“É fundamental que as organizações avaliem os riscos a que se encontram expostas”, diz Pedro Machado do CESICP/ISEC Lisboa

A guerra na Ucrânia, a inflação ou as taxas de juro são factores associados ao aumento de ciberataques em todo o mundo. Pedro Machado, coordenador científico e professor no CESICP/ISEC Lisboa (Instituto Superior de Educação e Ciências de Lisboa), explica à Risco como é que as organizações devem proteger os seus activos críticos, essenciais para uma sociedade mais livre e justa.

A tendendo ao actual contexto político e económico em que vivemos, qual a importância da cibersegurança para as diversas organizações e instituições?
A cibersegurança assume sempre uma elevada importância para qualquer organização, encontrando nos contextos em que se insere importantes factores de majoração. Para melhor compreendermos a questão, comecemos por procurar identificar os diferentes contextos e dissecar os respectivos factores micro e macroambientais, os quais afectam a organização de modo endógeno e exógeno, respectivamente.
Na perspectiva endógena podemos dissecar as dimensões dos processos de Negócio, Organização, Tecnologia e Informação (POTI segundo o modelo OGC), e na perspectiva exógena consideremos os factores Político, Económico, Social, Tecnológico, Legal e Ambiental (PESTLE). Em qualquer destes contextos, serão irrefutáveis os efeitos e a pressão que as organizações sofrem para uma contínua mudança, a fim de se adaptarem a estas dimensões.
Com este entendimento, compreendemos sistematizadamente como o factor político pressiona actualmente as organizações, justificado, por exemplo, pelo actual conflito na Ucrânia. Tal como o factor económico pressiona por via da inflação e o social, pelas alterações de estilo de vida e de consumo dos cidadãos, com especial foco para a dependência do digital. Ou o tecnológico, pela forma como a evolução (tecnológica) impacta a competitividade e o crescimento das organizações, e o legal, pela célere publicação de legislação. Por fim, o ambiental, na forma como as organizações necessitam de se adaptar às alterações climáticas.

Se mapearmos agora estes factores no plano da cibersegurança, compreendemos como a guerra na Ucrânia explica a avalanche de ciberataques que resultam de operações provenientes de Estados (decorrente de guerra híbrida), que sistematiza com vários métodos, como a própria desinformação. Semelhantemente, a inflação, as taxas de juro ou os níveis de desemprego justificam muitos outros ciberataques, em alguns casos com motivações hackativistas, por actores que visam promover determinadas ideologias e crenças. Ao desenvolvermos este racional nos demais factores anteriormente referidos, compreendemos como a cibersegurança assume um papel verdadeiramente fundamental para a continuidade e sobrevivência de qualquer organização.
A existir, a falta de investimento em cibersegurança, em qualquer organização, corporizará a incapacidade de gestão, bem como a falta de sensibilidade e de visão estratégica.

Quais os principais problemas das empresas na adopção de soluções de segurança?
Não obstante depender muito das organizações em causa, e da adequabilidade das referidas soluções, são mesmo muitos os desafios que terão de ser considerados. Nem todas as soluções são adequadas, e nem tudo se resolve com tecnologia…
Muitas vezes, a falta de business case e as dificuldades de comunicação com a gestão de topo levam à inibição de investimentos, representando desta forma um dos referidos problemas, a acrescer à complexidade que a adopção dessas soluções pode assumir, por dificultar integrações e exigir profissionais muito especializados, o que agravará, ainda mais, tanto os custos de investimento, como de operacionalização dessas soluções.
E, porque nem tudo se resolve e justifica com tecnologia, a inexistência de políticas corporativas e de consciencialização contribuiu para limitar a percepção de riscos por parte de muitos decisores.
Muito cuidado com aconselhamento e recomendações de “pseudoespecialistas”, sejam internos ou externos às organizações, que curricularmente não acompanham a proficuidade necessária à célere e complexa evolução da cibersegurança, ou corporizam um discurso onde tudo se resolve com tecnologia, desviando o foco multidimensional e multidisciplinar que os reais desafios das organizações endereçam.
É, assim, fundamental que as organizações avaliem os riscos a que se encontram expostas, promovendo a consciencialização responsável, que permita analisar as soluções técnicas realmente adequadas às características morfológicas de cada organização, dissecando a “resolução do problema”, sempre numa perspectiva trinomial de pessoas, processos e tecnologia, e com isso compreenda e resolva os problemas desde a sua raiz.

Como podemos lidar e potenciar a Protecção de Dados Pessoais, face a um mundo cibernético onde os nossos dados podem estar à disposição de qualquer pessoa?
Nos últimos anos temos assistido a um aumento da literacia sobre dados pessoais. Isto resultou, não só da publicação de legislação local e europeia sobre o tema, mas também de como o cidadão comum se sente vulnerável ao navegar e usufruir de serviços do ciberespaço.
Quando os telejornais em horário nobre noticiam a respeito de operações bem-sucedidas no conflito Ucrânia-Rússia, que têm por base a geolocalização de telemóveis, seja por GSM ou IP, produz um despertar para como qualquer pessoa pode ser um alvo fácil, independentemente do teatro em que se insere.
Adicionalmente, o modo como muitos cidadãos são vítimas, na sua vida profissional ou pessoal, de ataques que corporizam complexas morfologias, contribui igualmente para um aumento da consciencialização para o risco.

Todavia, porque não faria sentido “voltarmos para a caverna”, regredindo na forma como a sociedade usufrui beneficamente da tecnologia, convém que a utilização da mesma, especialmente na navegação no ciberespaço, possa ser realizada de forma responsável.
Assim, resulta a importância de implementarmos medidas para protegermos os nossos dados pessoais. E que passam pela utilização de políticas de passwords complexas e resilientes a ataques, as quais devem ser acompanhadas de métodos de autenticação de múltiplos factores. Mas também por assumir sempre um comportamento defensivo e “desconfiado”, que evite navegar em links de websites suspeitos ou executar ficheiros desconhecidos ou suspeitos. Simultaneamente, evitar fornecer dados pessoais em contextos suspeitos ou inseguros (em comunicações abertas), com especial relevância para dados que representem um maior risco para nós, como dados financeiros, vídeos, fotos, dados de saúde, etc.

Por fim, é imperativo utilizar apenas sistemas informáticos devidamente configurados e actualizados, que se encontrem protegidos por controlos de segurança (como o firewall e antivírus atualizado, disco encriptado e backups regulares aos dados relevantes).
O acesso às redes deverá ser realizado por uma ligação segura, pelo que se deve evitar a utilização de redes abertas (como em estabelecimentos comerciais), para além de recorrer a VPN seguras.
Ainda assim, por mais que se implementem controlos de segurança, importa preservar a consciência de que é impossível evitar ameaças no ciberespaço, de modo que todo o cuidado é importante para reduzir a probabilidade de vivermos um incidente com relevância, para a nossa imagem, reputação ou património.

De que forma deve ser implementada e desenvolvida a Gestão de Risco Tecnológico?
A Gestão de Risco Tecnológico tem de estar implementada e desenvolvida de modo sistematizado. Na verdade, existem várias normas e standards de referência para o efeito, que detalham aprofundadamente como poderá ser estabelecida, implementada, revista e melhorada.
Genericamente, deverá iniciar com a avaliação do contexto em que a organização opera, seguindo-se a avaliação que compreende a identificação dos activos tecnológicos, pois muitas organizações desconhecem os activos que possuem, o que leva à falta de gestão dos mesmos e à subsequente promoção de risco.
Segue-se uma avaliação dos riscos tecnológicos (que resulta das ameaças, controlos existentes e vulnerabilidades), bem como das potenciais consequências que levam a falhas de comunicações, seja no hardware ou no software, ou falhas humanas que podem resultar da falta de formação, mas também de competências tecnológicas.

De seguida, será fundamental a avaliação do nível de risco. A qual pode ser realizada de uma forma qualitativa, recorrendo a escalas previamente definidas e que representem os possíveis níveis de risco a considerar. Ou de forma quantitativa, onde serão considerados factores estatísticos de ocorrência. Por fim, a combinação da probabilidade de ocorrência e o potencial impacto expectável permitem determinar o valor concreto do risco, o qual será o elemento que determina a relevância do mesmo, bem como a justificação da resposta que a organização considerar mais adequada, podendo tratar, tolerar, transferir ou terminar o risco (os famosos 4 Ts).
Para finalizar, gostava de deixar uma nota fundamental, a gestão de risco deve ser revista regularmente, ou seja, não se depreende como um processo a realizar numa única vez, pois esperam-se os anteriormente referidos factores endógenos e exógenos, que levam certamente a alterações nos potenciais riscos tecnológicos.

Qual o papel da cibersegurança para a segurança nacional? Quais os pontos fortes e principais desafios?
A cibersegurança assume um papel fundamental na segurança nacional de qualquer nação, especialmente quando falamos de infra-estruturas críticas nacionais, onde a sua operacionalidade e funcionamento são muitas vezes vitais para o país em causa. Nomeadamente, as entidades dos sectores da Energia, Transportes, Bancário e Financeiro, Saúde, Água, Infra-Estruturas Digitais, Administração Pública, Espaço e Alimentar, os quais constituem pontos críticos para a segurança nacional, especialmente em cenário de guerra híbrida.

Ora, a bem da segurança nacional, é fundamental a disponibilização de recursos humanos, técnicos e financeiros em cibersegurança, especialmente nos sectores anteriormente referidos, entre outros que a lei possa não ser prescritiva, mas que corporizem igualmente um papel fundamental na resiliência nacional.
Se pensarmos na quantidade de sistemas legacy com que, tanto o sector público como o privado, têm de conviver, a cibersegurança pode tornar-se um desafio bastante complexo do ponto de vista técnico, que requer decisões e acções ágeis por parte dos intervenientes.
A consciencialização para os riscos da utilização do ciberespaço assume uma criticidade elevada, para o cidadão comum e para o mais alto decisor político. É, portanto, fundamental investir no aumento da literacia nestes domínios, o que permitirá uma maior consciencialização dos riscos.
A protecção dos activos críticos é, pois, essencial para toda a sociedade, garantindo o seu correcto funcionamento na prestação dos serviços estratégicos para uma sociedade livre, justa e solidária.

O que esperar da Estratégia Nacional de Ciberdefesa aprovada no ano passado pelo Conselho de Ministros?
A Estratégia Nacional de Ciberdefesa aprovada no passado dia 20 de Outubro representa um passo natural para a contínua edificação e aprofundamento de capacidades nacionais de ciberdefesa, que contribuirá para o reforço e a resiliência de Portugal no ciberespaço.
Tal como anunciado pelo Governo, visa, entre outros, estabelecer importantes sinergias e cooperação entre actores nacionais e internacionais, aproximando Portugal de outras organizações e entidades parceiras, como a NATO ou a União Europeia, promovendo o desenvolvimento industrial, científico e tecnológico.

Claro, qualquer tipo de estratégia não se pode ficar pelo papel, ou seja, deve ser consequente, com um esforço de investimento necessário para a sua adequada e responsável execução. A Estratégia não pode figurar um mero instrumento de demonstração de intenções políticas, especialmente quando visa a ciberdefesa nacional, onde uma crise pode ter implicações sistémicas para Portugal e para os nossos parceiros europeus e internacionais, situação que justifica uma muito reduzida tolerância ao risco.
Espera-se, naturalmente, o cumprimento da Estratégia e dos investimentos anunciados pelo Governo para a sua execução, carecendo de uma monitorização regular e rigorosa, a fim de permitir uma percepção profícua da sua implementação e, em qualquer momento, a realização de rectificações que assegurem a adequabilidade da execução desta estratégia.