“Racional de negócio para a cibersegurança” com enfoque no “mercado em crescimento de identificação de vulnerabilidades das empresas” são duas das ideias-chave que o Diretor-Geral da COTEC, Jorge Portugal, destaca do relatório Threat Landscape 2017, da Agência da União Europeia para a Segurança das Redes e da Informação (ENISA), apresentado na passada terça-feira numa conferência organizada pelo Centro Nacional de Cibersegurança (CNCS).
Em declarações à Computerworld à margem da conferência, Jorge Portugal referiu que, numa vertente, o estudo reconhece que “as forças da digitalização são imparáveis”, o que significa que as “organizações vão poder operar com maior velocidade, com melhor alinhamento da oferta com os clientes, com maior qualidade dessa oferta e maior eficiência” e que estas forças “vão intensificar-se”.
Noutra vertente, simultânea, o estudo reconhece também o crescimento do “mercado de identificação de vulnerabilidades das empresas” que acompanha o incremento das “superfícies de digitalização”.
Os ataques estendem-se das empresas, individualmente, a processos, dados e fluxos de dados, quer ao nível do projeto, fabrico, logística, comercialização e da gestão de produto e o relatório alerta que “mais do que expor bases de dados, o que será cada vez mais exposto é o significado e os padrões que essas bases de dados encerram, isto é, as características frequentes”, explica Jorge Portugal. No limite, estes ataques podem desvendar o “conhecimento, segredos industriais ou informação crítica” que são “comercialmente rentáveis”.
A solução é “investir em digitalização inteligente” e questionar se “os benefícios dessa digitalização compensarão ou não os custos e os riscos adicionais” relacionados com a “conetividade, exposição de dados e fluxos de dados cada vez maior com integração a montante e a jusante da sua cadeia de valor”, revela o Diretor-Geral da COTEC.
Outra das conclusões do relatório é a que de “o investimento em cibersegurança está a crescer”, mas que “os custos e os riscos também”. É um paradoxo que só pode ser resolvido pelos líderes empresariais “através de uma abordagem estratégica ao problema da cibersegurança e da ciber-resiliência”.
“O líder empresarial tem de perceber que a cibersegurança não é um problema da tecnologia ou do departamento de IT. É um problema de todas as áreas funcionais nomeadamente da gestão de processos de inovação nas empresas”, recomenda. “É preciso perceber quais são as implicações dos projetos de inovação que melhoram a capacidade comercial, o serviço ao cliente, a integração com os fornecedores ou a própria eficiência de produção na fábrica”. Jorge Portugal frisa que “estas inovações devem ter elementos de segurança incorporados desde o primeiro momento”.
O relatório da ENISA deixa ainda o aviso de que a falta de investimento em elementos essenciais de segurança pode ter custos muito maiores numa fase posterior.
“Com a pressão para colocar rapidamente a inovação no mercado, os líderes empresariais e os responsáveis pela inovação não consideram a segurança como essencial. Não é prioritária e, em muitos casos é mesmo desconhecida”, refere Jorge Portugal. Soluções como “utilizar normas de desenvolvimento de código, normas de interoperabilidade entre sistemas dentro e fora da empresa, boas práticas de gestão de infra-estruturas e posteriormente práticas de higienização básica” poderão evitar dissabores.
Deve existir uma política e uma cultura de prevenção, com boas práticas de segurança como a alteração regular de passwords e não aceder a potenciais esquemas de phishing.
“Dois terços dos casos de ataques reportados são internos, seja por veículos internos, colaboradores ou entidades que estavam dentro do perímetro físico da organização”, revela o Diretor-Geral da COTEC. Por isso, é essencial investir em formação e qualificação dos fornecedores do ponto de vista da segurança.
Inovação e segurança são dois valores essenciais que refletem a competitividade de uma empresa. “Se pagamos um prémio por um produto que é eficiente do ponto de vista energético, cada vez mais teremos de pagar um prémio, incluindo no preço por um produto, que garante que é seguro do ponto de vista de conetividade, de segurança digital,” exemplifica Jorge Portugal.
As empresas devem ter planos de resolução de uma crise de cibersegurança, que têm de garantir resposta a perguntas como: “se acontecer uma intrusão o que é que eu faço? O que se faz se houver um comprometimento das bases de dados de clientes? O que fazer se concluir que os dados da minha contabilidade foram corrompidos? Se não puder chegar à lista dos meus fornecedores ou se tiver problemas na logística?”, exemplificou.
Além dos procedimentos internos, devem estar assegurados planos de comunicação externa, com indicações sobre como comunicar estas questões fora da empresa. Jorge Portugal recorda que “o Regulamento Geral de Proteção de Dados e a Lei geral de cibersegurança vão obrigar todas as empresas, sem excepção, a novos procedimentos de comunicação e de report que podem pôr em causa a sua reputação e imagem”, mas cujo incumprimento pode ter “implicações jurídicas”.
Ainda em declarações à Computer World, Jorge Portugal indica que a inovação e a criminalidade “colocam uma enorme pressão no líder empresarial para colocar a cibersegurança como tópico prioritário da sua agenda e da sua liderança da organização e do desenvolvimento da organização”.
Quanto ao retorno do investimento em cibersegurança, “que não se vê imediatamente”, Jorge Portugal sugere que se olhe para a cibersegurança como “um elemento que vai ter retorno no investimento a nível da reputação, a nível de produtos e serviços seguros, a nível de relações com fornecedores, clientes e outros e ainda a nível do quadro e das obrigações jurídicas. A segurança tem de ter um racional de negócio, de retorno do investimento”.
Sendo a cibersegurança um dos temas essenciais no âmbito da Plataforma indústria 4.0, a COTEC tem apostado em atividades várias. Um exemplo é o laboratório de ciber-resiliência, onde são simuladas situações hipotéticas em que as empresas podem testar respostas a situações inesperadas ou menos prováveis, mas possíveis, dentro de um quadro de integração numa cadeia de valor, a empresa integrada num ecossistema de negócio. Outro exemplo é a conferência “Innovation Meets Cybersecurity: The Public-Private Cooperation Challenge” que decorreu em novembro de 2017 e que reuniu especialistas internacionais, empresas, decisores públicos e academia para discutir a importância da cooperação na conciliação dos benefícios da inovação digital com os riscos decorrentes de ataques cibernéticos.
O papel da COTEC passa também pela organização de ações de sensibilização com o CNCS e outras entidades oficiais, além de espaços comuns de cooperação para a capacitação em cibersegurança relacionados com gestão de risco, prevenção e antecipação das ameaças. “É quase inevitável uma empresa ser atacada. O que é evitável é que os danos desse ataque possam pôr em causa a sobrevivência da empresa ou possam causar prejuízos inaceitáveis”. Jorge Portugal conclui: “com a devida capacitação, a empresa consegue responder àquilo que inevitavelmente vai acontecer: ataques, que poderão ser repelidos se tivermos um esquema de prevenção para responder aos ataques inevitáveis das infeções nos chegam todos os dias”.
Poderá consultar o relatório Threat Landscape 2017, da Agência da União Europeia para a Segurança das Redes e da Informação (ENISA), aqui.