Por Luiz Fernando Siqueira (*)

O tradicional ditado “é melhor prevenir do que remediar” adapta-se que nem uma luva ao atual cenário tecnológico, sobretudo no que toca às questões de cibersegurança. Isto porque, na atualidade, as empresas devem, cada vez mais, tomar as rédeas de tudo o que se passa na sua infraestrutura de TIC, bem como nos procedimentos internos de comunicação e na qualidade das suas equipas, ou das “suas pessoas”, como hoje falamos.

São estas que em última instância contribuem para o sucesso ou insucesso de uma empresa ou projeto. É do conhecimento geral que, muitas vezes, é a falha humana, intencional ou não, que conduz ao risco de segurança cibernética.

Esta é uma evidência se analisarmos, com olhos de ver, os dados que têm vindo a público sobre o impacto e as consequências dos erros humanos nos incidentes cibernéticos. Um estudo da IBM constatou que a causa de 95% das violações de segurança cibernética deve-se a erro humano. Ou seja, se este não existisse, entre 19 a 20 das violações cibernéticas poderiam não ter acontecido.

São várias as pesquisas que atestam esta realidade e nos mostram o quão alarmante é o aumento dos incidentes cibernéticos que afetam empresas um pouco por todo o mundo. Numa das suas recentes análises, a Kaspersky constatou que, só nos últimos dois anos, 77% das empresas sofreram pelo menos uma violação de segurança cibernética e que 64% de todos os incidentes cibernéticos foram causados ​​por erro humano. Acresce que 38% dos incidentes foram causados por erros humanos acidentais, incluindo atividades como o download de malware, uso de senhas fracas e visita a sites não seguros. Mais: 14% dos próprios profissionais seniores de segurança, bem como 15% das equipas de TI também contribuem para a ocorrência destes incidentes.

O que fazer então para contrariar esta realidade e as suas consequências como a fuga de dados confidenciais, os danos reputacionais, a perda de confiança dos clientes ou as sanções financeiras?

Há que pôr mãos à obra. E começo por lembrar que é mais barato formar os colaboradores em segurança cibernética do que pagar o elevado custo de uma “violação”.

Daí a importância de implementar soluções de segurança eficazes e protocolos inteligentes, juntamente com programas de formação, para criar um sistema de segurança de TI atualizado, resiliente e transparente.

Também é fundamental promover formação que aborde conceitos fundamentais de segurança cibernética, onde se incluem boas práticas de senha, reconhecimento de phishing, navegação segura na internet e consciencialização sobre malware.

Aliás, como referi anteriormente, centrar a aposta nos colaboradores de TI, incentivando-os a obter certificações em segurança cibernética, como CompTIA Security+, Certified Information Systems Security Professional (CISSP) ou Certified Ethical Hacker (CEH), é, na minha visão, o caminho mais acertado.

Desta estratégia deverão fazer parte avaliações periódicas de conhecimento em segurança cibernética para acompanhar o progresso dos colaboradores e identificar áreas que necessitam de reforço, ou seja, realizar Security Assessment regulares. Por isso, é essencial investir em avaliações de segurança cibernética que ajudem a proteger os ativos digitais, a mitigar riscos e a fortalecer a postura de segurança contra ameaças. Sem esquecer a realização, por exemplo, de testes de penetração e análises de vulnerabilidades, para identificar possíveis pontos fracos na segurança.

Às medidas pontuais que referi, junto uma outra que deve ser o pilar da estratégia da empresa: criar uma cultura de segurança extensiva a toda a organização, enfatizando a responsabilidade que cada colaborador deve ter na proteção dos ativos digitais da empresa.

Há uma verdade que resulta desta análise: a de que a segurança cibernética é uma responsabilidade de todos. E mais: só através do esforço coletivo é possível alcançar uma proteção robusta contra as ameaças de mundo digital em constante evolução.
Por isso, se as empresas não se sentirem preparadas para lidar com esta realidade, é importante que o reconheçam e procurem um parceiro especializado para suprir as necessidades de formação em cibersegurança. Por isso, ao aumentarem o nível de consciência dos colaboradores sobre estas matérias estão, por consequência, a contribuir para reduzir a possibilidade de ataques cibernéticos e a criar empresas mais seguras.

(*) Director Projects & Cybersecurity da WEDOIT Global