Por David Campos (*)

A atual abordagem ao risco coloca os riscos cibernéticos como a maior ameaça às empresas, pois todo o atual contexto externo, nomeadamente os conflitos entre países e a já conhecida cyber warfare, bem como o aumento exponencial de ciberataques, não só no setor privado, mas também no setor público, incluindo infraestruturas críticas, servem de alavanca para que sempre que se pensa em riscos para o negócio, estes se materializem como riscos cibernéticos.

De acordo com o relatório de cibersegurança do CNCS, “Para 2022 e 2023 são identificadas como principais tendências em Portugal a propensão para uma maior intervenção de atores estatais, a persistência do uso das fragilidades do fator humano, ataques de ransomware, violações de dados relativas a credenciais de acesso, exploração de vulnerabilidades e as tecnologias móveis a serem cada vez mais utilizadas como superfícies de ataque”.

A realidade atual das empresas

Embora haja reconhecimento por parte das Organizações para a realidade atual do mundo da cibersegurança e ameaças constantes, seja este direto ou indireto, à exceção das Organizações que de facto foram afetadas por atividades de cibercrime e puderam em primeira mão medir o impacto (financeiro) que este tipo de ataques possa trazer, a grande maioria das Organizações continua a não apostar numa ciber estratégia adequada, tal como mostram os dados do Relatório de Cibersegurança em Portugal – Economia | maio 2022 do CNCS, onde se reporta que 43,5% das empresas nunca avaliaram o potencial impacto financeiro de disrupções nos serviços TIC.

Continua a haver uma insistência em alocar a responsabilidade da mitigação destes riscos aos departamentos de Tecnologia de Informação, o que contraria a abordagem holística necessária, que inclui pessoas, processos e tecnologia, bem como uma aproximação top to down, na qual a gestão de topo desempenha um papel fundamental ao colocar na agenda o tema da ciber resiliência, para que este assunto não seja subestimado.

Como fazer bem?

Para a maioria das Organizações, a cibersegurança é um sprint, mas, na realidade, a cibersegurança é uma maratona, eu diria mesmo, uma prova de Iron Man.

Quais os fatores de sucesso?

  1. Endereçar o tema ao mais alto nível dentro da Organização (Top to Down): A gestão de topo deve escolher os seus cibersecurity champions, delegar funções, definir objetivos concretos e acima de tudo assumir a liderança da responsabilidade (nunca delegar esta responsabilidade).
  2. Incorporar a ciber resiliência no processo de gestão de risco da Organização de uma forma transversal: A gestão de topo deve garantir a integração da ciber resiliência e análise de riscos de cibersegurança na estratégia de negócio e processo de gestão de risco corporativo, bem como definir um orçamento e recursos adequados de acordo com a análise de impacto sobre os ativos críticos.
  3. Construir as medidas de ciber resiliência adequadas e monitorizar a sua implementação: A gestão de topo deve definir uma estratégia moderna e eficaz que permita detetar de uma forma atempada ciber ataques, impedir que os atacantes (hackers) causem danos e aumentar a resiliência da Organização a ciber ataques. Recorrer a frameworks internacionais tais como o NIST ou a ISO 27001 pode ser um caminho, porém, os requisitos legais e regulamentares deverão ser também considerados na construção desta estratégia.

Para além destes fatores, é importante que a estratégia de ciber resiliência definida pela gestão de topo tenha em consideração a interdependência existente entre os três componentes essenciais de qualquer organização, sendo estes as pessoas, os processos e a tecnologia. À semelhança de uma prova de Iron Man, também em segurança da informação é importante assegurar uma performance equilibrada nas três etapas da prova – natação, ciclismo e corrida.

(*) Delivery Manager, NTT DATA Portugal

Não perca as principais novidades do mundo da tecnologia!

Subscreva a newsletter do SAPO Tek.

As novidades de todos os gadgets, jogos e aplicações!

Ative as notificações do SAPO Tek.

Newton, se pudesse, seguiria.

Siga o SAPO Tek nas redes sociais. Use a #SAPOtek nas suas publicações.