A tecnologia está em constante evolução, impulsionando mudanças significativas em diversos setores. No centro dessa transformação está a adoção da Cloud e da Inteligência Artificial (IA), tecnologias que proporcionam maior escalabilidade, eficiência operacional e aceleram a inovação nas organizações. Por um lado, a Cloud oferece uma infraestrutura flexível e escalável, permitindo que empresas e indivíduos acedam e que possam gerir os recursos computacionais de forma mais eficiente. Por outro lado, a IA está a revolucionar a maneira como criamos e interagimos com o conteúdo digital, desde a geração de texto e imagens, até à automação de processos complexos.
Contudo, as novas oportunidades também trazem novos riscos e desafios de conformidade, especialmente em setores regulados. Setores como a banca, telecomunicações e energia, têm demonstrado uma maior maturidade em termos de cibersegurança, em particular uma maior capacidade de resiliência. No entanto, certos sectores (público, saúde, farmacêutico, tecnologia, indústria e retalho, entre outros), estão a sofrer maiores impactos financeiros com os incidentes de cibersegurança.
Apesar de os “ciber incidentes” continuarem a ser liderados pelo ransomware, o roubo de informação e a sua comercialização estão em crescimento e requerem menos esforço, em particular na Cloud, resultado de configurações deficientes nas mesmas. A tecnologia de IA permite acelerar e também defender destes ataques, se bem aplicada na cibersegurança.
Os dados são as joias do negócio das empresas, pelo que a sua proteção deve ser a prioridade e, ao mesmo tempo, assegurar a conformidade com a regulamentação nesta área. Então, como podemos lidar com estes desafios?
Em primeiro lugar, devemos ver a regulação como uma forma de definir e uniformizar os requisitos mínimos para a gestão dos riscos nas diferentes indústrias em que se aplicam. Como exemplo, temos os regulamentos com aplicabilidade em breve: a Diretiva NIS2 (abrange entidades cuja disrupção terá impacto no país ou UE), deverá ser integrada na legislação local até outubro 2024; o Regulamento DORA (área financeira), que entrará em vigor em janeiro 2025, e o AI Act, previsto ser publicado no terceiro trimestre 2024, são os marcos imediatos mais relevantes. Estes regulamentos estabelecem requisitos comuns para aumentar a resiliência e a segurança das organizações, através de uma gestão de ciber risco a nível da organização.
Em termos de estratégia, a adoção de uma abordagem de Security by Design e do modelo Zero Trust, permitirá às organizações ter uma melhor visibilidade dos riscos que enfrentam e uma maior independência na segurança dos ativos envolvidos. Em particular na Cloud, onde os incidentes de segurança têm crescido mais, este modelo irá permitir retomar o controlo dos dados, acessos e a sua monitorização às áreas com mais exposição.
Esta abordagem para além da própria organização, também se estende a todas as terceiras partes que façam parte do ecossistema da organização e que, por vezes, são os elos mais fracos.As necessidades do mercado ea escassez de profissionais qualificados em TI, em particular em tecnologias emergentes como Cloud, AI, IoT/OT e Cibersegurança, só poderão ser ressolvidas a curto prazo, através de uma melhor gestão das pessoas que temos e da sua requalificação.
A crescente dependência das empresas e indivíduos da Internet, Cloud e IA, a sua rápida escalabilidade, o impacto sistémico, o rápido crescimento do cibercrime (resultado da falta de controlo e considerado como a 3.ª economia mundial), implicam a necessidade de uma regulação mais apertada orientada à gestão de risco e security by design envolvendo toda a organização. A responsabilidade é de todos, o IT/segurança tem a função de recomendar e operacionalizar os parceiros (ecossistema).
Regulamentos como o GDPR, NIS2, DORA, AI Act, e outros mais específicos por indústria, deverão ser vistos como os requisitos mínimos a ter em conta para proteger o negócio das organizações, tornando-as mais resilientes – preparadas para recuperar mais rapidamente dos inevitáveis incidentes de segurança e permitir um melhor controlo do impacto financeiro.
