A sociedade portuguesa está hoje mais consciente, atenta e informada acerca de ameaças à integridade cibernética das suas empresas, organizações ou dos seus dispositivos pessoais do que estava há apenas um par de anos. De uma forma geral, podemos dizer que a sociedade está mais sensibilizada para a cibersegurança, resultado não de uma maior preparação para cenários de crise, mas pelo aumento substancial no número de ataques informáticos ocorridos em Portugal. Na verdade, nos últimos anos, temos assistido a frequentes casos de hacks ou violações com consequências gravosas para a atividade e para a reputação das organizações afetadas, entre empresas e com os consumidores.
Na semana em que se assinala o Dia da Internet mais Segura é importante falar de ameaças cibernéticas e refletir sobre o que podem as organizações fazer para protegerem a sua reputação e a dos seus consumidores. A cibersegurança é um tema cada vez mais presente nas nossas vidas e, embora seja inegável que existe uma maior preocupação e atenção, esta continua a ser uma temática complexa, porque os ecossistemas das empresas também o são.
O mais recente estudo da Deloitte sobre este tema, o “Global Future of Cyber Survey”, refere que 91% das organizações reportou pelo menos um ciberataque ou violação no último ano. Este número poderá estar relacionado com o aumento da preponderância digital das operações no seio das organizações e do trabalho remoto (e os potenciais riscos que essas situações criaram) e, por outro, com a disponibilização de meios a quem está por detrás dos ataques, que são cada vez mais sofisticados.
A juntar a estas causas, acrescem mais dois desafios: em alguns casos as próprias organizações não têm conhecimento de que foram alvo de um ataque e, em muitas empresas, as ciberameaças ainda são encaradas como um mal alheio.
Felizmente, este deixou de ser um tema exclusivo da área tecnológica ou das equipas de tecnologia de informação. Passou a estar na agenda dos executivos de topo. E é fundamental que assim permaneça e que seja top-down ao invés de bottom-up, para obter mais e melhores resultados. Se esta preocupação estiver no centro de decisão, então um dos principais problemas com que nos debatemos nesta área pode ser minimizado: a falta de sensibilização generalizada.
No entanto, de um modo geral, porque as empresas começam a ter consciência do valor da sua informação, têm adotado mais medidas de proteção e começam a percecionar que esse investimento tem um retorno real no negócio. Mas para combater eficazmente estas ameaças, a aposta deve ser uma abordagem proativa. As organizações devem trocar e partilhar informação entre si. Isoladas, apenas com conhecimento interno, dificilmente conseguem alcançar a maturidade e a resiliência que a criticidade do seu negócio exige.
O que podem as empresas continuar a fazer? Há algumas linhas orientadoras (ainda que existam mais e estas sejam aplicáveis ao quotidiano operacional): Projetar, rever e testar ativamente a crise e planos de cópia focados em sistemas e ativos críticos; Fazer a cópia de dispositivos críticos para zonas isoladas; Assegurar que os planos de contingência estão em vigor e estão prontos em caso de emergência; Aumentar a frequência de atividades de deteção de ameaças para intervenientes maliciosos, em especial para as organizações em contacto direto com entidades dos países envolvidos no conflito; Aumentar as atividades de monitorização dos “end-points” e a monitorização de spam oriundo de domínios ligados a entidades que de alguma forma possam estar relacionadas com os países envolvidos no conflito; Garantir que todo o acesso remoto aos sistemas requer autenticação múltipla (ou forte) e que todos os serviços na nuvem estão corretamente configurados.
Mas há algo intrínseco a tudo isto. A maior aposta em Cibersegurança deve ser na formação. A primeira e a última linha de defesa são pessoas bem preparadas. O segredo está também em tornar essa aprendizagem mais eficaz, dinâmica, diferenciadora e altamente eficiente. Temos defendido a ideia que esta formação tenha uma componente intrínseca de “Jogos”/”Gamification”. A metodologia desta formação é ativa e participativa, baseada na análise e discussão de estudos de caso, realização de “role-plays”, exercícios, simulações e representações.
Os ataques cibernéticos são uma realidade que afeta a todos e, por isso, devemos ter consciência dessa realidade como mais um risco a controlar. Porque se nada fizermos para proteger as nossas organizações antes de um ataque, então pouco ou quase nada faremos na eventualidade de isso acontecer.
Porque a pergunta que hoje devemos fazer sobre a eventualidade de um ataque às organizações não é “se irá acontecer”, mas “quando irá ocorrer”, devemos o quanto antes evitar que um ataque coloque em risco a empresas, os seus colaboradores e os seus consumidores.