Ciber-resiliência: a preparação teórica colide com a realidade dos incidentes

O tema já não é se a organização vai sofrer um incidente de cibersegurança; é quando e, principalmente, se está preparada para responder.

A resposta, na maioria dos casos portugueses, não é animadora. Existe um fosso entre aquilo que os CISO acreditam que têm em termos de ciber-resiliência e aquilo que efetivamente funciona quando a adversidade bate à porta. Pedro Soares, National Security Officer da Microsoft Portugal, aponta que “os CISO sentem-se preparados e resilientes, com planos documentos, backups agendados, equipas e ferramentas. Porém, a realidade mostra falhas críticas”.

O problema não está, necessariamente, na ausência de planos, mas sim na sua validação ou falta dela. Segundo Pedro Soares, apenas cerca de 54% das empresas acionam ajuda especializada nos primeiros três dias após a deteção. As restantes demoram mais por não terem um processo claro definido.

Este cenário de excesso de confiança manifesta-se em áreas que muitos CISO assumem estar controladas, como a gestão de identidades. Um inquérito da Gartner a 335 líderes de IAM, realizado em 2024, revelou que as equipas de IAM são responsáveis por apenas 44% das identidades de máquinas de uma organização. As restantes 56% estão fora do seu controlo, mas continuam a ser exploradas por atacantes. Segundo dados da ReliaQuest, citados pela Gartner,até 85% das falhas relacionadas com identidades são causadas pelo comprometimento de identidades de máquinas.

O que os incidentes revelam

	“Em muitos casos, as equipas de cibersegurança estão excessivamente centradas nas operações técnicas e no controlo de ameaças imediatas, ficando o planeamento estratégico e a ligação às prioridades de negócio em segundo plano” Manuel Ferreira, Consulting Lead da Claranet Portugal

Manuel Ferreira, Consulting Lead da Claranet Portugal, identifica um ponto cego recorrente. “Um dos gaps mais comuns que observamos é a falta de alinhamento entre a perceção do CISO sobre a maturidade da ciber-resiliência e a realidade. Muitas vezes, os CISO subestimam a complexidade dos seus ambientes de IT e a interconexão entre os sistemas”.

A complexidade não para de crescer. Um inquérito da Gartner a 162 grandes empresas em 2024 aponta que as organizações utilizam, em média, 45 ferramentas de cibersegurança. Com mais de três mil fornecedores no mercado, os líderes de segurança precisam de otimizar os seus conjuntos de ferramentas para construir programas de segurança mais eficientes.

No entanto, a tecnologia é apenas parte da equação. Manuel Ferreira aponta uma dimensão frequentemente negligenciada. “Em muitos casos, as equipas de cibersegurança estão excessivamente centradas nas operações técnicas e no controlo de ameaças imediatas, ficando o planeamento estratégico e a ligação às prioridades de negócio em segundo plano”, diz.

A Diretiva NIS2 vem reforçar esse alinhamento entre governança, risco e negócio, exigindo uma abordagem mais integrada, baseada na avaliação contínua de risco, visibilidade dos ativos essenciais e articulação entre cibersegurança, continuidade de negócio e gestão de crises.

O estado da resiliência em Portugal

De acordo com Manuel Ferreira, que por sua vez se baseia em dados que a Claranet Portugal recolheu ao longo dos anos, o tempo médio de recuperação após um incidente de segurança é entre dois e três dias para organizações que têm um plano de disaster recovery implementado.

Este é, no entanto, parte do problema. Manuel Ferreira indica que “apenas cerca de 30% das empresas portuguesas testam os seus planos de disaster recovery regularmente a cada seis meses ou menos”. A taxa de sucesso de recuperação de backups é de cerca de 80%, mas varia muito dependendo da frequência e qualidade dos backups, diz. Ao mesmo tempo, apenas 20% das organizações têm um plano de continuidade de negócio abrangente e testado.

A nível global, os números confirmam a tendência. Dados da Information Age de 2022 indicam que 41% das organizações falharam em testes dos seus sistemas de disaster recovery nos últimos seis meses ou não conseguiriam dizer quando foi o último teste. Entre as organizações com um plano desenvolvido, a maioria testa-o não mais do que uma vez por ano e 7% não realiza qualquer teste.

Segundo a Halcyon, o tempo médio para conter uma violação de ransomware em 2024 foi de 64 dias. Em 2023, apenas 22% das organizações conseguiram restaurar completamente as operações dentro de uma semana após um ataque de ransomware. Entre 2022 e 2024, os atacantes de ransomware tiveram acesso sem restrições aos dados das vítimas durante uma média de mais de 70 dias antes de serem removidos.

Pedro Soares acrescenta contexto baseado no Microsoft Digital Defense Report e indica que “os dados mostram que um atacante permanece, em média, 12 dias dentro de uma organização antes de ser detetado e removido, o que revela que a deteção e contenção continuam lentas”.

Quando o orçamento é limitado

Para muitas organizações portuguesas, especialmente de média dimensão, o tema não é apenas o que fazer, mas como priorizar quando os recursos são escassos. As perspetivas dos especialistas convergem num ponto: voltar ao básico.

Rúben Viegas, Cybersecurity Lead da Accenture, vai direto ao ponto e afirma que “compreender realmente os processos e ativos críticos do negócio, pois são estes que realmente precisam de medidas mais específicas de proteção, deteção, contenção e de serem recuperados imediatamente em caso de incidente. Os restantes podem ter medidas com objetivos de proteção e recuperação mais reduzidos”.

Manuel Ferreira, da Claranet Portugal, complementa que “a primeira prioridade em ciber-resiliência deve ser a implementação de um plano de backup e recuperação de dados robusto e testado regularmente. Isso inclui a realização de backups frequentes, armazenamento seguro dos dados e testes regulares de recuperação”.

“A principal prioridade, quando o orçamento é limitado, deve ser garantir os fundamentos da resiliência. Antes de investir em ferramentas avançadas, um CISO com recursos reduzidos precisa de assegurar que existem backups isolados e offline dos dados críticos, testados regularmente e um plano de resposta a incidentes bem definido e treinado” Pedro Soares, National Security Officer da Microsoft Portugal

Para Pedro Soares, da Microsoft, “a principal prioridade, quando o orçamento é limitado, deve ser garantir os fundamentos da resiliência. Antes de investir em ferramentas avançadas, um CISO com recursos reduzidos precisa de assegurar que existem backups isolados e offline dos dados críticos, testados regularmente e um plano de resposta a incidentes bem definido e treinado”.

Segundo um estudo da Sophos em 2024, as organizações que utilizam backups para recuperar de ataques de ransomware incorreram num custo médio de recuperação de 750 mil dólares, em comparação com os três milhões de dólares de resgate médio exigido.

O elo mais fraco que poucos reforçam

Rúben Viegas aponta a gestão de identidades e acessos como um dos desafios para as organizações. “Em todas as suas vertentes, como a gestão de acessos privilegiados, [a gestão de identidades e acessos] continua a ser um desafio dada a constante reinvenção e disrupção tecnológica. No entanto, uma grande parte dos incidentes continua relacionado com a gestão de identidades”, afirma.

Os dados globais sustentam esta observação. O inquérito de Liderança em IAM da Gartner de 2024 revelou que 54% das organizações registaram um aumento nas violações de identidade de uma forma geral. O problema estende-se aos ambientes híbridos e cloud.

Pedro Soares identifica padrões frequentes nos incidentes de ransomware em cloud. “Muitas empresas tratam a cloud como uma simples extensão da rede interna, sem segmentação adequada, algo que os grupos de ransomware aproveitam”, explica. Habitualmente, os cibercriminosos comprometem uma identidade privilegiada mal protegida, geralmente sem autenticação multifator robusta, e movimentam- se lateralmente dentro da cloud, atingindo máquinas virtuais, bases de dados e até eliminando backups.

O Microsoft Digital Defense Report revela que mais de 40% dos ataques de ransomware já envolvem componentes híbridos, quando há dois anos eram menos de 5%. A segmentação adequada já não é opcional.

O custo real da má arquitetura

A diferença entre uma infraestrutura híbrida bem desenhada e uma mal concebida não se mede apenas em horas de downtime, mas sim em semanas de paralisação, milhões de euros perdidos e, em alguns casos, na sobrevivência da organização.

Pedro Soares partilha que “empresas com uma arquitetura bem desenhada – com workloads críticos replicados na cloud, planos de failover testados e segmentação adequada – conseguem recuperar de um desastre em poucas horas. Já infraestruturas híbridas mal concebidas – sem redundância, com dependências ocultas entre on-premises e cloud ou sem backups isolados – enfrentam recuperações lentas e complexas que podem durar dias ou semanas”.

Em 2024, 84% das vítimas que pagaram resgate não conseguiram recuperar totalmente os seus dados após o ataque, afirmam dados da Halcyon. Apenas 46% dos que pagaram resgate conseguiram recuperar os seus dados com sucesso, frequentemente com alguma corrupção.

O investimento em segurança continua, no entanto, robusto. A Gartner prevê que os gastos globais dos utilizadores finais em segurança da informação totalizem 212 mil milhões de dólares em 2025, um aumento de 15,1% face a 2024. A IDC projeta que os gastos globais em segurança aumentem 12,2% em 2025 à medida que as ciberameaças aumentam a nível mundial.

Testes: mais teoria do que prática

Manuel Ferreira estima que apenas cerca de 40% das organizações em Portugal testam os seus planos de disaster recovery ou continuidade de negócio antes de existir um problema real, mas, alerta, o número varia muito consoante o setor e a maturidade da organização em termos de cibersegurança.

Globalmente, os números são preocupantes. De acordo com um relatório da Sophos de 2024, menos de 7% das empresas conseguem recuperar dentro de um dia. Para empresas menos preparadas, pode levar dias, semanas ou até meses.

Em 2024, 35% das organizações levaram uma semana ou menos para recuperar de um ataque de ransomware. Em 2023, este número era de 47%. De um modo geral, as organizações estão a ficar piores a responder rapidamente.

Pedro Soares sublinha o Microsoft Digital Defense Report: “estima-se que menos de metade das empresas tenha realizado exercícios formais do plano de disaster recovery nos últimos seis meses, algo que a equipa de incidentes da Microsoft constata frequentemente. Esta ausência de validação explica a baixa taxa de sucesso na recuperação de backups durante ataques: os backups existem, mas muitas vezes não funcionam ou demoram mais do que o previsto porque ninguém confirmou os procedimentos antecipadamente”.

Não é a tecnologia que falha. É o processo

Manuel Ferreira, da Claranet Portugal, partilha que, “quando uma empresa nos contrata após um incidente, o problema que causa o maior impacto é frequentemente uma combinação de falha técnica e falha de processo. Em muitos casos, a falta de processos adequados de segurança, como a falta de autenticação multifator ou a não aplicação de correções de segurança, contribui para o incidente”.

De acordo com um estudo da IDC, as organizações experienciaram em média nove incidentes de segurança na cloud em 2024, com 89% a reportar um aumento ano após ano. A investigação da IDC revela que as plataformas de proteção de aplicações nativas da cloud são agora um dos três principais investimentos em segurança para 2025.

Os estudos mostram que o fator humano continua a ser crítico. Estimativas da indústria, segundo a Forrester, indicam que até 74% das violações de cibersegurança incluem um elemento humano, onde as pessoas estão envolvidas no erro, uso indevido, credenciais roubadas ou engenharia social utilizada na violação de cibersegurança.

Frameworks que funcionam

	“Conseguimos ver já hoje eficiências operacionais e redução de custos na utilização de IA generativa e Agentic AI em várias áreas da segurança, permitindo, assim, que os recursos existentes se possam focar em tarefas mais críticas e menos repetitivas” Rúben Viegas, Cybersecurity Lead da Accenture

Rúben Viegas, da Accenture, relembra que “existem várias [frameworks], algumas mais universais, outras mais específicas por indústria, mas o foco é semelhante. O mais importante é começar”, sublinha. Um bom ponto para as empresas portuguesas de pequena e média dimensão começarem é o Quadro Nacional de Referência para a Cibersegurnaça, diz.

A Gartner reconhece amplamente que o ciber- -risco é um risco central do negócio a gerir e não um problema tecnológico a resolver. Os líderes estão a mudar a cibersegurança de uma mentalidade de prevenção para um foco na resiliência. A ciber-resiliência abraça uma mentalidade de “quando, não se” e procura minimizar o impacto dos ciberincidentes na empresa e melhorar a adaptabilidade.

Apesar da incerteza macroeconómica contínua em 2025, os gastos em cibersegurança vão aumentar 13,1% este ano para 174,8 mil milhões de dólares, impulsionados por preocupações contínua em torno de ciberataques e pela necessidade de proteger novas implementações baseadas na cloud, segundo a Forrester.

IA: catalisador de resiliência ou de vulnerabilidades?

A Inteligência Artificial (IA) generativa está a redefinir o panorama de cibersegurança de forma que ainda estamos a começar a compreender. Pedro Soares defende que “o impacto será dual”.

Por um lado, a IA vai reforçar a defesa. “A Microsoft já utiliza IA para correlacionar sinais e reagir em segundos a ameaças que antes demoravam horas, o que significa que muitos incidentes podem ser contidos antes de causarem danos significativos”. A automação inteligente via ajudar a priorizar alertas e até a orquestrar recuperações, como isolar sistemas comprometidos automaticamente.

Por outro lado, a IA torna o cenário mais desafiante. 57% das organizações reportaram mais incidentes de segurança ligados à utilização de inteligência artificial, segundo a Gartner. É uma “faca de dois gumes”, como refere Pedro Soares.

A Gartner prevê que, até 2027, 17% do total de ciberataques e fugas de dados vão envolver IA generativa. Os atacantes utilizam inteligência artificial para criar malware mais furtivo e campanhas de phishing mais convincentes, aumentado o volume de ataques com relativamente pouco esforço.

Rúben Viegas, da Accenture, observa que “conseguimos ver já hoje eficiências operacionais e redução de custos na utilização de IA generativa e Agentic AI em várias áreas da segurança, permitindo, assim, que os recursos existentes se possam focar em tarefas mais críticas e menos repetitivas”.

De acordo com dados de 2024 da Forrester, 35% dos CISO e CIO globais consideram explorar e implementar casos de uso para IA generativa para melhorar a produtividade dos colaboradores como uma prioridade máxima. No entanto, a falta de resultados práticos está a fomentar desilusão.

Manuel Ferreira sintetiza que “a inteligência artificial e a automação vão mudar significativamente a ciber-resiliência nos próximos dois anos. Por um lado, a IA pode ajudar a melhorar a deteção e resposta a incidentes, permitindo uma reação mais rápida e eficaz. Por outro, a IA e a automação podem introduzir novos riscos, como a possibilidade de ataques mais sofisticados e direcionados”.

A Gartner prevê que, até 2027, os CISO que investem em programas de resiliência pessoal específica para cibersegurança vão ter 50% menos atrito relacionado com burnout do que os pares que não o fazem.

A resiliência começa com a preparação, não com a resposta

A mensagem que emerge é de que a maioria das organizações portuguesas não está preparada para um incidente sério de cibersegurança. Não porque careça de tecnologia ou de orçamento, que pode ser um fator, mas porque não valida os planos que tem.

Em 2025, o pagamento médio de resgate caiu para cerca de um milhão de dólares, uma queda de 50% face aos dois milhões em 2024, segundo um estudo recente da Sophos. Estima-se, no entanto, que 97% das organizações que tiveram dados encriptados conseguiram recuperá-los através de backups, ferramentas de desencriptação ou pagamentos.

Para organizações com backups não comprometidos, 46% recuperam numa semana ou menos, em comparação com 25% para aqueles cujos backups foram comprometidos. A diferença está na preparação.

A ciber-resiliência não se compra num catálogo de soluções. Constrói-se através de exercícios práticos, testes regulares, identificação clara de ativos críticos e, sobretudo, através da compreensão de que prevenir é impossível, mas recuperar rapidamente não é.

O fosso não está entre o que as organizações têm e o que precisam. Está entre o que pensam que funciona e o que realmente funciona quando a teoria colide com a realidade de um incidente.

Pedro Soares resume que, “quando não há ensaios, surgem falhas como credenciais desatualizadas, passos em falta e equipas sem coordenação, prolongando a interrupção das operações. Em contraste, as organizações que testam regularmente os seus planos e verificam os backups conseguem retomar atividades muito mais rápido”.

Manuel Ferreira termina com uma chamada à ação. “A ciber-resiliência é um desafio complexo que requer uma abordagem holística e proativa. Com a evolução da tecnologia e a crescente sofisticação dos ataques, é fundamental que as organizações estejam preparadas para responder eficazmente a incidentes e minimizar o seu impacto”.

Para as organizações, a pergunta deixa de ser “estamos preparados?” e passa a ser “quando foi a última vez que testámos se estamos preparados?”