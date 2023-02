No ano passado estive a conversar com uma pessoa de um departamento de TI responsável pela administração de um e-commerce de grande dimensão. Tendo em conta a natureza do seu modelo operativo, sem website não haveria negócio. Quando falámos de cibersegurança e de resiliência pude perceber a preocupação nos seus olhos. Perguntei-lhe que medidas tinha implementado para reduzir o impacto de um ciberataque. Ele olhou para mim e baixou a cabeça, como quem evita uma bala. Quando vi esse gesto, imediatamente me veio à cabeça a frase "a esperança não é uma estratégia."

Antes de nos despedirmos, contei-lhe uma história acerca de um pequeno negócio de e-commerce no Reino Unido, que vendia malas de senhora. Numa sexta-feira às nove horas da manhã tudo estava bem: havia pessoas a visitar o website, recebiam encomendas, o dinheiro entrava. Às cinco horas da tarde, o website estava em baixo, e os backups (geridos por uma empresa de TI que trabalhava em outsourcing) tinham sido apagados, e tudo o resto estava bloqueado pelo ransomware. Não restava nada. Ele encolheu os ombros e foi-se embora.

Nos últimos 12 meses, têm sido notícia em Portugal um número crescente de ataques de ransomware contra marcas e organizações muito conhecidas, tanto no setor público como no privado. Esta lista inclui a Vodafone, as Forças Armadas, a Administração do Porto de Lisboa, e até a companhia aérea de bandeira, a TAP. Mas estes são apenas aqueles que atraíram mais atenção. Empresas menos conhecidas também se debatem com a epidemia de ransomware. Não importa se é uma grande multinacional ou uma pequena ou média empresa, o risco de um ciberataque é real, e quanto mais eficazes forem as ciberdefesas da organização, menor a probabilidade de um ciberataque. Por outras palavras: "menos ransomware, mais randomware."

Durante muito tempo, muitas pessoas em Portugal achavam que o cibercrime era um problema dos outros países, e era comum ouvir comentários do género "somos um país pequeno, ninguém nos vem cá atacar." Mas esta mentalidade já não é credível, quando enfrentamos este tipo de ameaça por parte de grupos de crime organizado. A publicidade gerada por estes ataques recentes deveria logicamente conduzir a uma mudança na forma como os gestores de topo consideram a cibersegurança. A máxima "quando, não se" tem sido adotada pela maior parte das organizações globais com maior maturidade, porque estas veem a cibersegurança como um risco para o negócio.

Estar preparado para um ciberataque paga dividendos, pois permite maior rapidez a fazer regressar as operações ao business as usual. Esta ideia foi defendida por António Gameiro Marques, o diretor-geral do Gabinete Nacional de Segurança, numa entrevista à CNN, no ano passado. Mas, será isto realista no caso de Portugal, onde a falta de recursos em muitas organizações continua um fator crítico que limita o investimento na cibersegurança? Para muitos, a esperança é mesmo a única estratégia...

Ver o retorno do investimento em cibersegurança é particularmente difícil. O Chief Information Security Officer (CISO) enfrenta muitas vezes o ceticismo do board quando defende a necessidade de recursos para a cibersegurança. A segurança física é fácil de perceber, por comparação. Uma vedação e câmaras de segurança são algo tangível. Então, como é que o CISO convence a gestão de topo que investir em cibersegurança é essencial para manter o negócio a operar? Claro que a resposta não está apenas no CISO, mas estes devem prevenir os ciberriscos numa linguagem que as pessoas não técnicas possam perceber. A responsabilidade também reside nos membros do board que se devem informar sobre as implicações da cibersegurança para os riscos de negócio da sua organização. Afinal de contas, o CFO não conta estar a educar os outros membros do board em matérias financeiras. De certeza que as notícias de primeira página ao longo de 2022 tiveram algum impacto a este respeito. Mas afinal, quem deve liderar esta mudança?

Qual a capacidade em cibersegurança de que se deve munir uma organização? Bom, a resposta é: "apenas o suficiente para evitar ser uma vítima." Pensemos num exemplo simplista, a analogia com um ladrão. Se a janela da casa ficou aberta ou se a porta não é segura, o ladrão irá, com grande probabilidade, aproveitar a oportunidade para entrar na propriedade e roubar os bens mais valiosos. No entanto, ao ver uma casa com alarme, todas as janelas fechadas, e portas de segurança, o ladrão irá tentar assaltar a próxima casa. De uma perspetiva da cibersegurança, isto não é diferente. Fazer o básico já é um contributo importante para manter o online seguro.

Num contexto ainda relativamente imaturo no que concerne à cibersegurança, onde a tomada de consciência da população ainda é algo incipiente, saber o que é necessário, saber em quem confiar, e perceber qual é a medida certa, são desafios muito difíceis de ultrapassar. Uma regra simples é investir de igual modo nas pessoas, nos processos, e na tecnologia. Depender demasiado de um deles, em detrimento dos outros dois, provoca um desequilíbrio e pode trazer vulnerabilidades. Num país onde a maioria dos negócios são de pequena e média dimensão, partilhar o esforço de ciberdefesa, tal como adotar uma abordagem federada entre organizações afins, poderá ser uma forma eficaz de garantir uma ciber resiliência básica. Um exemplo disto é a partilha de serviços prestados por uma terceira entidade para monitorizar, detetar e responder a ciberataques.

É improvável que, em Portugal, a frequência dos ciberataques abrande nos próximos 12 meses. Colocar a cibersegurança a par dos outros riscos do negócio é a única forma de abordar a ameaça e afetar os recursos de forma apropriada. Para se ter a sorte do seu lado é necessário: adotar as medidas de cibersegurança mais eficazes na medida do orçamento disponível, assegurar que os funcionários compreendem o seu papel na prevenção de um ataque, e planear de que forma o regresso ao business as usual pode ser feito o mais depressa possível, na eventualidade de um ataque. São estas as medidas que recomendo vivamente.

A ciber resiliência é crítica. Quanto mais se tem a perder mais se deve investir.

Ade Clewlow, Consultor Sénior da NCC Group