Por Quentyn Taylor (*)

A escala a que o panorama de cibersegurança se alterou nos últimos anos tem conduzido a pressões crescentes para os líderes de TI. O Fórum Económico Mundial estima que o custo global do cibercrime atinja 10.5 biliões de dólares em 2025, e só se espera que a situação se torne ainda mais difícil.

Este ano é provável que, para fazer face a estes desafios contínuos, os líderes de TI despendam mais tempo e energia a manter a segurança da informação. De facto, um estudo que levámos a cabo concluiu que, atualmente, metade dos líderes de TI (50%) já a considera como uma das três responsabilidades que lhes consomem mais tempo. De facto, a segurança tem sido referida como uma das maiores preocupações, e desde 2019 é consistentemente classificada pelos líderes como um dos aspetos mais desafiantes das suas funções.

Com o cenário de ameaças a evoluir a um ritmo sem precedentes, impulsionado pelas evoluções da IA, manter a segurança das TI pode ser como tentar atingir um alvo em movimento. No entanto, embora a IA traga novos desafios, as empresas não devem perder de vista os princípios básicos de uma estratégia de segurança robusta, e devem garantir que a conformidade se mantém uma prioridade, sobretudo à luz das novas regulamentações de segurança que vão entrar em vigor este ano.

A nova realidade da IA

Há uma miríade de tecnologias novas e em evolução, incluindo as que são alimentadas por IA, que oferecem ainda mais oportunidades de ataque para os cibercriminosos.

A capacidade da IA para aumentar a escala e a sofisticação dos ataques significa que as infraestruturas de TI têm de resistir a um número crescente de ameaças. Por exemplo, os cibercriminosos estão a utilizar a IA para levar a cabo ataques de phishing mais sofisticados, tirando partido da personalização e de deep fakes para aumentar a sua eficácia. As tentativas de phishing estão a tornar-se mais convincentes através da tradução automática, segmentação melhorada, localização e, em alguns casos, até da criação de áudio.

Embora a IA possa parecer uma ameaça assustadora, ainda não foi utilizada em grande escala pelos atacantes, porque os métodos testados e comprovados ainda se estão a revelar eficazes. Como tal, uma parte crucial da solução reside em reforçar a primeira linha de defesa de uma empresa – os seus colaboradores. Assegurar que recebem formação eficaz e possuem as competências necessárias para detetar e denunciar tentativas de phishing pode ser uma defesa fundamental para evitar um ataque. Com uma melhor sensibilização para a segurança em toda a organização, as empresas vão estar melhor preparadas para lidar tanto com as ameaças atuais, como com os ataques com IA do futuro.

Dominar os básicos

As políticas robustas de segurança da informação sempre foram importantes, mas na era da IA é essencial fazer uma vigilância adicional às ameaças. Agora, mais do que nunca, garantir a promoção de uma cultura de boa ‘ciberhigiene’ dificulta a eficácia de ameaças impulsionadas pela IA.

Prestar atenção aos aspetos básicos pode fazer toda a diferença para construir uma estratégia de cibersegurança abrangente e robusta. Um número significativo de incidentes mediáticos nos últimos anos não aconteceram por vias muito sofisticadas, mas sim por métodos experimentados e testados – por exemplo, vulnerabilidades de software não corrigidas. Isto significa que elementos fundamentais, como a gestão do perímetro de uma empresa, a autenticação multifator (MFA), atualizações regulares e correções de segurança, bem como um plano de ação de recuperação sólido, podem contribuir muito para manter os atacantes longe.

Adotar a autenticação multifator e dar prioridade a um elevado nível de formação dos colaboradores é crucial para criar defesas contra as ameaças de IA do futuro. A MFA está a evoluir para responder aos novos ciberdesafios – de números num ecrã a tirar partido do poder de um telemóvel e dos dados móveis, as capacidades avançadas estão a ajudar a combater os ataques, com uma verificação abrangente da identidade através da verificação da localização e da análise dos padrões de acesso.

Ao mesmo tempo que se garantem boas ciberpráticas com a MFA e atualizações automatizadas, é crucial educar os colaboradores para trabalharem de forma segura, e sensibilizar toda a organização para a segurança – o que pode fazer a diferença entre uma ameaça contida e um ciberincidente dispendioso.

A revolução da regulamentação

Nos últimos anos, a UE e os governos nacionais intensificaram os esforços para enfrentar a evolução das ameaças e reforçar a ciberresiliência. Como parte deste compromisso, a UE introduziu a diretiva NIS2, relativa ao ciberespaço, para aplicar normas de cibersegurança transnacionais e melhorar as capacidades de resposta a incidentes – exigindo que as empresas cumpram normas mínimas de proteção de dados e reportem atividades maliciosas. Ao mesmo tempo, foram introduzidas regulamentações setoriais específicas, como a DORA no setor financeiro, que exigem uma gestão de riscos mais sólida, testes de resiliência e monitorização, bem como a comunicação de incidentes.

A legislação coloca uma nova tónica na segurança da informação, principalmente através de requisitos de reporting e sanções em caso de incumprimento. As empresas estão a acolher bem este apoio renovado dos governos à padronização, que não só reforça a segurança das empresas individuais, como aumenta a confiança no software e hardware de terceiros, criando procedimentos normalizados e quadros comuns de segurança da informação.

Esta “revolução da regulamentação” deverá continuar a ganhar ímpeto em 2025, pois a cibersegurança e a resiliência continuam a ser uma prioridade para os decisores políticos. Com o Cyber Resilience Act (CRA) da União Europeia a entrar em vigor em 2027, juntamente com conversas contínuas sobre como regulamentar as ameaças colocadas pela era da IA, as empresas devem garantir que permanecem em conformidade – não só agora, mas também no futuro.

Neste momento, os líderes de TI têm de reavaliar a sua estratégia de cibersegurança para cumprir os requisitos atuais e futuros. Têm de tomar decisões ponderadas e importantes sobre a aquisição de software e hardware para garantir que estão preparados para um cenário de regulamentação mais rigorosa.

Preparar-se para as ameaças futuras

Como vimos em 2024, o panorama da segurança está cada vez mais matizado e complexo, e isto não deverá mudar em 2025. A ascensão da IA não apenas intensificou, como fez evoluir significativamente a sofisticação dos ataques, enquanto um ambiente regulamentar em evolução acrescenta mais complexidade. Neste contexto, a cibersegurança deve permanecer no centro das atenções dos líderes de TI.

Numa era de ameaças avançadas, dominar os básicos não pode ser negligenciado, desempenhando um papel crucial na prevenção de ataques. As organizações que continuarem a dar-lhes prioridade vão reforçar a sua ciberresiliência este ano, posicionando-se para enfrentar eficazmente quaisquer desafios que surjam nos próximos anos.

(*) Director of Information Security da Canon