Ciberataques: Se nada fizermos antes, pouco ou nada poderemos fazer depois de acontecer.
E sim, vai acontecer!
Estudos recentes revelam que 91% das organizações reportou pelo menos um ciberataque ou violação no último ano. Este aumento e disposição do mercado regista-se atendendo à maior disponibilidade de meios tecnológicos, mais sofisticados, para a prática do cibercrime, mas, ao mesmo tempo, também se justifica pelo incremento do trabalho remoto e maior preponderância digital nas operações das empresas.
O que fazer perante este crítico e complexo desafio?
Primeiramente há que compreender a relevância do tema, identificando e combatendo potenciais raízes de uma maior exposição às respetivas práticas ilícitas. Enumero aqui algumas consideradas de maior relevância:
1. A esmagadora maioria das organizações desconhece que já foi alvo de ataque(s). Desafiovos a subscrever um serviço básico de prova de conceito (PoC), sem grandes implicações financeiras ou até a custo zero para as empresas. Estes estudos revelam, ao longo de um determinado tempo, a vulnerabilidade dos sistemas de informação e o volume e tipologia de ataques sofridos. Os resultados são sempre surpreendentes;
2. Os ciberataques e as ciberameaças ainda são vistos como “um mal dos outros” e “com o mal dos outros, podemos nós bem…”. Nada mais errado, mas revelador daquilo que mentalmente e (in)conscientemente ainda vigora no entendimento de muitos administradores e gestores de empresas;
3. O tópico cibersegurança mantém-se como assunto de preocupação e responsabilidade exclusivas das equipas TI, ou seja, bottom-up ao invés de top-down, envolvendo, de base, as administrações das empresas e contribuindo para o desenvolvimento de uma política de segurança da informação abrangente, onde se assuma o envolvimento e interesse de todos os setores que compõem as empresas;
4. Mediante esta insularidade de compromisso e tratamento, mantém-se uma consequente falta de sensibilização generalizada dos colaboradores.
Por outro lado, as empresas têm de compreender o valor real da sua informação e, perante essa avaliação, adotar medidas de proteção ajustadas, fazendo match entre as ameaças existentes na atualidade e a importância atribuída aos dados. E para combater eficazmente este mal, dever-se-á apostar numa abordagem proativa e não esperar uma qualquer fatalidade para reagir.
Neste sentido, existem já orientações por parte das autoridades competentes sobre programas de ação a desenvolver de forma a incrementar os níveis de segurança permanentes e ajustá-los às exigências atuais do mercado. A Diretiva relativa à Segurança das Redes e da Informação, SRI (UE) 2016/1148 veio designar as medidas destinadas a garantir um elevado nível comum de segurança das redes e da informação em toda a União Europeia. Posteriormente, a nível nacional, o Decreto-Lei N.º 65/2021, com base na respetiva diretiva, regulamentou o Regime Jurídico de Segurança do Ciberespaço (RJSC), definindo os requisitos de segurança e as regras de notificação de incidentes, de cumprimento obrigatório para determinadas organizações.
Independentemente da obrigação, o RJSC estabelece uma metodologia de ação, validada pela autoridade nacional competente, o Centro Nacional de Cibersegurança (CNCS), que ajustada à realidade de cada organização, poderá e deverá servir a mesma para determinar um plano de segurança e medidas de salvaguarda condizentes. Este regime passa por vários estágios de implementação, entre os quais a elaboração e atualização de inventário de todos os ativos essenciais para a prestação de serviços, realização de uma análise de riscos em relação a todos os ativos que garantam a continuidade do funcionamento das redes e dos sistemas de informação que utilizam, elaboração e atualização de um plano de segurança, identificando medidas organizativas para gerir os riscos identificados e elaboração de um relatório anual.
Não menos importante, bem pelo contrário, e intrínseco a tudo isto é a aposta que deverá ser feita, desde a primeira hora, na formação, uma vez que “a primeira e última linha de defesa são pessoas bem preparadas”.
Em suma, os ataques cibernéticos são uma realidade para todas as organizações, sem exceção, devendo as mesmas compreender e valorizar este problema, identificando e controlando o risco. Porque se nada fizermos para proteger as nossas organizações antes de um ciberataque, então pouco ou quase nada poderemos fazer quando isso acontecer.
E sim, vai acontecer!
Pedro Vital | Senior Services Consultant
F3M Information Systems, S.A.
Voltar