk da Aon Portugal lembra que as organizações “pensam que só acontece ao vizinho do lado, isto, mesmo depois de alguns casos mediáticos com a Vodafone ou a Impresa”. Neste caso, os números não mentem: “Na Aon, fazemos avaliação de risco e as organizações nacionais têm uma média abaixo de 1,7 para um máximo de 4.” No entanto, Ricardo Negrão sublinha que “mesmo a média europeia não é muito elevada, situando-se nos 2,5 em 4”.

Sendo assim, será que Portugal é um bom terreno para ciberataques, questionou Helena Garrido. Na verdade, “somos mais um entre tantos outros países”, acredita Isabel Baptista. A coordenadora do Departamento de Desenvolvimento e Inovação do Centro Nacional de Cibersegurança lembra que “a covid veio ajudar a agravar esta situação” já que “muitas organizações foram obrigadas a dar o salto digital sem estarem devidamente protegidas”. Isabel Baptista não deixa de lembrar que uma boa preparação em matéria de cibersegurança “custa muito dinheiro, o que leva as empresas a canalizarem os seus investimentos para as áreas core, descurando esta situação”.

Assim, “ao avaliarem mal o risco, as organizações não fazem um bom investimento”, diz Ricardo Negrão. Talvez por isso o cibercrime tenha conhecido, nos últimos tempos, “um crescimento significativo”, revela Isabel Baptista que fala apenas “naquele que é reportado e do conhecimento público”. Neste caso, “até março de 2022, os valores cresceram muito significativamente em todo o mundo”.

Manuel Dias, National Technology Officer da Microsoft Portugal, considera que, neste caso, “os sistemas informáticos são especialmente críticos nas PME” pelo que não se deve nunca “manter os sistemas isolados entre paredes e pensar que se consegue fazer tudo sozinho”. Manuel Dias fala, assim, na importância de se criar uma “estrutura de segurança informática que conte, por exemplo, com soluções Microsoft que permitem gerir e operar as empresas, de forma segura”. E, mesmo para as PME, é uma oferta “totalmente acessível, já que com poucas dezenas de euros se consegue ter uma solução de mail bastante segura, por exemplo”, recorda o mesmo responsável.

Regras para uma estratégia mais segura

São cinco as regras a ter em conta na caminhada para uma boa estratégia de cibersegurança:

A caminho da literacia digital

Mas, mais do que abraçar boas soluções de proteção, será que uma das prioridades para aumentar a cibersegurança poderá passar também por mais e melhor literacia digital? Ricardo Negrão considera que a solução deve ir mais longe ainda e promover “uma boa literacia ao nível da própria gestão estratégica e dos riscos que se correm no negócio”.

Manuel Dias fala na importância de avançar com o outsourcing de toda esta área “para as empresas que conseguem”. Outra hipótese poderá passar, por exemplo, por contar com “serviços cloud que já têm embebidas funcionalidades de segurança que reduzem em muito a necessidade de fortes conhecimentos técnicos internos”. Naturalmente, este tipo de soluções “deve ser atualizado regularmente”, alerta ainda o mesmo responsável.

Definições legais

Um outro dado relevante, em matéria de cibersegurança, diz respeito ao enquadramento legal. Ora, aqui importa salientar, desde logo, o Regime Jurídico da Segurança do Ciberespaço que, transpondo a Diretiva (UE) 2016/1148, do Parlamento Europeu e do Conselho, de 6 de julho de 2016, diz respeito às medidas destinadas a garantir um elevado nível comum de segurança das redes e dos sistemas de informação em toda a União Europeia.

O Regime Jurídico da Segurança do Ciberespaço aplica-se às entidades da Administração Pública, aos operadores de infraestruturas críticas e aos prestadores de serviços digitais. Isabel Baptista fala, para já, em alguns setores chave abrangidos neste campo, como sejam a saúde, os transportes ou as utilities, entre outros. “Na verdade, falamos de empresas que são tidas como pertencendo a setores de serviços essenciais”, refere a responsável do CNCS.

Desde 2021 que existe, neste campo, um conjunto de regras a cumprir “com coimas associadas”, refere Isabel Baptista.

Na realidade, o fator humano é uma das principais preocupações em matéria de cibersegurança nesta como em outras vertentes. Desde logo “pela falta de incorporação das normas de segurança, associadas a uma fraca cidadania digital”, diz Isabel Baptista. Opinião partilhada também por Manuel Dias: “É, sim, um forte fator de risco porque poucos sabem como se devem comportar no mundo digital.” O responsável da Microsoft deixa, assim, alguns conselhos: “Utilizar sistemas com autenticação multi-fator, dá-nos um pouco mais trabalho, mas pode reduzir em 90% o roubo de identidade.”

A própria Microsoft desenvolve ações de formação neste campo “para os seus clientes”. Já o responsável da Aon acredita que “mecanizar as respostas pode ser também uma ajuda importante já que permite criar percursos seguros e minimizar riscos”.