Cibersegurança: para quando uma mudança da mentalidade das organizações?
Por Mafalda de Brito Fernandes, Associada da área de Propriedade Intelectual, Tecnologia, Media e Telecomunicações da Cuatrecasas
Têm sido constantes as notícias de incidentes de segurança em grandes empresas que prestam serviços críticos e essenciais. Nos últimos dias, TAP, Uber e Revolut foram algumas das empresas alvo de ataques cibernéticos, mas sabemos que “o que os olhos não veem, o coração não sente”.
Muitos outros incidentes ocorrem todos os dias, afetando as mais variadas empresas, com a única diferença de que aqueles que não conhecemos não foram divulgados por duas razões: porque os atacantes não quiseram ou porque as empresas conseguiram evitar o desastre reputacional do “leak”.
A tendência crescente de preocupação ao redor da cibersegurança não é acompanhada, contudo, de ações preventivas proporcionais. A Comissão Europeia tem-se debruçado sobre a proteção das redes e dos sistemas de informação, com a Diretiva NIS (relativa a medidas destinadas a garantir um elevado nível comum de segurança das redes e da informação em toda a União) e a concretização de algumas medidas complementares (respeitante à especificação pormenorizada dos elementos a ter em conta pelos prestadores de serviços digitais na gestão dos riscos que se colocam à segurança das redes e dos sistemas de informação). Mais recentemente, a proposta de Regulamento de Ciber-Resiliência veio propor novas regras de segurança para produtos digitais, ao longo do respetivo ciclo de vida.
Todas estas normas europeias impõem requisitos obrigatórios às empresas, mas também impõem um custo acrescido associado à implementação de soluções e ferramentas de segurança, à criação de novos processos internos e, tão ou mais importante, a alteração da cultura organizacional, mais sensível ao tipo de informação que trata. Mas serão estes custos mais elevados do que as potenciais perdas económicas e reputacionais resultantes de um incidente de segurança? A resposta é, naturalmente, negativa. Existe, ainda assim, uma grande resistência na implementação destes requisitos.
Algumas organizações ainda olham para as normas europeias como recomendações, ignorando prontamente os riscos a que podem estar sujeitas; outras focam-se nos “mínimos olímpicos” para garantir que têm uma política de segurança de informação, embora, e com alguma frequência, pouco revista e atualizada em função do desenvolvimento do sector e do panorama de ameaças.
Outro ponto que mereceria mais atenção, não só das empresas mas da Comissão Europeia, é referente aos ataques de engenharia social (p.e., phishing). A engenharia social consiste num conjunto de técnicas de exploração da fragilidade do fator humano, levando um indivíduo, da organização ou com relação de prestação de serviços com a organização, a crer na legitimidade da comunicação (seja ela via e-mail, sms, chamada de voz ou outra via) e do seu emissor, e a partilhar dados ou informações confidenciais ou até mesmo a clicar em links maliciosos que poderão permitir o acesso aos sistemas da organização ao atacante, permitindo-lhe realizar qualquer ação maliciosa.
Um nível elevado de maturidade só é atingido com a consciencialização dos trabalhadores, chefia e prestadores de serviços da organização, não só de forma periódica, mas também atualizada em função dos riscos a que estão sujeitos.
A cibersegurança assume (ou deveria assumir) um papel fundamental na garantia das operações do dia-a-dia das organizações que, cada vez mais, alicerçam grande parte dos seus serviços em plataformas digitais, naturalmente expostas às ameaças e riscos que poderão comprometer a confidencialidade, integridade e disponibilidade dos dados e dos sistemas de informação. Uma organização com um nível elevado de segurança da informação não está isenta de riscos, nem de sofrer um incidente de segurança, mas garante uma maior preparação e prontidão na deteção, contenção e mitigação do incidente, permitindo, em certos casos, evitar impactos operacionais, económicos e reputacionais.
Se trancamos a porta da nossa casa por questões de segurança, por que razão estamos a deixar a porta das organizações entreaberta?