Por António Dias (*)

 

Têm sido divulgadas, com uma regularidade assustadora, inúmeras notícias que revelam uma realidade em que os ciber-riscos passaram a fazer parte do quotidiano de qualquer pessoa ou organização.

A forma como todos nós passámos a comunicar, através de dispositivos electrónicos e múltiplas plataformas na net, conduziu a uma nova dimensão de ciber-riscos que se colocam diariamente a nível pessoal, sob a forma de roubo de identidade, por exemplo, a nível empresarial através da violação de dados essenciais para o negócio (carteira de clientes ou informações financeiras) e ainda a nível governativo, com a potencial violação de dados sensíveis. Com todos estes riscos bem patentes no nosso dia-a-dia, as medidas preventivas parecem ganhar um claro ascendente face às estratégias de punição existentes, que apesar de se revelarem inibidoras, não impedem os danos causados.

Todos os players de mercado compreendem as enormes mais-valias potenciadas por uma abordagem de gestão de risco, e não desconsideram a relevância da implementação de soluções tecnológicas que possam dinamizar o negócio. A negligência atribuída a esta matéria durante anos deu lugar a uma preocupação com a prevenção do risco, mas a possibilidade de recorrer a estratégias de proteção tem sido um assunto de ordem do dia, com maior enfoque em determinados sectores de actividade.

Em Portugal, os ataques a websites ou infra-estruturas tecnológicas ligadas ao governo ou a organismos do estado, como a Procuradoria-Geral da República ou a Polícia Judiciária, para além das constantes ameaças a instituições financeiras, é assunto que mina a credibilidade das instituições, faz retrair a confiança dos clientes dos bancos ou dos cidadãos e testa a capacidade das instituições conseguirem resistir aos constantes ataques às suas operações/negócios e à robustez das soluções de cibersegurança e de gestão de riscos.

Por esse motivo, a implementação de medidas de cibersegurança semelhantes às implementadas pelo Cyber Essentials Scheme em Inglaterra ou pela Critical Infrastructure Cybersecurity Framework nos E.U.A., aliadas a exigentes programas de certificação em contratos de procurement em órgãos governamentais (onde seja essencial), parece ser o caminho imperativo a seguir. No caso inglês, a solução baseia-se em elementos da ISO 27001, que estabelecem os procedimentos essenciais de boas práticas de segurança de informação de forma a resistir às ameaças cibernéticas.

Neste sentido, os players de alguma forma envolvidos com essa entidade – clientes, fornecedores ou outros – conseguem percepcionar se existem níveis aceitáveis de proteção e de imunidade contra potenciais ciber-riscos, criando assim, vantagens competitivas para as entidades que apresentam níveis de cumprimento em detrimento de outras que não o fazem.

O modelo inglês estabelece linhas orientadoras em áreas como a configuração de equipamentos, o controlo de acessos, a protecção contra malware ou a implementação de controlos tecnológicos.

Além de criar um ecossistema que prevê a certificação de segurança, este modelo permite a criação de standards que podem mesmo ser usados para determinar níveis de negligência, quando necessário. As perdas que poderiam ser prevenidas com a adoção destas medidas e standards poderão, num futuro breve, não ter cobertura por parte das seguradoras.

Para além disso, o papel das seguradoras poderá ser determinante no que respeita a ciber-riscos. Se a tendência de criação de ciber-seguros específicos se mantiver, é natural que as seguradoras venham a impor standards e medidas essenciais para que os seguros possam ser subscritos.

Se os próximos tempos mostrarem de forma indiscutível que é para esse cenário que caminhamos, então a criação de um modelo de ciber-proteção, bem definido, certificado e com níveis comprovados de eficácia será um cenário incontornável. 

 

(*) Consultor de Soluções de Segurança da CESCE SI