Cibersegurança: uma questão de sobrevivência

Jorge Cobra, coordenador da pós-graduação em cibersegurança da Universidade Europeia

Em Portugal geralmente associa-se a Cibersegurança às grandes empresas, pois as PME’s na sua grande maioria não investem em segurança informática, descurando, assim, o fato de que a tecnologia digital transmite todo o valor, conhecimento, projetos e segredos empresariais, o que naturalmente se torna num elemento crítico que deve ser ativamente protegido e supervisionado.

Urge alterar esta tendência uma vez que estas mesmas PME’s correspondem a mais de 50% do tecido empresarial português, sendo que nos últimos anos os riscos cibernéticos aumentaram nos próprios sistemas, nos processos de produção, armazenamento e distribuição de dados assim como em redes e em provedores de serviços de rede. Da mesma forma, as vulnerabilidades existem dentro das próprias empresas, fragilidades que provêm em parte dos próprios funcionários, que desconhecem práticas de risco, abrindo brechas de segurança, disponibilizando aos hackers informações que podem ser vendidas, inclusive na darkweb.

Com a transformação digital, as PME’s mantêm, toda a informação importante em computadores, servidores internos ou na “cloud”. Assim é de extrema importância manter esses dados seguros, pois representam um valor muito alto para a organização. No alcance deste desiderato é de importância estratégica a implementação de sistemas de gestão que, de forma inata, façam a gestão transversal do risco como é o caso da ISO 31000.

Os ataques informáticos tipicamente exploram as fragilidades nas aplicações e no hardware mas, ao mesmo tempo, são facilitados ou pelos utilizadores que desconhecem os “sinais” de alerta, ou pelo fato de esses não terem formação suficiente sobre práticas de segurança.  Neste contexto, as empresas devem ter como prioridade máxima dar formação inicial, contínua ou avançada a todos os seus colaboradores no sentido de garantir a segurança informática da organização.

Vivemos uma era de cooperação na qual as empresas são regularmente convocadas a colaborar com concorrentes em potencial, a usar seus serviços, a usar os mesmos provedores on-line ou a competir com os concorrentes assumidos. Manter informações sigilosas seguras, nunca foi tão complexo, já que as estratégias de segurança da informação não passam só pelos sistemas.

A inconstância das relações de trabalho entra também em cena. Quem hoje faz parte da nossa equipa amanhã pode ser o nosso concorrente. Esta “volatilidade” de interesses é acentuada, por uma cultura ainda hoje antagónica à padronização e certificação internacional dos sistemas de segurança de informação, fato este especialmente agravado tendo em conta as profundas mudanças envolvidas na transformação digital das empresas.

A segurança cibernética é, tanto para organizações públicas como privadas, uma questão de sobrevivência. A cibersegurança deve ser concebida essencialmente “por projeto” ou por outras palavras “segurança de projeto”, uma abordagem que ainda está longe de ser integrada, especialmente por maior parte das empresas portuguesas. É essencial que as empresas tenham como um dos seus principais objetivos a certificação dos seus sistemas de segurança de informação. A certificação na norma 27001, é talvez um dos principais requisitos para uma efetiva política de cibersegurança empresarial.

O cenário demanda uma nova mentalidade de negócios e gestão que possa atuar no ciclo económico que caracteriza a era em que vivemos. É neste desiderato que as pós-graduações e os cursos de formação avançada nesta área têm vindo a desenvolver-se, contribuindo para passar a mensagem ao formar quadros de excelência, com uma visão essencialmente estratégica sobre a transversalidade da segurança digital.

---