À primeira vista, pode o leitor deste artigo pensar que houve um atraso na publicação do mesmo porque já não estamos em outubro, que é o mês da Cibersegurança, mas não é o caso. E não o é porque esta deve ser uma preocupação e área de foco das organizações ao longo de todo o ano – como se fosse uma maratona: a corrida à Segurança Digital.
Instituído em 2004 pelo Presidente dos Estado Unidos da América e pelo Congresso, o então Cybersecurity Awareness Month, foi criado com o propósito de sensibilizar os setores públicos e privados a trabalhar em articulação para incrementar a consciencialização sobre a importância da Segurança Cibernética.
Passados quase 20 anos, e de uma adopção global desta iniciativa, é perceptível que o quadro de ameaças mudou radicalmente. O risco de Cibersegurança, e a própria exposição ao mesmo por parte das organizações, aumentou (derivado principalmente dos próprios processos de transformação e adopção digital ocorridos), no entanto, a preocupação com o comportamento humano continua na agenda dos principais decisores de TIC e Segurança.
Se olharmos um pouco mais adiante, percebemos que o erro humano continua a ser uma das principais ameaças, conforme indicado pela ENISA no seu relatório Identifying Emerging Cyber Security Threats and Challenges for 2030.
Apesar do contínuo e crescente investimento em tecnologia e processos para o robustecimento da Cibersegurança (49% dos líderes, inquiridos no PwC Global Digital Trust Insights 2024, prioriza o investimento em Cibersegurança nos próximos 12 meses), percebemos que o elo mais fraco ainda continua a ser o vetor humano, explorado nomeadamente, através de técnicas de Engenharia Social. O que torna a Engenharia Social especialmente perigosa é que ela depende do erro humano e não de vulnerabilidades de sistemas, e este tipo de erros cometidos são muito menos previsíveis, tornando-os mais difíceis de identificar e impedir.
A Cibersegurança é atualmente um dos maiores desafios para todas as organizações, no entanto, muito embora o awareness dos colaboradores esteja a ser reforçado anualmente pelos mais diversos métodos, o comportamento dos cidadãos nem sempre reflete um elevado nível de sensibilização. E embora a Cibersegurança seja essencial, e o awareness dos colaboradores seja importante, a observação, em ambiente real, das práticas seguras por parte destes é muito mais relevante do que o conhecimento que dispõem, e revela-se muitas vezes difícil de induzir.
O que fazer de diferente então?
Como garantir a Cibersegurança da sua empresa?
Não basta ter tecnologia, é preciso sensibilizar para o tema da Segurança Digital dentro das organizações.
Infelizmente, a dependência do ser humano que, não obstante a inteligência natural da espécie, é falível, leva a que a probabilidade de erro exista sempre.
Apesar de a própria Estratégia Nacional de Segurança do Ciberespaço 2019-2023, emitida pelo Centro Nacional de Cibersegurança (CNCS), apresentar um Eixo dedicado à “Prevenção, educação e sensibilização” e promover ações de sensibilização, e apesar também dos requisitos presentes em legislação/regulamentação setorial como a Diretiva NIS, o Decreto Lei n.º 65/2021, os ICT Risk Guidelines da Autoridade Bancária Europeia e, mais recentemente, o Regulamento (UE) 2022/2554 – Resiliência Operacional Digital do Setor Financeiro (DORA), as organizações devem considerar este caminho como crítico e estruturante, reforçando a indução de um comportamento seguro.
Tendo em conta que um ciberataque pode ter impactos bastante grandes, podendo, no limite, comprometer a continuidade operacional das organizações, os gestores de topo devem olhar para a Segurança Digital como uma prioridade.
Luís Carlos Fernandes,Cybersecurity & Privacy Senior Manager, PwC PortugalSe as grandes empresas, motivadas também pela pressão regulatória, são capazes de colocar em prática programas de sensibilização, a pergunta que se coloca é: de que forma empresas com menor capacidade de investimento em Cibersegurança podem contornar este desafio quando comparado com as grandes organizações?
Tendo em conta que um ciberataque pode ter impactos bastante grandes, podendo, no limite, comprometer a continuidade operacional das organizações, os gestores de topo devem olhar para esta temática como uma prioridade. É fundamental formar e depois testar (p.e. através de surveys, campanhas de phishing, simular eventos e monitorizar comportamentos, etc.), regularmente!
Podemos concluir que o Cybersecurity Awareness Month é, sem dúvida, uma iniciativa relevante e meritória da comunidade para discutir, reunir esforços e dar tração a um tópico fundamental para as organizações. No entanto, iniciativas ao longo do ano aparentam permitir alcançar efeitos mais sustentados, contínuos e eficazes a induzir comportamentos.
Adicionalmente, a comunicação sobre questões de Segurança Cibernética é uma tarefa complicada e vai continuar a ser um desafio transversal de todas as organizações. É importante que a gestão de topo das empresas percepcione o risco e os impactos da Segurança Cibernética, os consiga comunicar pela organização e defina ações concretas para induzir os comportamentos nos colaboradores, nomeadamente por meio de:
- criação das capacidades para a sensibilização da Cibersegurança;
- avaliação regular das tendências e desafios;
- medição de comportamentos em matéria de Cibersegurança; e
- planeamento de campanhas de sensibilização para a Cibersegurança.
__
Luís Carlos Fernandes
Cybersecurity & Privacy Senior Manager, PwC Portugal
Cybersecurity Risk Management Services
Sabia que a PwC foi nomeada Líder pela prestação deste tipo de serviços de Cibersegurança?
Garanta a segurança digital da sua empresa
Com o apoio da PwC, proteja a sua empresa de intrusões e ameaças.
Contact us
