As ameaças de cibersegurança e proteção de dados são uma preocupação crescente das organizações, até porque o número de ciberataques a empresas e serviços críticos em Portugal tem apresentado uma tendência crescente nos últimos anos. Em particular desde 2020, devido à generalização da prática de teletrabalho e ao aumento da digitalização dos serviços. Esta tendência é evidenciada pelos recentes ataques com um impacto significativo na normal atividade da Vodafone Portugal e do Grupo Impresa.

Face ao elevado nível de exposição das Organizações a eventos de risco de cibersegurança, que podem levar não só a impactos a nível operacional, mas também a nível financeiro e reputacional (o ataque sofrido pela Vodafone afetou a sua rede e os seus quatro milhões de clientes), é crítico que as Organizações aumentem a sua resiliência e a capacidade de resposta a estes eventos.

As Organizações não podem apenas esperar pelo melhor, mas devem preparar-se para o pior. Esta preparação deve ser assente numa estratégia de resiliência que contemple um equilíbrio da já conhecida tríplice: Processos (diretrizes de segurança, mecanismos específicos de resposta e recuperação; equipas a envolver; ferramentas processuais e meios logísticos de suporte); Tecnologia (ferramentas e controlos de segurança, de forma a minimizar a probabilidade de ocorrência de incidentes de segurança, e atempar a identificação de um eventual incidente); e Pessoas (sensibilização dos colaboradores e capacitação das equipas para uma resposta eficaz a incidentes de Cibersegurança).

Porém, coloca-se a questão: será que face aos desafios que a nova realidade remota apresenta, esta tríplice funciona de forma eficaz?

A prática de teletrabalho, associada a uma aceleração na adoção de tecnologias tornou a segurança das empresas mais vulnerável, sendo evidenciada por vários estudos internacionais e suportada no contexto nacional pelo "Relatório Riscos e Conflitos 2021" publicado pelo Centro Nacional de Cibersegurança (CNCS). Neste sentido, a estratégia cibernética deve ser adaptada e robustecida, em particular na vertente de Pessoas (tipicamente considerado o "elo mais vulnerável") - a tendência de crescimento de incidentes tem sido relacionada com ataques que exploram as vulnerabilidades neste vetor, de acordo com o CNCS.

Os desafios são evidenciados por novas rotinas e mecanismos de coordenação de resposta (ao nível comunicação, execução e acompanhamento das ações e disponibilidade das pessoas) para as equipas envolvidas na gestão de incidentes de cibersegurança, nomeadamente, as equipas técnicas a trabalhar remotamente; as equipas de negócio e de gestão de crise; o encarregado de proteção de dados, os fornecedores críticos e ainda as equipas de comunicação interna e externa.

Neste sentido, é crucial que as Organizações impulsionem a capacitação das pessoas para as práticas e procedimentos de gestão de incidentes de cibersegurança e coordenação da resposta.

Será que é suficiente preparar as equipas técnicas para responder a um eventual ataque?

A par do esforço das equipas técnicas para garantir mitigação do ataque e de recuperação dos sistemas, é extremamente relevante a componente de gestão de crise por parte da Gestão de Topo, isto é, garantir uma comunicação e coordenação interna e externa eficaz, respondendo de forma direta, clara e informada aquando de um eventual incidente disruptivo.

Dando como exemplo um ataque recente, a forma como a Vodafone Portugal geriu a comunicação em crise, foi realçada pelo próprio CNCS. De recordar que a Vodafone Portugal emitiu prontamente um comunicado confirmando que tinha sido alvo de um ciberataque (após 12 horas do ataque sofrido), e realizou uma conferência de imprensa, fazendo-se representar pelo seu CEO, Mário Vaz que respondeu a perguntas de forma direta, clara e informada.

Esta transparência e rapidez na comunicação, permitiu clarificar os contornos do incidente para os stakeholders (internos e externos), e estancar eventuais especulações sobre o sucedido.

Considera que os seus colaboradores estão preparados para garantir uma resposta eficaz a um eventual incidente de Cibersegurança e estão prontos para superar este desafio no contexto remoto? Considera que os procedimentos definidos permitem uma gestão de crise eficaz?

Megal Narendra, Associate Manager de Security & Compliance da Inetum