Reforçando a Resiliência Cibernética: Frameworks de Segurança e Regulamentações na Era Digital

Por outro lado, as organizações, ao realizarem as suas transformações digitais, seja por inovação, otimização de custos ou outros fatores, aumentam a probabilidade de ocorrência de ataques cibernéticos que são o alvo preferencial dos atacantes que vêm nas mesmas uma fonte de receita.

Fruto deste contexto urge a necessidade de implementar medidas de segurança capazes de endereçar os presentes desafios com o objetivo de garantir a confiabilidade do mundo cibernético. O reconhecimento desta realidade é cada vez mais notório na presente legislação e regulamentação europeia que adiciona, aparentemente, um nível de complexidade às organizações que têm de garantir a sua conformidade. Digo aparentemente porque devemos entender a conformidade como o resultado continuado das boas práticas e não como um objetivo temporal. Na última década, a cibersegurança tornou-se numa prioridade europeia, impulsionada pela necessidade de segurança dos serviços essenciais e quantidade de dispositivos ligados à internet. Assim, é expectável que esta permaneça para assegurar o acompanhamento de novas realidades, como a inteligência artificial, de modo a regulamentar os riscos a elas inerentes.

Permitam-me alguns paralelismos: começar uma casa pelo telhado ou sem uma boa fundação não parece ser uma boa ideia; de igual forma, as organizações devem garantir a conformidade através da legislação ou regulamentação aplicável com uma base sólida, estruturante e alicerçada em boas práticas reconhecidas internacionalmente. Todos sabemos que muita da regulamentação é tardia e visa corrigir ou uniformizar práticas menos corretas. Na sua essência as leis existem porque não existem boas práticas ou bom senso, logo não é sábio que sejam apenas as leis a ditar a forma como as organizações são geridas no que se refere aos seus processos de gestão e operação de cibersegurança.

A lista de legislação europeia tende a aumentar e, entre as de maior abrangência como o RGPD, NIS / NIS2 ou as mais setoriais como DORA, Cybersecurity Act EU ou a UNECE R 155, têm cada vez mais impacto nas organizações. A última provocando recentemente, no setor automóvel, o descontinuar de modelos de reconhecidas marcas, como a Porsche e a Volkswagen, devido a requisitos relacionados com sistemas de gestão de cibersegurança europeus. Não há como negar que a regulamentação vai continuar a cair como a chuva em dias de tempestade e não será suficiente construir apenas telhados e muito menos de vidro.

A adoção de frameworks, como a ISO27001, é a base estruturante que vem capacitar as organizações face aos desafios que são impostos pelo negócio, relativamente à segurança dos seus ativos de informação, e responder proativamente aos requisitos de conformidade com a legislação e regulamentação destas matérias. A implementação de sistemas de gestão de segurança da informação proporciona uma abordagem estratégica, tática e operacional baseada na gestão de risco, promovendo a melhoria contínua dos processos, da tecnologia e da literacia dos recursos humanos.

As próprias frameworks evoluem e, na sua essência, são desenvolvidas para partilhar boas práticas, que devem ser consideradas pelas organizações e aplicadas à sua realidade. Dificilmente iremos encontrar um tema abordado nas regulamentações ou nas diretivas acima referidas que não seja contemplado pelas frameworks de segurança da informação. Neste sentido, será sempre necessário modelar estes requisitos nos processos internos e desenvolver mecanismos de reporting específicos, mas que na sua base já se encontram preconizados nas frameworks.

O contexto em que as organizações se encontram envolvidas está em constante evolução, seja por fatores internos ou externos, surgindo novos desafios que, se não forem endereçados, tornar-se-ão em reais ameaças. Importa sublinhar que a adoção e implementação de frameworks têm de ser consolidadas com pertinentes avaliações, testes e auditorias regulares, que visam manter a eficácia e eficiência dos controlos implementados. No entanto, simultaneamente, estas devem garantir o alinhamento com o princípio inicial, a confidencialidade, integridade e disponibilidade dos ativos de informação.

Uma abordagem sistemática de segurança da informação baseada na gestão de risco, que garanta o planeamento, implementação, operação e melhoria contínua dos requisitos e controlos é a estratégia necessária. Através desta estratégia, será possível desenvolver matérias de segurança da informação, garantindo o alinhamento com os objetivos de negócio das organizações e possibilitando demonstrar o cuidado e diligências necessárias para cumprir com os requisitos de conformidade legal e regulatória.