- Partilhar artigo
- ...
"A cooperação é um passo fundamental para a segurança no ciberespaço. As organizações têm de criar o hábito de 'aprender a partilhar' as boas práticas, a forma como lidaram com determinado evento", refere Miguel Dias Fernandes, consulting partner da PwC.
Licenciado em Economia pelo ISEG, a sua carreira foi feita nas consultoras Everis e EY, com foco sobretudo nas questões digitais, e adianta que "há setores que já o fazem, talvez ainda não com a profundidade desejável, mas é um princípio e claramente uma aposta de futuro, com benefício para todos os elos da cadeia de colaboração".
Na sua perspetiva como é que as empresas e as organizações em Portugal olham para a cibersegurança?
Nos últimos anos temos assistido ao aumento do investimento das organizações em cibersegurança e na segurança da informação em geral. Há duas grandes razões pelas quais as empresas fazem este investimento: regulação e manutenção da confiança dos consumidores nas organizações. Nos setores mais regulados, como o financeiro, sempre houve investimento, no entanto, os reguladores tornaram-se mais exigentes, o que obriga as instituições a responderem a essa exigência com medidas mais concretas, a prepararem-se melhor e não só a escreverem ou enunciarem políticas, mas também a implementarem as políticas. Nos setores menos regulados, a confiança dos consumidores é a motivação para o investimento.
Neste caso, o Regulamento Geral de Proteção de Dados (RGPD) veio ajudar, pois a discussão pública foi tão alargada que acabou por trazer para a ribalta os direitos dos titulares dos dados e isso implicou uma maior consciencialização das empresas, porque em caso de uma violação de dados, a reputação da organização pode ser largamente afetada e, como é sabido, pode haver segurança da informação sem preocupações de privacidade, mas não há privacidade sem segurança da informação.
Quais foram os casos mais graves de ataques cibernéticos realizados em Portugal? Quais são os tipos de ataques e crimes cibernéticos mais comuns?
Não sei se alguém sabe quais foram os ataques mais graves em Portugal, pois as empresas não estão obrigadas à sua divulgação. No entanto, nos últimos anos temos assistido a alguns casos que chegaram ao conhecimento público, sendo talvez os mais emblemáticos o wannacry, em 2017, que levou algumas instituições financeiras a 'desligarem-se' da internet e alguns operadores de telecomunicações a isolarem alguns troços da rede interna.
Em 2018, de forma pública, conhecemos outro ataque de ransomware que cifrou os sistemas de um grupo no setor da Saúde e, já em 2019, tivemos uma empresa industrial a ser alvo de ransomware. No panorama internacional os databreaches são talvez, a par com o ransomware, o tipo de ataque mais popular.
Diz-se que qualquer organização vai acabar por ser atacada, não se sabe quando nem com que intensidade. Quais são os princípios a que deve obedecer uma estratégia de cibersegurança numa organização?
Um bom princípio, e como ponto de partida, consiste em definir o modelo de governo. A definição de responsabilidades em cada uma das linhas de defesa e os mecanismos de articulação, comunicação e monitorização entre as várias áreas envolvidas ditam o sucesso da estratégia e da intervenção. Muitas vezes as organizações tendem a saltar este ponto. Outro ponto fundamental é identificar os assets mais críticos e que, de acordo com o risco existente, merecem particular foco. No essencial é crucial criar e manter uma cultura de segurança onde as pessoas são o elo diferencial. Elas têm de ter noção das decisões críticas que tomam em matéria de segurança. Em termos de estratégia, é fundamental prioritizar investimentos, alocar recursos e alinhar capacidades de segurança com os imperativos estratégicos e as iniciativas da organização.
Em que é que novas tecnologias como o blockchain podem contribuir para fazer face a estes ataques cibernéticos?
Tecnologias como o block-chain podem efetivamente ajudar na proteção da informação, logo à partida pela natureza descentralizada, tornando assim os ataques dirigidos a um só ponto (vulnerável) teoricamente ineficazes.
Os negócios e a vida estão cada vez mais tecnológicos, a conectividade é quase universal. Isto não aumenta a vulnerabilidade a ataques, roubos e fraudes digitais? Como é que se minimizam estes fatores de risco?
Sem dúvida que há uma exposição crescente, o que significa que os níveis de vulnerabilidade são proporcionalmente crescentes. Para tal, apenas através de um modo de alteração comportamental alargada e profunda, mas também natural e intrínseca, será possível evitar "males maiores". Mesmo nas coisas mais simples - as aplicações que "corremos" nos nossos telefones ("não há almoços grátis"), aquilo que publicamos nas redes sociais sobre a nossa vida, a reutilização de passwords em diversos sites, são elementos decisivos e constantes.
Licenciado em Economia pelo ISEG, a sua carreira foi feita nas consultoras Everis e EY, com foco sobretudo nas questões digitais, e adianta que "há setores que já o fazem, talvez ainda não com a profundidade desejável, mas é um princípio e claramente uma aposta de futuro, com benefício para todos os elos da cadeia de colaboração".
Na sua perspetiva como é que as empresas e as organizações em Portugal olham para a cibersegurança?
Nos últimos anos temos assistido ao aumento do investimento das organizações em cibersegurança e na segurança da informação em geral. Há duas grandes razões pelas quais as empresas fazem este investimento: regulação e manutenção da confiança dos consumidores nas organizações. Nos setores mais regulados, como o financeiro, sempre houve investimento, no entanto, os reguladores tornaram-se mais exigentes, o que obriga as instituições a responderem a essa exigência com medidas mais concretas, a prepararem-se melhor e não só a escreverem ou enunciarem políticas, mas também a implementarem as políticas. Nos setores menos regulados, a confiança dos consumidores é a motivação para o investimento.
Neste caso, o Regulamento Geral de Proteção de Dados (RGPD) veio ajudar, pois a discussão pública foi tão alargada que acabou por trazer para a ribalta os direitos dos titulares dos dados e isso implicou uma maior consciencialização das empresas, porque em caso de uma violação de dados, a reputação da organização pode ser largamente afetada e, como é sabido, pode haver segurança da informação sem preocupações de privacidade, mas não há privacidade sem segurança da informação.
Quais foram os casos mais graves de ataques cibernéticos realizados em Portugal? Quais são os tipos de ataques e crimes cibernéticos mais comuns?
Não sei se alguém sabe quais foram os ataques mais graves em Portugal, pois as empresas não estão obrigadas à sua divulgação. No entanto, nos últimos anos temos assistido a alguns casos que chegaram ao conhecimento público, sendo talvez os mais emblemáticos o wannacry, em 2017, que levou algumas instituições financeiras a 'desligarem-se' da internet e alguns operadores de telecomunicações a isolarem alguns troços da rede interna.
"É crucial criar e manter uma cultura de segurança onde as pessoas são o elo diferencial."
"Tecnologias com o blockchain podem efetivamente ajudar na proteção de informação."
"Tecnologias com o blockchain podem efetivamente ajudar na proteção de informação."
Em 2018, de forma pública, conhecemos outro ataque de ransomware que cifrou os sistemas de um grupo no setor da Saúde e, já em 2019, tivemos uma empresa industrial a ser alvo de ransomware. No panorama internacional os databreaches são talvez, a par com o ransomware, o tipo de ataque mais popular.
Diz-se que qualquer organização vai acabar por ser atacada, não se sabe quando nem com que intensidade. Quais são os princípios a que deve obedecer uma estratégia de cibersegurança numa organização?
Um bom princípio, e como ponto de partida, consiste em definir o modelo de governo. A definição de responsabilidades em cada uma das linhas de defesa e os mecanismos de articulação, comunicação e monitorização entre as várias áreas envolvidas ditam o sucesso da estratégia e da intervenção. Muitas vezes as organizações tendem a saltar este ponto. Outro ponto fundamental é identificar os assets mais críticos e que, de acordo com o risco existente, merecem particular foco. No essencial é crucial criar e manter uma cultura de segurança onde as pessoas são o elo diferencial. Elas têm de ter noção das decisões críticas que tomam em matéria de segurança. Em termos de estratégia, é fundamental prioritizar investimentos, alocar recursos e alinhar capacidades de segurança com os imperativos estratégicos e as iniciativas da organização.
Em que é que novas tecnologias como o blockchain podem contribuir para fazer face a estes ataques cibernéticos?
Tecnologias como o block-chain podem efetivamente ajudar na proteção da informação, logo à partida pela natureza descentralizada, tornando assim os ataques dirigidos a um só ponto (vulnerável) teoricamente ineficazes.
Os negócios e a vida estão cada vez mais tecnológicos, a conectividade é quase universal. Isto não aumenta a vulnerabilidade a ataques, roubos e fraudes digitais? Como é que se minimizam estes fatores de risco?
Sem dúvida que há uma exposição crescente, o que significa que os níveis de vulnerabilidade são proporcionalmente crescentes. Para tal, apenas através de um modo de alteração comportamental alargada e profunda, mas também natural e intrínseca, será possível evitar "males maiores". Mesmo nas coisas mais simples - as aplicações que "corremos" nos nossos telefones ("não há almoços grátis"), aquilo que publicamos nas redes sociais sobre a nossa vida, a reutilização de passwords em diversos sites, são elementos decisivos e constantes.