Por Leonor Sottomayor (*)

Como acontece todos os anos desde 1988, data em que foi instituída com o objetivo de consciencializar sobre as ameaças que ocorrem no universo tecnológico, hoje comemora-se o Dia Mundial da Cibersegurança. Ano após ano, são várias as iniciativas e os alertas que surgem para relembrar o que devem as pessoas e as empresas fazer para se protegerem dos ataques cibernéticos. No entanto, num momento em que a mudança é a única constante, passados 35 anos é cada vez mais urgente que sejam desenvolvidas e implementadas práticas e medidas de proteção e segurança de servidores, redes, sistemas informáticos, computadores, entre outros dispositivos, contra potenciais ataques, uma vez que a segurança dos dados deve ser uma prioridade absoluta para todos.

Os números mais recentes do Gabinete Cibercrime da Procuradoria-Geral da República são exemplo perfeito do agravamento do cibercrime em Portugal ao longo dos últimos anos. De acordo com a nota informativa divulgada no mês passado, as denúncias de cibercrimes aumentaram consistentemente, de ano para ano, desde 2016. Se no ano de 2020 as denúncias aumentaram de forma excecional após a eclosão da pandemia da COVID–19, no ano seguinte o aumento foi ainda mais expressivo, ao mais do que duplicar. Já em 2022 a tendência manteve-se e os primeiros dados relativos a 2023 revelam que esta tendência de aumento se mantém. Só no primeiro semestre deste ano já foram recebidas 1.363 denúncias, enquanto que no período correspondente do ano de 2020 foram recebidas 305 denúncias, no de 2021 foram recebidas 594 e no de 2022, um total de 852 denúncias.

E como impedir a contínua escalada destes números? Mais do que saber se alguma vez será vítima de um ataque cibernético, a questão crucial é saber quando e se estaremos preparados. Neste sentido, existem alguns pilares fundamentais que qualquer empresa ou organização deve implementar na sua estratégia de Cibersegurança: a prevenção ativa, que deve passar pela formação dos colaboradores, avaliação das vulnerabilidades e atualização dos sistemas; a proteção ativa, que deve passar pela aposta na defesa de todos os perímetros e infraestruturas tecnológicas; a deteção e contrarresposta, através de um sistema que reconheça ameaças em tempo real e mitigue tentativas de ataque; e a recuperação ativa, em que seja possível a recuperação dos sistemas e, sobretudo, dos dados em caso de ataque.

Com a constante mudança e evolução vertiginosa que assistimos a cada dia que passa no universo tecnológico e na transformação digital – como a Inteligência Artificial Generativa, a Cloud, as plataformas low-code, entre outros – surgem desafios complexos que exigem soluções inovadoras, para enfrentar ataques cibernéticos cada vez mais sofisticados e ameaçadores.

Neste sentido, os gestores devem avaliar e saber o estado de maturidade atual de Cibersegurança das suas empresas. Podemos quantificar quatro níveis de maturidade: baixo e incipiente, onde se incluem organizações que estão a dar os primeiros passos na Cibersegurança; médio, em que as empresas já desenvolveram um foco mais tradicional e já implementaram as primeiras medidas de Cibersegurança; elevado, em que as empresas já têm uma ampla implementação de sistemas e medidas para detetar as ameaças e dar uma resposta adequada aos ataques cibernéticos; state of the art, em que as empresas já têm um nível de maturidade em que já estão a pensar na evolução e melhoria contínua e permanente a cada dia.

Existe um espectro de serviços que, quando integrados, permitem aferir com maior precisão a maturidade de segurança da informação e Cibersegurança das empresas. Desde os serviços de monitorização de eventos de Cibersegurança que disponibilizam um olhar sobre tudo o que se passa no ecossistema de um cliente, passando pela gestão de vulnerabilidades, em que há uma descoberta contínua de vulnerabilidades de segurança conhecidas e divulgadas pelos diferentes fornecedores, e pelo ethical hacking, em que são auditados os sistemas na perspetiva de um atacante, permitindo entender a postura de uma organização num determinado momento.

O investimento na Cibersegurança deverá ser uma preocupação crucial para as empresas, uma vez que a não alocação de recursos de ciberproteção pode deixar uma organização vulnerável a ataques de vários tipos, resultando, com grande probabilidade, em danos computacionais, financeiros, legais e reputacionais. Este investimento não é fixo e depende de vários fatores, como a sua dimensão, complexidade do negócio ou a área de atuação e deverá ser diferente daquele que era realizado há alguns anos. Dependendo dos requisitos e dos recursos disponíveis, algumas organizações poderão necessitar de investir substancialmente mais em cibersegurança, enquanto outras podem afetar menos recursos.

Mas acredito e defendo que antes de chegarmos às empresas e às organizações é necessário não só resolver o problema mundial de escassez de profissionais com competências e capacidades na área da Cibersegurança, mas, sobretudo, apostar na sensibilização de crianças e de jovens, para que a Cibersegurança seja um factor de comemoração a cada ano que passa num mundo cada vez mais digitalizado.

(*) Diretora da área de Cibersegurança na Minsait, uma empresa da Indra