A estratégia de cibersegurança da sua empresa está no rumo certo?

A posição de Portugal em termos de aposta na cibersegurança está documentada. As fragilidades que continuam a impossibilitar um ritmo mais rápido de mudança também são conhecidas e isso facilita a identificação das medidas que se tornam imprescindíveis para acelerar uma transformação. Mas há claramente algumas mais urgentes.  

Para este especial do Ntech.news, Jorge Pinto, presidente da AP2SI – Associação Portuguesa para a Promoção da Segurança da Informação e Rui Serapicos, managing partner da Cionet em Portugal, aceitaram alinhar um conjunto de recomendações, com o que lhes parece mais urgente mudar nas empresas locais, para que a cibsersegurança não se transforme na «pedra no sapato» das estratégias de negócio e crescimento. 

Jorge Pinto acredita que um dos aspetos fundamentais para operar mudanças é fazer os detentores de cargos de gestão e administração entenderem que devem investir na sua própria formação, relativamente aos temas de cibersegurança. «Sem conhecimento do tema, não pode haver gestão eficiente», defende. 

«Todas as organizações necessitam de assegurar que os seus colaboradores dispõem de formação necessárias para desempenhar as suas funções», Jorge Pinto, presidente da AP2SI.

Apostar em recursos humanos qualificados e dedicados, tendo em conta a dimensão da empresa, do sector ou área de negócio da organização será igualmente fundamental. «Nem todas as organizações necessitarão de um CISO a tempo inteiro, ou de um pentester, por exemplo. Mas todas as organizações necessitam de assegurar que os seus colaboradores dispõem de formação necessárias para desempenhar as suas funções», acredita Jorge Pinto.

Formação é consensualmente uma das áreas a reforçar

Rui Serapicos não fica longe destes tópicos nas suas prioridades de ação para o tecido empresarial português. Às empresas que ainda não têm um responsável de cibersegurança, ou não integrem essas funções nas competências do diretor de TI, o responsável recomenda que acelerem o processo de aquisição/integração. E explica porquê: «os riscos de negócio são demasiado elevados em relação aos custos associados». 

Leia também: Cibersegurança (ainda à) conquista de um papel principal nas empresas em Portugal

O tema da formação também é um dos eleitos pelo responsável em Portugal de uma das maiores comunidades internacionais de responsáveis TI. «Uma boa parte das brechas de segurança ocorrem por falta de conhecimento», alerta. «É necessário formar permanentemente os utilizadores da sua organização em comportamentos responsáveis de segurança. Ainda há muitos utilizadores a abrirem anexos dentro de emails de proveniência desconhecida», continua. 

«Uma boa parte das brechas de segurança ocorrem por falta de conhecimento», Rui Serapicos, managing partner da Cionet Portugal

Mantendo o foco no tema das vulnerabilidades, Rui Serapicos recorda que uma razão frequente para que estas existam é a utilização de sistemas desatualizados, que muitas vezes já nem são suportados pelos fabricantes. «Caso seja esse o caso, faça uma análise de risco dos ativos da sua infraestrutura que deixaram de ter suporte de fabricantes, e se houver exposição desnecessária atualize esses ativos», aconselha.

No domínio da monitorização de risco e da exigência que a tarefa hoje deve ter fica ainda mais uma recomendação: «No mínimo, as empresas têm de realizar um teste anual de penetração externa nos sistemas TIC, para identificar pontos fracos e, mais importante, resolvê-los». Este teste anual deve ser complementado por testes de sistemas internos frequentes, que dediquem especial atenção aos pontos de entrada e saída de sistemas TI. O trabalho deve ser complementado com campanhas de consciencialização para todos os funcionários, remata Rui Serapicos.   

---