A 25 de setembro de 2020 o Presidente Vladimir Putin referiu que “um confronto de larga escala na esfera digital” estaria iminente. Ao mesmo tempo que o governante propunha uma solução para evitar um confronto entre os EUA e a Rússia, hackers (que muitas fontes apontam terem ligações ao governo Russo) preparavam um ataque massivo a grandes empresas e agências governamentais.

Mas a cibersegurança está muito longe de ser um “campo de batalha” entre nações. Segundo dados públicos, em 2020 foram atacadas com sucesso em Portugal algumas das mais importantes empresas de telecomunicações, energia, escritórios de advogados, entre outros. Segundo a publicação global especializada ZDNET, no mesmo ano, uma empresa portuguesa foi alvo de um dos 10 maiores ciberataques à escala mundial. E em Espanha, empresas do setor de gestão de infraestruturas e seguradoras tiveram alguns dos episódios mais críticos em termos de cibersegurança. Sendo estes alguns dos casos mais conhecidos, diariamente milhares de PME são também atacadas com sucesso.

No contexto empresarial ou de administração pública (excluindo, portanto, a esfera militar), os ciberataques podem ter vários objetivos: (1) exigir um resgate para que os SI voltem a funcionar (encriptando dados); (2) provocar danos à imagem da empresa (por roubar e expor informação confidencial ou alterando os seus canais de comunicação como o  site, por exemplo); (3) provocar danos à imagem de uma personalidade (para decisões empresariais, influenciar eleições, exigir resgate para não ser divulgada publicamente informação sensível, ou puramente para provocar dano reputacional); e (4) roubo de propriedade intelectual, entre outros.

Na perspetiva interna da empresa ou da entidade estatal, o aumento de informação acumulada pelas organizações, privadas ou públicas, exige preocupações adicionais relativamente a potenciais fugas de informação ou análises a dados que estas possuem. Por exemplo, muitas entidades recolhem permanentemente informação sobre a geolocalização dos seus clientes, através de apps instaladas nos seus telefones. Essa informação pode ser utilizada para fins extremamente “nobres” (como auxiliar um cliente numa estrada), mas o limite  da privacidade pode ser facilmente transposto (porque é que a pessoa A e a pessoa B, não relacionadas profissionalmente ou familiarmente, frequentam o mesmo local?), abrindo portas a informações não autorizadas.

A cibersegurança é uma das maiores ameaças à estabilidade mundial, à continuidade da operação das empresas e entidades públicas, e à imagem de líderes empresariais e políticos. E ao contrário das ameaças convencionais, as forças de segurança e legislação de um país não conseguem, nem conseguirão num futuro razoável, garantir o cumprimento da lei.

É por isso essencial que as lideranças de topo das empresas e entidades públicas conheçam a natureza destas ameaças, o seu potencial impacto, desenvolvam a sua “literacia” digital e conheçam os vetores de mitigação destas ameaças, garantindo que as suas organizações têm os mecanismos de cibersegurança adequados.

Numa perspetiva simplificada, pode admitir-se que a cibersegurança se baseia em quatro vetores: (1) a segurança das infraestruturas tecnológicas (PC, smartphones, centros de dados, cloud, máquinas industriais, e telecomunicações); (2) a segurança do software utilizado pela organização (como os ERP empresariais, os sites ou as apps que os clientes das empresas usam); (3) a segurança dos dados guardados pela empresa; e  (4)  os processos e boas práticas dos utilizadores dos sistemas de informação (sejam eles colaboradores da empresa, clientes ou  fornecedores).

Será consensual entre os especialistas referir que tradicionalmente a cibersegurança foi sobretudo endereçada na perspetiva da segurança de infraestruturas de IT, e que mais recentemente se investiu na componente dos processos (até por imposições legais, como o RGPD Europeu). Mas as componentes aplicacionais e de dados têm, em muitos casos, níveis de segurança ainda muito reduzidos.

Estes quatro vetores estão intimamente ligados e o sucesso das organizações na cibersegurança depende não só do investimento em cada um deles, mas sobretudo na garantia de que “as peças do puzzle encaixam”, de modo a não existir brechas de segurança.

E aqui reside um dos grandes desafios da cibersegurança: existem muito poucas empresas tecnológicas com a capacidade de evidenciar e concretizar uma visão holística sobre esta matéria, que possam apoiar simultaneamente a gestão de topo e as áreas de IT, Risco e Segurança na criação, implementação e operação de sistemas e práticas que garantam a salvaguarda dos interesses das empresas, dos seus acionistas, e dos seus gestores de topo.

Comentários

Sobre o autor

Avatar

David Faustino, atual diretor-geral da Nexllence, a nova marca de Transformação Digital da Glintt, é licenciado em Engenharia Informática pelo Instituto Superior Técnico e tem um MBA pela Universidade Católica Portuguesa. Com mais de 20 anos de experiência na área... Ler Mais