C-Days Madeira: “há um conhecimento generalizado, mas não há uma consciencialização massiva dos riscos”

O primeiro painel da tarde do C-Days Madeira foi dedicado ao tema “a governança e maturidade em cibersegurança” e contou com a participação de Carlos Soares Lopes, CEO da StartUp Madeira, com Nuno Escudeiro, do Instituto Politécnico do Porto e da Universidade Europeia ATHENA, e António Jardim Fernandes, da Associação Comercial e Industrial do Funchal.

Carlos Soares Lopes relembra que “a realidade das empresas é bastante distinta uma das outras”. O CEO da StartUp Madeira compara a maturidade digital das organizações com as pessoas; existem empresas que ainda são crianças, que querem evoluir, mas ainda não o fizeram; depois existem as startups, que são jovens e que procuram ganhar o seu espaço no mercado; e, por fim, existem empresas que já são adultas e que têm mais investimento e uma maior preocupação com estes temas. Depois, existem “empresas que utilizam software criados há mais tempo que podemos comparar com a nossa idade de reforma, ou seja, que estamos mais vulneráveis e corremos menos porque o software não permite ou a equipa não está adaptada à nova realidade”.

“Cada empresa está numa fase diferente e mesmo que tenham a mesma idade e tipo de pessoas, o treino faz a diferença; é preciso treinar e este é um treino e desafio contínuo porque tudo o resto não para. É necessário vender, ir buscar investimento, cumprir toda a amplitude e deveres, mas num mundo cada vez mais global”, partilha o CEO da StartUp Madeira.

No caso da Associação Comercial e Industrial do Funchal – que abarca não só empresas mais recentes, mas também empresas com mais tempo de mercado, António Jardim Fernandes afirma que há empresas mais sensíveis do que outras ao tema da cibersegurança, mas a perceção é “que ainda estamos muito longe dos decisores – seja qual for o tipo de empresa – estarem verdadeiramente envolvidos nos temas da cibersegurança”.

“A maioria das pessoas já tem awareness de que este problema existe, mas não se envolvem. Quando têm de reagir, acham que é um problema de comprar tecnologia ou produtos chave na mão quando, se calhar, nada está mais errado do que isto”, explica António Jardim Fernandes, que acrescenta que “só quando se conseguir sensibilizar que a gestão de topo se tem de envolver nesta problemática” é que pode existir alguma diferença na abordagem.

Comparando com os cofres, ninguém consegue comprar um cofre para proteger toda a sua casa; é preciso escolher os itens que se querem proteger e coloca-los lá; o mesmo é com a cibersegurança e é preciso perceber o que é mais necessário proteger.

Nuno Escudeiro indica que, no caso do Instituto Politécnico do Porto, existem mais de 22 mil pessoas a aceder a diferentes serviços e “há uma consciencialização das presidências e reitorias das universidades, mas depois, ao nível operacional, ainda há muito por fazer. A Europa e o espaço do ensino superior europeu está a passar por uma transformação bastante ambicioso – promovido pela Comissão Europeia e pelos Estados-membros – para criar consórcios de universidades que funcionam como entidade única que agregam todas as competências e staff para promover a cidadania europeia e as mobilidades”.

“Temos uma série de iniciativas em curso que passam pela sensibilização dos estudantes e do staff”, explica Nuno Escudeiro, até porque a realidade é muito distinta. Assim, são realizadas ações regulares – nomeadamente de simulação de phishing – para “normalizar o conhecimento para este tipo de problemas. Não é uma questão de hardware e software, mas sim de as pessoas terem cuidado e saberem onde estão os riscos”.

Questionado sobre se as pessoas têm noção da marca que deixam na Internet, Nuno Escudeiro responde que “depende do background”. Quem “está em informática ou nas engenharias, terão uma maior perceção do custo destes riscos do que colegas que estão na área da educação. No entanto, há um conhecimento generalizado, mas não sei se há uma consciencialização massiva dos riscos”.

Capacitação e sensibilização

António Jardim Fernandes diz que, naturalmente, a capacitação das pessoas é muito importante. “A maioria das pessoas está consciente de que há riscos, mas não têm consciência nem das consequências que podem existir nem do custo de repor a normalidade depois de acontecer”, defende.

“A maioria dos problemas está entre a secretária e a cadeira e não nos sistemas. Nesse sentido, quando olham para segurança, as empresas têm de olhar que não acaba no dispositivo, mas sim na pessoa e têm de pensar em como é que se pode aceder a esse dispositivo. Temos de incluir no conceito de segurança as próprias pessoas que fazem parte da organização”, refere António Jardim Fernandes, da Associação Comercial e Industrial do Funchal.

Carlos Soares Lopes, da StartUp Madeira, diz que, “a nível individual, recebemos emails e SMS com esses ataques. A verdade é que não sabemos qual será o efeito seguinte se cair a primeira vez. É importante evitar. Temos de ir treinando para os ataques porque faz parte das boas práticas para que as empresas possam sensibilizar os seus colaboradores. Isso é algo que tem de existir, mas ainda estamos longe”.

Nuno Escudeiro indica que, de forma geral, “só temos perceção dos riscos depois de eles terem acontecido uma ou duas vezes e uma aplicação que pode parecer inócua não será bem assim”. Ao nível das organizações, “é importante ter informações sobre os ativos e infraestruturas que poderão colocar em risco a segurança de dados”.

A IT Security é Media Partner do C-Days Madeira 2023