C-Days Madeira: “também somos sistemas de informação e temos vulnerabilidades facilmente exploradas”

“Desafios da dimensão humana do risco” foi o tema de um dos painéis que subiram a palco do C-Days Madeira, no dia 9 de março. A mesa-redonda reuniu Miguel Agrochão, do Instituto Nacional de Administração (INA); Pedro Monzelo, da EY; e Sérgio Nunes, do Instituto Superior de Economia e Gestão da Universidade de Lisboa.

Os palestrantes focaram-se, primeiro, nos aspetos que consideram mais relevantes num acabado de apresentar Relatório Sociedade, lançado pelo CNCS. “Há uma camada gigante empresarial em Portugal, em que ainda não há um foco grande em cibersegurança. O relatório cita que 48% das PME, no ano de 2021, sofreram um incidente de cibersegurança, mas que 61% estão conscientes dos riscos”, disse Sérgio Nunes, revelando “uma sobrevalorização do conhecimento online e de achar que se está seguro”. 

“Medidas de prevenção e de deteção sempre foi a forma tradicional de lidar com a segurança”, comentou. “É importante, atualmente, nos focarmos na recuperação e na resposta, porque todas as empresas vão ser atacadas. Não há nada seguro”, afirma o Sérgio Nunes. Contudo, indica que o relatório nota um “esforço grande quer das empresas, quer da administração publica, do ponto de vista da sensibilização – a ciberhigiene”, além de dois vetores adicionais importantes: a parte educativa, ligada às universidades, e a parte técnica, “onde tem sido realizado um grande esforço com os cursos técnico-profissionais”.

Sensibilizar para prevenir

Adicionalmente, o representante da Universidade de Lisboa destaca que o relatório conclui que apenas 33% das empresas avaliam as ações de sensibilização que fazem. “Se eu não faço a medição do conhecimento que aprendi, como é que vou melhorar?”, reitera. Além disso, “existem zero cursos focados na população maior que 55 anos; isto é algo preocupante”. 

Miguel Agrochão, representante do INA, que tem a responsabilidade de cuidar da política pública de capacitação da administração, afirma que, “sendo as competências digitais uma área estratégica de formação, é impossível pensar em competências digitais sem pensar em cibersegurança”. No entanto, apesar de ter havido uma evolução positiva na administração, o relatório indica que apenas 26% das organizações tiveram formação obrigatória para os seus trabalhadores.

Na Administração Pública (AP), a ciberhigiene “é particularmente relevante”, porque “por muito trabalho que se faça em matéria de cibersegurança, de facto aqui o utilizador tem um potencial incrível para estragar tudo”. Miguel Agrochão considera que o trabalho de consciencialização é particularmente importante na AP, onde trabalham muito com software legacy, “que foi desenhado quando não havia estas preocupações com cibersegurança”. 

Neste âmbito, o porta-voz da INA considera fundamental “sensibilizar as lideranças para a importância de cuidar da ciberhigiene como um mecanismo de resiliência das organizações” (…) “o acesso à informação já existe, é preciso é mobilizar as lideranças para que reconheçam a importância de fazer este investimento preventivo e reduzir o risco de exposição”.

Pedro Monzelo, da EY, concordou, notando que o relatório conclui que “tanto nas PME, como na AP, o investimento em sensibilização ainda tem muito por onde ser melhorado”. O porta-voz da EY avança que a “sensibilização é mais que formação, isso é apenas um passo”, que deve ser complementado com o lado mais prático. “Mais do que termos uma formação em sala, é importante desenvolver um programa continuado com formas diversificadas de sensibilizar as pessoas”, como, por exemplo, campanhas de engenharia social, gamification, entre outros. 

“Nós também somos sistemas de informação, armazenamos, processamos e debitamos informação”, e “temos vulnerabilidades facilmente exploradas”. No âmbito da formação, “um dos desafios é tentar perceber como podemos formar tendo em conta todo o background da pessoa”, por exemplo, a faixa etária. “As PME dizem que estão muito sensibilizadas, mas o número de incidentes é muito elevado e a formação muito baixa. Saber que existe e não haver ação, não traz valor”, reitera.

Sérgio Nunes complementa, dizendo que, “da mesma forma que as empresas fazem avaliação de risco, cada pessoa individual também faz e vê se vale a pena a sua exposição no mundo digital”. Muitas vezes “as pessoas mais novas não fazem essa avaliação” ou “muitas vezes sabem que existe o risco, mas passam por cima dele”.

Pedro Mozelo considera que, apesar de a camada mais jovem estar muito ligada ao contexto digital, existe alguma “ingenuidade” do ponto de vista da privacidade. “Tal como temos sensibilização de segurança rodoviária, segurança ambiental, deve-se começar já nas próprias escolas a sensibilização para os riscos da segurança da informação”. 

Já Miguel Agrochão acredita que “se a população mais sénior está menos informada, a população mais jovem tende a desvalorizar a informação que tem. Relativiza e leva como se fosse uma inevitabilidade”. O porta-voz da INA contraria ainda o pressuposto de que por a AP estar mais envelhecida, há mais resistência à mudança. “Imaginando aquilo que era os serviços digitais da AP há dez anos e hoje não há comparação. É verdade que temos uma Administração envelhecida, mas também é verdade que tem tido sucessivamente a capacidade de se adaptar. Não é por acaso, e isso reflete-se no relatório, que apesar de tudo a AP tem liderado neste processo”, afirma. 

A IT Security é Media Partner do C-Days Madeira 2023