No ano passado, mais de um quarto dos portugueses (27%) sofreu um incidente de cibersegurança. Nas empresas, esse valor ficou nos 8%. Os dados constam do relatório "Cibersegurança em Portugal, Riscos & Conflitos", do Centro Nacional de Cibersegurança (CNCS) publicado em junho de 2020.
À medida que os negócios, os serviços públicos e a sociedade evoluem para novos modelos de interação assentes em tecnologia, os riscos de segurança aumentam. Este cenário agravou-se quando, no passado mês de março, o país entrou em confinamento. A economia não parou porque foram muitas as organizações que conseguiram continuar a trabalhar graças ao teletrabalho. Tudo foi feito com rapidez e com o melhor voluntarismo para que os negócios e as empresas continuassem a funcionar. Neste quadro, a segurança não foi uma prioridade, o que proporcionou um terreno fértil para o cibercrime, que está sempre à espreita de encontrar novas formas de explorar vulnerabilidades.
A Procuradoria-Geral da República deixou o alerta num comunicado publicado em abril. "O cibercrime está a multiplicar-se desde o início da pandemia. O crescimento só no mês de abril representou um aumento próximo dos 300%."
Da mesma forma que uma pandemia não conhece fronteiras, o mesmo se aplica ao cibercrime. Não se trata de um problema local, mas de um assunto global. Em todo o mundo, 400 milhões de pessoas são vítimas de cibercrime todos os anos. Portugal não é uma exceção e a tendência é as ameaças continuarem a crescer.
Apesar desta realidade, o relatório do CNCS identifica que em Portugal há menos de metade de empresas com seguro contra incidentes de segurança de TIC do que a média de empresas da UE.
Para inverter esta situação são necessários mais profissionais que monitorizem a rede, as ameaças, os comportamentos e que possam reagir em tempo útil às ameaças, garantindo que são implementados os mecanismos adequados de governação, risco e compliance nos serviços públicos e setor privado.
Faltam pessoas qualificadas no mercado para lidar com as ameaças cibernéticas. Esta é uma realidade em Portugal, na Europa e no mundo. Para responder a esta necessidade de mercado o ISEG Executive Education lançou a pós-graduação em Auditoria, Risco e Cibersegurança.
Desafios da auditoria em sistemas de informação
As grandes organizações nacionais devem fazer auditoria aos seus dados e sistemas de informação de forma periódica e considerarem todos os anos a realização da mesma nos planos anuais de auditoria.
Um dos aspetos a melhorar na área da auditoria de sistemas de informação é a formação dos auditores. Quem o diz é Fátima Geada, presidente do Instituto Português de Auditoria Interna (iPAI) e coordenadora da pós-graduação em Auditoria, Risco e Cibersegurança do ISEG Executive Education.
"É fundamental que as equipas de auditoria sejam multidisciplinares, para que o know-how desta área seja o mais completo possível", diz Fátima Geada, acrescentando que as competências informáticas são cada vez mais uma mais-valia e que têm de ser conjugadas com "um elevado espírito analítico e crítico, dada a crescente complexidade dos sistemas de informação disponíveis e da informação que contêm".
Auditoria de mãos dadas com a cibersegurança
A auditoria é uma profissão dedicada a ajudar as empresas a mitigar os riscos. Neste âmbito, o crescente nível de ameaças a nível global em relação à segurança informática surge como uma componente de risco significativo para as empresas, que é preciso acautelar.
Se a auditoria permite identificar as inconformidades que possam vir a requerer uma ação corretiva, e se as suas conclusões e recomendações devem ser comunicadas e implementadas, a cibersegurança por seu lado abrange tudo o que visa proteger as organizações e os indivíduos face a ataques intencionais, violações e incidentes, bem como as suas respetivas consequências.
Neste contexto, a auditoria tem uma função essencial na avaliação dos riscos de cibersegurança. Ela pode identificar quais as informações e os ativos mais importantes da empresa e quais os que causariam maiores danos financeiros, reputacionais e competitivos. Para desempenhar essa função, "é necessário garantir que os acessos a essas informações e aos sistemas informáticos onde se encontram armazenadas e as respetivas plataformas são seguras e controladas", explica Fátima Geada.
Existem pontos-chave de controlo a serem monitorizados e reforçados no âmbito de segurança da informação, controlo de acessos e segurança da informação do pessoal. "Esta política recomenda a execução de verificações e o mapeamento e possibilidade de rastreio das transações realizadas por a todos os colaboradores ".
Na conjuntura atual, em que as empresas e instituições colocaram grande parte dos seus recursos humanos a trabalhar à distância, a segurança das plataformas informáticas utilizadas e dos sistemas assume ainda mais relevância.
"Nesse sentido, é cada vez mais atual a preocupação das organizações em contratar colaboradores altamente qualificados e é também requerida que a equipa de Auditoria e também a de Cibersegurança possua competências atuais e pertinentes assim como todas as certificações necessárias", diz a coordenadora da pós-graduação em Auditoria, Risco e Cibersegurança.
Cibersegurança cria novos desafios à auditoria
Por si só, a cibersegurança é um desafio complexo de gerir. Uma boa parte do conjunto de controlos e ferramentas de cibersegurança está dependente do comportamento adequado de cada trabalhador enquanto utilizador e guardião dos ativos da empresa.
É preciso assegurar não só que os controlos internos são robustos e estão corretamente implementados, mas que os utilizadores das informações mais relevantes têm a formação específica e o awareness necessário para proteger a empresa das tentativas de ataque. Em cima destas medidas deve existir um plano de disaster recovery definido e preparado para entrar em ação de forma rápida e eficiente, caso seja necessário.
"É preciso garantir uma articulação quase perfeita entre controlos preventivos, detetivos e a capacidade de a empresa atuar quando o ataque acontecer", refere Fátima Geada.
Este cenário de constante mudança, associado à evolução da tecnologia, das plataformas e ao aparecimento de novas ameaças, coloca novos desafios à auditoria relacionados com a incorporação de novas competências na área das engenharias e de novas certificações que permitam a utilização de metodologias e um conhecimento alinhado com as dinâmicas empresariais.