Opinião
Já somos compliant NIS2, agora já só falta termos segurança
Há uma curiosa tranquilidade em muitas organizações quando o tema é cibersegurança. Não porque estejam seguras, mas porque acreditam que estão. Têm políticas, têm documentos, têm relatórios e, mais recentemente, têm também NIS2. E, aparentemente, isso basta para dormir melhor à noite.
O problema é que os atacantes não leem políticas. Nem relatórios. E, muito menos, diretivas europeias. Vivemos um momento paradoxal: nunca se falou tanto de cibersegurança e, ao mesmo tempo, nunca estivemos tão expostos. A transformação digital acelerou, os sistemas multiplicaram-se, as integrações cresceram e a superfície de ataque expandiu-se a uma velocidade que a maioria das organizações simplesmente não acompanha e nem sabe que as tem. Mas, em vez de enfrentarmos o problema de frente, continuamos a fazer aquilo que fazemos melhor: criar camadas de conforto burocrático.
Entra então a NIS2. Uma diretiva necessária, importante e, em muitos casos, bem estruturada. Mas que corre o risco de ser transformada em mais um exercício de conformidade: mais uma checklist, mais um projeto com início, meio e fim, e mais um “estamos compliant” dito com convicção… até ao próximo incidente.
Porque a verdade é esta: cumprir NIS2 não é sinónimo de estar seguro. É apenas o ponto de partida.
A cibersegurança não se resolve com documentos. Resolve-se com decisões. Decisões difíceis, muitas vezes desconfortáveis, que implicam investimento, mudança cultural e, sobretudo, responsabilidade ao mais alto nível. Não é um tema de IT. Nunca foi. É um tema de negócio, de continuidade operacional e, cada vez mais, de reputação.
E, no entanto, ainda vemos organizações onde a segurança é tratada como um projeto: algo que se faz, se entrega e se fecha. Como se fosse possível “instalar” cibersegurança da mesma forma que se instala um software. Não é. A cibersegurança é um processo contínuo, dinâmico e adaptativo. Ou é parte da cultura organizacional, ou não é nada.
Outro mito confortável é o da tecnologia salvadora. Firewalls, SIEMs, SOCs, EDRs, siglas não faltam. E todas são importantes. Mas nenhuma resolve o essencial: saber o que estamos a proteger, porquê e contra quem. Muitas organizações têm ferramentas de topo e visibilidade mínima. Sabem que têm riscos, mas não sabem onde. Sabem que têm vulnerabilidades, mas não sabem quais são críticas. Sabem que podem ser atacadas, mas não sabem quando nem como.
E depois há o fator humano. Sempre o fator humano. Não como o elo mais fraco (essa narrativa já está gasta), mas como o elemento mais negligenciado. Continuamos a investir mais em tecnologia do que em literacia de segurança, mais em ferramentas do que em comportamentos. E depois ficamos surpreendidos quando o ataque entra pela porta mais simples: uma credencial comprometida, um email bem escrito, um clique no momento errado.
A NIS2 traz, pelo menos, uma mudança relevante: responsabilização. Obriga à existência de governance, de processos, de reporting e de envolvimento da gestão de topo. E isso é positivo. Mas só será transformador se for levado a sério. Se deixar de ser visto como um projeto de conformidade e passar a ser tratado como um pilar estratégico.
Porque, no final, a questão não é se a sua organização vai ser atacada. Vai. A questão é se está preparada para resistir, responder e recuperar.
E aqui, a ironia é inevitável: muitas organizações investem mais tempo a preparar a resposta para uma auditoria do que para um incidente real. Passam mais horas a garantir que a documentação está alinhada do que a testar se os sistemas resistem. E isso diz muito sobre as prioridades.
A cibersegurança não precisa de mais consciência. Precisa de mais execução. Menos discurso e mais decisão. Menos conforto e mais realidade.
A NIS2 pode ser uma oportunidade. Mas também pode ser apenas mais um manual impecavelmente escrito… guardado numa pasta segura. Infelizmente, é precisamente aí que muitos ataques começam.
Comentários
