Na reta final do Mês da Cibersegurança, publicamos a entrevista a um especialista em risco cibernético da Marsh, no balanço da divulgação do “2019 Marsh Microsoft Global Cyber Risk Perception Survey”, documento onde se destaca, entre outras conclusões, que 85% das organizações portuguesas colocam os riscos cibernéticos no top 5 das suas preocupações (+59% face a 2017) e 33% delas classificam os riscos cibernéticos como a preocupação número um (+11% face a 2017)
A entrevista a Carlos Figueiredo, Senior Manager de Specialties & Especialista em Risco Cibernético da Marsh PortugalA estratégia de uma empresa sobre a sua cibersegurança deve ser uma responsabilidade interna? Como se organiza? Durante muitos anos, as organizações estabeleceram políticas de segurança, de gestão e de mitigação de riscos relativos aos seus interesses em áreas como as pessoas, o património físico, os ativos financeiros e os créditos, a qualidade dos produtos, a relação com fornecedores e clientes, entre tantos outros. Hoje, que todas as organizações dependem da tecnologia, dos dados e das comunicações, a preocupação com a segurança e gestão dos riscos inerentes a esta realidade tem que ser colocada num lugar de relevo dentro das organizações. A estratégia de cibersegurança é, em primeira linha, uma tomada de posição da empresa para proteger os seus ativos: os dados dos seus clientes, a propriedade intelectual que desenvolveu, a integridade das suas operações, entre todos os outros vetores que hoje dependem de redes, dados e sistemas eletrónicos. Existem algumas metodologias internacionais que poderão ser aplicadas pelas empresas, como sejam, alguns standards ISO ou a abordagem NIST, entre outras. Mas o desenho da estratégia terá sempre que ter em conta diversos fatores, como a dimensão e importância dos ativos, a exposição a que a entidade está sujeita e o seu grau de dependência da tecnologia, mas também, e não menos importante, a capacidade financeira de que dispõe para investir ou para absorver perdas.
Que outros instrumentos públicos e/ou de referência existem para ajudar as empresas com a estratégia face a ciberataques, em Portugal? Sem dúvida que o Quadro Nacional de Referência para a Cibersegurança, do Centro Nacional de Cibersegurança (CNCS), é um fantástico contributo para a adaptação das empresas.
Existe, claramente, a perceção da importância dos riscos cibernéticos. Mas aparentemente não existe uma estratégia que responda a estes problemas. Porquê? As grandes organizações e os estados começam a ter já alguma preocupação sistemática na abordagem à cibersegurança. No entanto, continuamos a encontrar muitas empresas que, muito erradamente, consideram que os ataques e as grandes falhas “só acontecem aos outros” ou às grandes empresas. Na realidade, e sem prejuízo de alguns ataques dirigidos a grandes operadores, verificamos que, em termos de frequência, os ataques afetam maioritariamente as Médias e Pequenas Empresas. A escala dos últimos anos é verdadeiramente assustadora, com o cibercrime a ultrapassar um trilião de dólares em perdas para as entidades atacadas (10^12).
Como está o retrato português em comparação com outros países europeus? Creio que será interessante comparar a importância dada pelas empresas ao investimento que irão efetuar, nos próximos três anos, na gestão dos riscos tecnológicos e digitais. Neste caso, de acordo com as respostas dadas no âmbito do Estudo, as empresas portuguesas estão alinhadas com os seus pares internacionais quando consideram como prioridades de investimento futuro a tecnologia de segurança e a formação dos colaboradores. Sobre o investimento em medidas de resposta a incidentes e ao financiamento dos riscos, as prioridades das empresas portuguesas divergem face às das empresas internacionais. Se, por um lado, as empresas nacionais se mostram mais recetivas a temas como planeamento e preparação para incidentes e contratação de colaboradores na área da cibersegurança, as empresas internacionais, apesar de considerarem também estes pontos, manifestam um maior interesse em investir nos próximos três anos em mecanismos de transferência de riscos e seguros. Esta divergência pode ser reveladora de diferentes maturidades das organizações: as empresas portuguesas estão em fase de se munirem com o pessoal adequado e de implementação das medidas para reação e resposta a incidentes, enquanto que as empresas internacionais já terão realizado investimentos nestas áreas e estão já a procurar soluções de financiamento e transferência dos riscos.
Os cargos mais altos das empresas não estão sensibilizados para as preocupações relacionadas com cibersegurança? E o departamento de IT, está suficientemente sensibilizado? Por parte do C-Suite começa a haver uma maior sensibilização, muito porque as perdas são cada vez mais frequentes e tangíveis. A evolução dos resultados deste estudo da Marsh e da Microsoft, de 2017 para 2019, mostra essa subida no “ranking das preocupações” ao indicar uma maior disponibilidade para investir em ferramentas tecnológicas de prevenção e de proteção. No entanto, verifica-se uma menor recetividade à tomada das medidas de preparação e de defesa face à eventual materialização das ameaças cibernéticas (como a implementação de planos de continuidade de negócio ou planos de contingência), mas a awareness está presente. Quanto aos profissionais diretamente ligados às tecnologias (que sentem muito mais a pressão do risco), não creio que lhes falte sensibilidade, mas sim os instrumentos para transformar as preocupações e perceções em informação inteligível para a sua organização. Em alguns dos trabalhos de consultoria que temos desenvolvido, a identificação de riscos e a quantificação das potenciais perdas daí decorrentes têm sido um instrumento com que temos ajudado as empresas e, em especial, estes técnicos a passar, de forma objetiva, as suas preocupações a utilizadores e decisores.
O estudo conclui que sobe bastante o número de pessoas “nada confiantes” na resposta a ataques cibernéticos. A que se deve esta insegurança? No estudo global, 43% das empresas revela falta de confiança na capacidade de, pelo menos um dos seus parceiros de negócio, antecipar ameaças e impedir impactos das mesmas. Como vivemos num mundo em que a economia funciona em rede e onde, cada vez mais, temos a perceção de que todos dependemos de terceiros, da velocidade da comunicação e da partilha de informação, passamos a ter uma sensação de insegurança, quando avaliamos as potenciais consequências da disrupção destas cadeias valor, nos negócios e na vida.
A cibersegurança continua a ser uma preocupação apenas do departamento de IT? Ou tem-se estendido a outros departamentos da empresa? Como? Começa a ser unânime que a cibersegurança é uma questão estratégica e operacional das empresas, transversal a todos e que não é uma questão do departamento de IT. O grau de dependência das empresas da tecnologia e do digital é um fator vital para o desenvolvimento dos negócios. Os órgãos de gestão de uma organização têm que ser os primeiros a preocuparem-se com eventuais perdas ou danos decorrentes de ataques ou falhas. Será deles o papel de antecipar as eventuais consequências para o seu negócio destes ataques ou falhas, devendo considerar tanto fatores internos como externos, incluindo as relações com fornecedores e clientes. Cabe-lhes também a missão de tomar as medidas adequadas de mitigação desses impactos e de adequar os meios e recursos à gestão dos riscos percecionados. Constatamos então que as melhores práticas, as que revelam os melhores resultados, são aquelas em que a direção das organizações se envolve, quer seja na tomada de decisões ou em equipas multidisciplinares, sendo frequente encontrarmos a presença de áreas como: Produção, Operações, Logística, IT, Segurança, Legal, Financeiro e RH.
O RGPD é uma das grandes preocupações das empresas nesta altura, e refletida neste estudo. Em que é que a entrada de encarregados de proteção de dados nas empresas pode ajudar a mudar a perspetiva e estratégia de cibersegurança? A Proteção de Dados e a Cibersegurança são matérias relacionadas, ainda que distintas. O trabalho do DPO passa, também, pela segurança digital, mas não se esgota nele. Dependendo do perfil e prioridades do Encarregado de Proteção de Dados (nas situações em que seja nomeado), pode ser um impulso. Sobretudo ao nível de melhor organização de processos e monitorização. O DPO inevitavelmente vai fazer perguntas e tentar precipitar um estado de maturidade maior da segurança dos dados e da cultura de privacidade. |