A sociedade portuguesa está hoje mais consciente, atenta e informada acerca de ameaças à integridade cibernética das suas empresas, organizações ou dos seus dispositivos pessoais do que estava há apenas um par de anos. De uma forma geral, podemos dizer que a sociedade está mais sensibilizada para a cibersegurança, resultado não de uma maior preparação para cenários de crise, mas pelo aumento substancial no número de ataques informáticos ocorridos em Portugal. Na verdade, nos últimos anos, temos assistido a frequentes casos de hacks ou violações com consequências gravosas para a atividade e para a reputação das organizações afetadas, entre empresas e com os consumidores.

Na semana em que se assinala o Dia da Internet mais Segura é importante falar de ameaças cibernéticas e refletir sobre o que podem as organizações fazer para protegerem a sua reputação e a dos seus consumidores. A cibersegurança é um tema cada vez mais presente nas nossas vidas e, embora seja inegável que existe uma maior preocupação e atenção, esta continua a ser uma temática complexa, porque os ecossistemas das empresas também o são.

O mais recente estudo da Deloitte sobre este tema, o “Global Future of Cyber Survey”, refere que 91% das organizações reportou pelo menos um ciberataque ou violação no último ano. Este número poderá estar relacionado com o aumento da preponderância digital das operações no seio das organizações e do trabalho remoto (e os potenciais riscos que essas situações criaram) e, por outro, com a disponibilização de meios a quem está por detrás dos ataques, que são cada vez mais sofisticados.

A juntar a estas causas, acrescem mais dois desafios: em alguns casos as próprias organizações não têm conhecimento de que foram alvo de um ataque e, em muitas empresas, as ciberameaças ainda são encaradas como um mal alheio.

PUB • CONTINUE A LER A SEGUIR

Felizmente, este deixou de ser um tema exclusivo da área tecnológica ou das equipas de tecnologia de informação. Passou a estar na agenda dos executivos de topo. E é fundamental que assim permaneça e que seja top-down ao invés de bottom-up, para obter mais e melhores resultados. Se esta preocupação estiver no centro de decisão, então um dos principais problemas com que nos debatemos nesta área pode ser minimizado: a falta de sensibilização generalizada.

No entanto, de um modo geral, porque as empresas começam a ter consciência do valor da sua informação, têm adotado mais medidas de proteção e começam a percecionar que esse investimento tem um retorno real no negócio. Mas para combater eficazmente estas ameaças, a aposta deve ser uma abordagem proativa. As organizações devem trocar e partilhar informação entre si. Isoladas, apenas com conhecimento interno, dificilmente conseguem alcançar a maturidade e a resiliência que a criticidade do seu negócio exige.

O que podem as empresas continuar a fazer? Há algumas linhas orientadoras (ainda que existam mais e estas sejam aplicáveis ao quotidiano operacional): Projetar, rever e testar ativamente a crise e planos de cópia focados em sistemas e ativos críticos; Fazer a cópia de dispositivos críticos para zonas isoladas; Assegurar que os planos de contingência estão em vigor e estão prontos em caso de emergência; Aumentar a frequência de atividades de deteção de ameaças para intervenientes maliciosos, em especial para as organizações em contacto direto com entidades dos países envolvidos no conflito; Aumentar as atividades de monitorização dos “end-points” e a monitorização de spam oriundo de domínios ligados a entidades que de alguma forma possam estar relacionadas com os países envolvidos no conflito; Garantir que todo o acesso remoto aos sistemas requer autenticação múltipla (ou forte) e que todos os serviços na nuvem estão corretamente configurados.

Mas há algo intrínseco a tudo isto. A maior aposta em Cibersegurança deve ser na formação. A primeira e a última linha de defesa são pessoas bem preparadas. O segredo está também em tornar essa aprendizagem mais eficaz, dinâmica, diferenciadora e altamente eficiente. Temos defendido a ideia que esta formação tenha uma componente intrínseca de “Jogos”/”Gamification”. A metodologia desta formação é ativa e participativa, baseada na análise e discussão de estudos de caso, realização de “role-plays”, exercícios, simulações e representações.

Os ataques cibernéticos são uma realidade que afeta a todos e, por isso, devemos ter consciência dessa realidade como mais um risco a controlar. Porque se nada fizermos para proteger as nossas organizações antes de um ataque, então pouco ou quase nada faremos na eventualidade de isso acontecer.

Porque a pergunta que hoje devemos fazer sobre a eventualidade de um ataque às organizações não é “se irá acontecer”, mas “quando irá ocorrer”, devemos o quanto antes evitar que um ataque coloque em risco a empresas, os seus colaboradores e os seus consumidores.