Objetivo: Uma cultura de cibersegurança

Com efeito, o confronto com a cibercriminalidade tornou-se inevitável, especialmente para as empresas privadas. Afinal, são elas que, nas economias ocidentais, gerem as infraestruturas críticas e detêm as bases de dados e as patentes mais valiosas.  

Exige-se, portanto, a atenção e a ação imediatas do gestor. Nada fazer, ou perpetuar a ilusão de que se está imune a esta realidade, pode trazer custos fatais: milhões de euros em perdas de faturação; processos judiciais movidos por acionistas, clientes, fornecedores e autoridades; e manchas reputacionais porventura irreparáveis.

O ponto de partida do trabalho do gestor nesta área é auspicioso. Estudos recentes coincidem na avaliação de que mais de 80% dos ciberataques têm origem em erro humano. Ou seja, garantir que todos na organização são responsáveis pela cibersegurança constitui uma das formas mais eficazes de proteger os dados.

De facto, mudar comportamentos de forma transversal, em nome da prevenção, é de longe o melhor remédio. Razão pela qual, do ponto de vista da gestão, a cibersegurança é um tema cultural antes de ser técnico. Não diz apenas respeito ao CISO ou ao DPO. Para uma consciencialização e proteção efetivas, o próprio board tem de estar convocado e em permanência, juntamente com todas as áreas funcionais.

Capacitar o gestor nesta área requer, em primeiro lugar, uma radiografia das ameaças a que as organizações estão sujeitas. Além das agressões clássicas de phising, ransomware e CEO/IBAN Fraud, estão a surgir novas estratégias maliciosas, como os ataques de engenharia social através de Inteligência Artificial. É também crucial entender que a motivação do crime não se limita mais ao aspeto financeiro, mas inclui agora razões geopolíticas. No atual contexto de guerra na Ucrânia e de acesa bipolaridade entre Estados Unidos e China, as empresas são atacadas por atores estatais simplesmente por se situarem de um dos lados dessas rivalidades.

Em segundo lugar, a capacitação do gestor exige um conhecimento das principais linhas do quadro regulatório, nomeadamente da Diretiva NIS 2, que tem de ser transposta para a ordem jurídica nacional até Outubro de 2024. Além de alargar o número de entidades e setores abrangidos pela NIS 1, esta nova legislação prevê sanções mais elevadas para os incumpridores, assim como a atribuição de responsabilidades aos órgãos de gestão por comprovada negligência em matéria de cibersegurança.

Só depois de conhecer as ameaças e a legislação chegaremos à adoção das melhores práticas comportamentais em toda a organização. Medidas como múltiplo fator de autenticação, contratação de serviços anti-DDoS, testes de penetração regulares e backups offline devem formar parte do quotidiano. Nesta componente comportamental, impõe-se igualmente uma reflexão sobre os modelos de governo para a cibersegurança, com as aclamadas três linhas de defesa: implementação de controlos, supervisão e controlo de risco, e auditoria. 

No entanto, a segurança a 100% no espaço digital é impossível. Mesmo as organizações melhor preparadas podem ser vítimas de violações de dados. Nesse sentido, o gestor tem de preparar-se para enfrentar um ciberataque, tem de se colocar na pele de um decisor que, subitamente, vê a sua empresa paralisada e alvo de extorsão por terceiros. E nessas horas e dias caóticos, saber o que fazer e como comunicar funcionam como autênticos faróis no meio da tempestade. 

‍

Este texto é da autoria de Pedro Latoeiro e Filipe Domingues, Co-fundadores do Center for Cooperation in Cyberspace.