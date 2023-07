A cibersegurança é uma prioridade política e operacional para a União Europeia. A afirmação não é minha, foi proferida há poucos dias pelo Comissário Europeu responsável pelo Orçamento e Administração, Johannes Hahn, que acrescentou: "Mais cooperação, certeza e eficiência criarão um clima de colaboração e confiança onde pessoas, dados e redes poderão operar e interagir com segurança".

Hahn falava a propósito do acordo político agora alcançado entre o Parlamento Europeu e o Conselho da U.E., em torno do Regulamento proposto pela Comissão que estabelece medidas para um elevado nível comum de cibersegurança nas instituições, órgãos, gabinetes e agências que integram a União. As negociações já foram concluídas, estando a porta aberta para a aprovação final do texto legal pelo Parlamento Europeu e pelo Conselho.

Infelizmente, pese embora a boa notícia quanto ao caminho que está a ser traçado, ele deveria ter começado a ser percorrido muito mais cedo e é preciso que não se confunda o estabelecimento de prioridades com a resolução dos problemas. Para que se possa "operar e interagir com segurança", nas instituições como nas empresas, ainda há muito que fazer.

Isso mesmo o comprovam, no caso português, os dados do relatório "Cibersegurança em Portugal - Riscos e Conflitos" emitido em junho, em parceria, pelo Centro Nacional de Cibersegurança e o Observatório de Cibersegurança. No nosso país, a perceção de risco aumentou em 2002 e 2023, o quadro de ameaças revelou uma crescente profissionalização do cibercrime e o fortalecimento de ameaças, sendo as mais comuns "o ransomware, a cibersabotagem ou os ataques DDoS, que sobrecarregam os servidores e fazem com que os recursos web fiquem indisponíveis, o phising/smishing/vishing, a burla online e o comprometimento de contas/tentativa de login". Entre as vítimas, há de tudo em praticamente todos os sectores: Banca, Educação e Ciência, Tecnologia e Ensino Superior, Transportes, Saúde, Comunicação Social. Na Administração Pública, cada vez mais atacado o subsetor da Administração Local.

Não é por isso de estranhar que em Portugal, como lá fora, se fale cada vez mais da realidade ainda escondida do "vulnerability burnout", que resulta do excesso de ruído e dos falsos positivos gerados pela maioria dos scanners, ou do "cybersecurity burnout", que resulta do facto de os profissionais estarem cada vez mais pressionados pela quantidade de ataques verificados, sofrendo de falta de reconhecimento quando as coisas correm bem e apontados a dedo como responsáveis máximos quando correm mal, são poucos e trabalham cada vez mais. Para além disso, sofrem sob o peso de uma excessiva burocracia, com cada decisão a ter que passar por excessivas camadas de aprovação dentro das instituições e empresas.

Ou seja, estes são problemas reais que não contribuem para o equilíbrio e a saúde mental dos profissionais na área da cibersegurança.

É disso mesmo que fala um extenso artigo publicado em maio pelo Wall Street Journal. Em "Cybersecurity Leaders Suffer Burnout as Pressures of the Job Intensify", a jornalista Catherine Stupp recolhe diversos testemunhos sobre a forma como "ciberataques implacáveis e a pressão para corrigir falhas de segurança, apesar das restrições orçamentais, estão a aumentar os níveis de stresse dos profissionais na área das empresas e as suas preocupações" com a responsabilidade legal que lhes possa ser assacada. Segundo o artigo, 3 em cada 4 CISOs nos EUA sofrem de burn out, colocando-os à beira da demissão.

Fruto da experiência, temos reparado que uma das formas encontradas para diminuir esta pressão interna nas empresas sobre os CISOs está no outsourcing. Aliás, a procura por esta solução tem sido crescente, nomeadamente ao nível dos testes de segurança ofensivos contínuos, que permitem identificar vulnerabilidades em tempo real, com 99% de precisão. Esta solução permite, às empresas a otimização dos recursos humanos, técnicos e financeiros envolvidos na política de cibersegurança, por ser mais eficiente que os métodos de prevenção atuais e porque os típicos scanners do mercado reportam muitos falsos positivos e alertas desnecessários

Se pensarmos que em média a validação de uma vulnerabilidade leva 30 a 60 min por um técnico e que grandes organizações podem ter, por dia, centenas de vulnerabilidades para validar e corrigir, percebemos a enorme importância da precisão.

Por outro lado, sabemos que a exploração de vulnerabilidades é uma das maiores causas do aumento do cibercrime. Os criminosos procuram e exploram automaticamente e ativamente todas as portas que vão sendo deixadas abertas pelas organizações na Internet. Acontece que a maioria das empresas desconhece o que se passa em cerca de 30% da sua superfície digital. Se a isto juntarmos o facto de todos os dias serem identificadas mais de 70 novas vulnerabilidades ("Common Vulnerability Exposure") e de que os ciberataques estão a aumentar de forma muito significativa, torna-se evidente a necessidade de as empresas serem proativas a identificarem as suas vulnerabilidades e a fazerem-no 24 horas por dia, 365 dias por ano. Mas, mais importante, torna-se crucial validar e hierarquizar as vulnerabilidades em função do risco real que representam para as organizações, para que as equipas de segurança possam focar-se na mitigação rápida de riscos elevados.

Identificarmos um problema é mais do que meio caminho andado para a sua resolução. E o trabalho em equipa, com recurso a parceiros externos, é a única forma de as empresas nacionais poderem colmatar a sua escassez de recursos perante a dimensão da ameaça a que estamos sujeitos. Todos não seremos demais. E só assim as palavras do Comissário Johannes Hahn se tornarão uma realidade.

Jorge Monteiro, CEO da Ethiack