Estado da nação na cibersegurança

A quantidade da informação disponível, a qualidade e atualidade da mesma e crescente necessidade de a tornar acessível aumentam em muito a apetência de atores maliciosos.

Por outro lado, os ciberataques têm vindo a tornar-se não só altamente elaborados do ponto de vista técnico, mas também geridos como qualquer negócio, tornando-se altamente profissionais.

Conjugando ambos os fatores, temos cada vez melhores atacantes e cada vez mais alvos de ataque. Estes ataques, quando direcionados, podem levar meses de preparação e meses até serem detectados. Um estudo da IBM (“Cost of a Data Breach Report 2021” (1)) indica que o tempo médio para deteção e contenção de um ataque a dados é de 287 dias!

Mas convém, antes de mais, clarificar o que se entende por cibersegurança, que não é um conceito igual para todos. Para muitos é apenas evitar ou responder a ataques informáticos. Mas a cibersegurança é muito mais que isso! Na versão mais comum, é a garantia da confidencialidade, disponibilidade e integridade da informação (não apenas dos sistemas). Parecendo simples, a concretização destes requisitos podem ser algo extremamente complexo e requer sempre uma análise para atingir o nível ótimo, até porque estes objetivos podem ser muitas vezes contraditórios.

Isto significa que a cibersegurança é, antes de mais um exercício de análise de risco e gestão de opções, equilibrando as necessidades com os recursos disponíveis. Com a complexidade e abrangência que temos nos ativos a proteger, a seleção dos meios deve ser altamente criteriosa. Mas para entender os riscos, o Chief Information Security Officer (CISO) deve conhecer todos os ativos, vistos de forma abrangente. Ainda há muitas empresas que vêm o CISO como uma parte do IT, relegando essa função a uma visão técnica e dependente do CIO ou CTO, o que retira muito da sua capacidade de intervir na avaliação e gestão do risco. Atualmente, quase todas as decisões empresariais têm impacto no risco da cibersegurança. Desde a escolha de um novo software, à definição de novos processos de negócio, criação ou extinção de áreas de negócio, reorganizações, aquisições de novas empresas ou alienação de empresas de um grupo, tudo vai ter impacto na segurança da informação. E a participação do CISO desde a primeira hora pode (e deve) apoiar a empresa. Por exemplo, na avaliação do valor de uma empresa que se pretenda adquirir, a avaliação do grau de maturidade da mesma em cibersegurança pode ter um impacto financeiro muito relevante(2). Desta forma, os CISO devem responder diretamente ao mais alto nível de decisão e ter a capacidade e o empowerment para acompanhar todas as áreas de negócio, de forma a poderem agir atempadamente e alertar sobre os riscos e medidas de mitigação necessárias. Apesar de ser ainda raro, a Security and Exchange Comission já publicou uma proposta de regulamento que, na prática, leva a que exista um CISO nos boards. Com a crescente globalização e harmonização de políticas, é expectável que rapidamente chegue também à Europa este requisito como uma forma de assegurar que a gestão de topo tem visibilidade e consciência dos riscos que podem afetar de forma drástica qualquer organização.

Do lado dos profissionais, estas responsabilidades devem também acarretar um conjunto de requisitos a cumprir, relacionados não apenas com a componente técnica da função, mas também com elevados padrões éticos. Neste momento, não existe, como em outras profissões, um controle profissional individual, com códigos de conduta a cumprir e com responsabilidade profissional bem definida, que permita a uma empresa ter a garantia que o CISO cumpre todos os requisitos da função e que, em caso de má avaliação de um risco, pode ser também chamado à responsabilidade (3).

Em resumo, apesar do progresso feito nos últimos anos, Portugal ainda tem um longo caminho a percorrer relativamente à Cibersegurança. Existem alguns fatores que são fulcrais e alguns mitos que urge clarificar. Mesmo que a dimensão do nosso país e do nosso tecido empresarial não fomente ataques altamente direcionados, estamos sempre vulneráveis a ataques de varrimento ou a servir de banco de ensaio a ataques maiores. E, como o passado recente nos mostrou, os ataques não escolhem dimensão ou área da empresa e do ponto de vista da população, tem havido um meritório trabalho de sensibilização do Centro Nacional de CiberSegurança. As campanhas de sensibilização, os relatórios e os cursos gratuitos são ações fundamentais para que a cibersegurança e a ciberhigiene passem a fazer parte do quotidiano. No entanto, ainda temos pessoas que consideram excessivas as medidas de cibersegurança. Ainda é infelizmente comum ouvir “qualquer pessoa pode ver toda a minha informação, que eu não tenho nada a esconder” e outras afirmações que demonstram que ainda não é totalmente aceite que a cibersegurança é um tema para todos.

Do ponto de vista da formação profissional, é urgente formar bons técnicos de cibersegurança. É amplamente reconhecida a falta de profissionais neste sector. Mas a formação em cibersegurança, dada a complexidade e abrangência do tema, não é algo que se resolva rapidamente. Deve haver uma coordenação entre universidades, politécnicos e ensino profissionalizante de forma a preparar os vários perfis necessários e com as valências que o mercado e a função exigem. Além da necessária vertente técnica a nível de redes, sistemas operativos, programação, etc., a cibersegurança exige também conhecimentos de risco, de gestão, de comunicação, entre outros.

Do ponto de vista empresarial, é também essencial que os nossos empresários reconheçam que a cibersegurança é um tema fulcral no sucesso das suas empresas e que compreendam que a falta de cibersegurança pode ter efeitos catastróficos para a organização, em qualquer setor e de qualquer dimensão. Devem por isso ter um CISO, que pode ir desde um serviço prestado externamente até uma equipa interna de vários profissionais, que tenha a competência para conduzir uma política de cibersegurança adequada à empresa.

1 https://www.ibm.com/security/data-breach

2 Um exemplo é o caso da cadeia de hotéis Marriot, que não conduziu uma análise eficaz de cibersegurança na aquisição da cadeia Starwood e foi multada em 2019 por um data breach que aconteceu antes da aquisição (https://www.debevoise.com/insights/publications/ 2019/07/proposed-99-million-marriott-gdpr-data-breach-fine)

3 Claro que, sendo um mercado muito pequeno, a própria comunidade de CISO faz essa avaliação.