O desafio da segurança informática nas PMES

Não é segredo nenhum que em Portugal a tecnologia sempre teve uma trajetória mais seguidora do que pioneira, com algumas exceções notáveis claro está, especialmente nos campos do ensino e da engenharia, onde nos destacamos internacionalmente. No entanto, até recentemente, não nos conseguimos posicionar como uma sociedade que abraça plenamente as inovações tecnológicas, especialmente no campo da informática, que é particularmente importante para mim, sem uma espécie de sentimento “que chatice” ou de simples boicote com truques para poder evitar um desconforto para a seguir o postar no TikTok. Os resultados dessa abordagem estão claros para todos verem.

Quem segue a minha coluna de opinião, sabe que não sou uma pessoa crítica dos eventos, mas sim uma pessoa que encontra desafios e objetivos em tudo o que vê. Sabe também que quando faço uma observação como a que fiz no texto de entrada, a razão prende-se com o facto de ser apenas a minha opinião e não uma forma de incluir diretamente nesta, as entidades com que trabalho; e assim dito, atrevo-me a dizer que estamos como nação, no contexto da segurança informática, das PME’s e não só, numa névoa digna de D. Sebastião ou com uma dor de cabeça digna dos espanhóis que encontraram pela frente a nossa padeira em Aljubarrota.

Nesta pequena reflexão, gostaria de abordar a questão da segurança informática no domínio das PME’s, aquelas que não conseguem ter verba para investir para além do antivírus ou, em muitos, senão quase todos os casos, não tem suporte que lhes permita ter uma visão universal do objetivo que têm pela frente. E porquê?  Porque a segurança informática é essencial para o sucesso das nossas empresas num mundo cada vez mais veloz dentro do contexto digital.

Panorama Atual da Segurança Informática em Portugal

Embora o valor da segurança informática tenha aumentado nos últimos anos, Portugal ainda enfrenta vários e complexos desafios. Ao longo dos meus últimos 21 anos de carreira dentro da segurança informática, área técnica e científica em que me doutorei e onde desenvolvo investigação científica, muitos são os desafios que causam sério impacto às organizações e às pessoas que nestas trabalham. Ao fim de tantos anos, há de facto uma tendência que se destaca, isto é, algo que é comum à maioria dos casos que analisei e que até a ciência descreve no estado da arte e que teimosamente persistem em demasiada quantidade. Elenco aqui os repetentes:

• Falta de pessoal especializado: A escassez de especialistas em segurança informática dificulta a missão das empresas em se protegerem contra as crescentes ameaças cibernéticas, levando a que a procura por profissionais qualificados seja mais árdua, pois estes estão entre os mais bem pagos especialistas de tecnologia na atualidade;
• Falta de financiamento para segurança: Muitas empresas ainda não entendem o valor da segurança informática e, portanto, não investem o suficiente em proteção; por outro lado, as que já o perceberem são confrontadas com valores desafiantes, o que as obriga a fazer escolhas difíceis e em muitos casos não solucionadoras dos desafios, mas sim criadoras de uma falsa sensação de segurança;
• Inadequada cultura organizacional: A falta de conhecimento sobre os perigos cibernéticos pode e compromete a segurança da empresa e torna os funcionários alvos fáceis para ataques de engenharia social, o que é atualmente o mais sério vetor de ataque e de entrada de agentes maliciosos nas organizações;
• Ataques cibernéticos em constante desenvolvimento: Os cibercriminosos ou agentes maliciosos, como são vulgarmente denominados, estão constantemente a melhorar e a aperfeiçoar os seus métodos de ataque, tornando as investidas cada vez mais complexas e difíceis de identificar, conter e mitigar. Aliás, como especialista nesta área, não consegui deixar de investir na mesma e criar conteúdos nas entidades com quem trabalho, pois quem mais facilmente pode ajudar a conter nas empresas este problema é quem nelas trabalha e quem melhor para formar e treinar do que quem já trabalha nas mais variadas empresas? Mas este tema abordo mais à frente.

Impacto dos Desafios da Segurança Informática

Os desafios da segurança informática têm demonstrado, de forma inequívoca, um impacto de considerável magnitude nas empresas e organizações nacionais. Esta realidade já é uma evidência incontestável, exigindo uma resposta eficaz e urgente por parte das entidades afetadas; e em que medida?

• Prejuízos financeiros: Pois o atacante quer acima de tudo ser disruptivo, causar o máximo de dano possível e para isso tenta a todo o custo interromper o funcionamento da empresa. Isto causa perdas financeiras significativas, tanto pela recuperação de sistemas danificados quanto pela perda de dados e da produtividade;
• Danos à reputação: Isto é, a violação de dados pode prejudicar irremediavelmente a reputação da empresa e a confiança dos seus clientes, levando à perda de negócios pois o cliente fica sempre com a ideia de que algo está errado no fornecedor e que esse “errado” pode contaminar a sua organização ou entidade;
• Interrupção da atividade: Ataques cibernéticos podem levar à interrupção da atividade da empresa, com custos adicionais para a recuperação dos sistemas e a perda de produtividade. Não há valores de tempo standard nestes casos, mas não conheço um que não tenha afetado seriamente uma empresa menos de 15 dias. Imagine-se uma empresa de contabilidade afetada por um evento algures na altura de entrega de IRC ou IVA.

O Papel do Quadro Nacional de Referência (QNR), da ISO 9001 e do ITIL na Segurança Informática

As frameworks QNR, ISO 9001 e ITIL são valiosas para ajudar as empresas a superar os problemas de segurança informática, pois trazem um conjunto pensado de procedimentos que são aferidos constantemente e que cabalmente mostraram ser fidedignos nessa missão:

• QNR: Desenvolvido pelo Centro Nacional de Cibersegurança, com foco na liderança e compromisso, na orientação para o cliente e na melhoria contínua, incentiva sem qualquer dúvida a cultura de segurança das organizações, sejam elas pequenas, médias ou grandes. E como faz isto? Fornece um conjunto de boas práticas na gestão do risco, na promoção da cultura de cibersegurança e na harmonização das práticas de cibersegurança;
• ISO 9001: Permite a implementação de um sistema de gestão da qualidade, de acordo com a norma ISO 9001, permitindo que uma empresa consiga identificar e controlar os riscos cibernéticos de forma sistemática e profissional;
• ITIL: A gestão de serviços de IT de acordo com as boas práticas do ITIL ajuda a contribuir para uma melhor garantia da confidencialidade, integridade e disponibilidade dos dados da empresa e dos clientes desta, além de contribuir para a resiliência dos sistemas em uso, mitigando e encurtando possíveis interrupções forçadas por agentes externos.

Ações para os Desafios da Segurança Informática em Portugal

As soluções nunca são tão lineares que possam caber num curto parágrafo neste texto. Temos de perceber que, para que haja sucesso em qualquer plano de segurança informática, as ações necessitam de ser holísticas e acima de tudo suficientemente enquadradas dentro desse panorama 360º. E o que quero dizer com isto? Que não basta simplesmente implementar medidas técnicas e organizativas dentro do domínio da segurança informática, é necessário pegar nesta roupagem e fazer uso da personificação de tais medidas à empresa, pois todas as empresas são diferentes apesar de possuírem desafios comuns.

Para superar os desafios da segurança informática, é fundamental ter um plano contínuo para que as empresas e organizações portuguesas possam adotar medidas proativas, entre as quais destaco:

• Investir em educação e consciencialização: A capacitação dos colaboradores para identificar e evitar ameaças cibernéticas é essencial para a segurança da empresa e prevenção da entrada de agentes maliciosos. Segundo o World Economic Forum Cybersecurity Report de 2023, os ataques de engenharia social para despoletar um de ransomware crescem cerca de 60% todos os anos;
• Implementação de medidas de segurança adequadas: seguir as melhores práticas internacionais para adotar tecnologias e processos para proteger os dados e sistemas da empresa contra-ataques cibernéticos. Iniciar a implementação de um projeto interno para aplicar dentro das organizações, independentemente do seu tamanho, o QNR, normas 27001 ou ITIL e sempre que possível o 9001, divididos em ações de 365 dias;
• Criar uma cultura de segurança na empresa: Enfatizar a importância da segurança informática para toda a organização e encorajar todos a adotar boas práticas, como usar senhas fortes, atualizar regularmente o software e, acima de tudo, implementar imediatamente sistemas de RBAC e de autenticação multi-fator (MFA);
• Contratação de profissionais especializados: Investir na profissionalização dos colaboradores pois é sempre muito mais rápido que contratar novos (razão pela qual já criei inúmeras pós-graduações e mestrados em várias instituições de ensino superior). Muitas organizações já possuem colaboradores afetos ao IT e que beneficiariam muito de formação nos vários domínios da segurança informática pois estão já dentro da empresa e já conhecem o seu normal funcionamento. Quando isto não é possível, investir na contratação de profissionais ou serviços qualificados com experiência em análise de riscos, pentesting e resposta a incidentes, o que ajudará a proteger a empresa contra ameaças cibernéticas.

Em suma:

As empresas e organizações portuguesas devem prestar atenção e investimento contínuos aos desafios de segurança informática. Para proteger os dados e sistemas contra as crescentes ameaças cibernéticas, é necessário estabelecer uma cultura de segurança, implementar medidas de proteção adequadas e capacitar os colaboradores e assim estar à frente do desafio e usar a tecnologia de forma simbiótica.