O que tem o decreto-lei nº 65/2021, que regulamenta o Regime Jurídico da Segurança do Ciberespaço que ver com tecnologia? Nada. E apenas porque a sua matriz assenta em algo mais abrangente.

A tecnologia é importante? Sim, muito. Mas não resolve por si só os problemas de segurança da informação numa organização. Numa espécie de analogia, de que vale a uma equipa de desporto motorizado ter o melhor (e o que é isto do melhor?) veículo motorizado? O resultado depende de um trabalho de equipa que, aliando a tecnologia à organização e articulação entre as diferentes funções nessa equipa, será o que reflete a eficácia final.

Se a sua instituição ou empresa tem muito dinheiro para investir em cibersegurança, ótimo: invista na qualificação da organização e das pessoas. Será um investimento racional que ditará a eficácia do mesmo e dos objetivos pretendidos. Uma abordagem holística a pessoas-processos-tecnologia, permitirá ter uma organização ajustada e eficaz na gestão da sua segurança da informação. A cibersegurança faz-se sobretudo com prevenção, com learned lessons e com diferentes níveis de qualificação e sensibilização de pessoas na organização. Desde os especialistas que gerem a tecnologia a quem, por inerência profissional e não sendo especialista em segurança, tem acesso à informação. Trata-se pois de um tema transversal e que não se esgota no datacenter ou no SOC (Security Operations Center). As organizações devem pensar, ou reforçar, as suas atividades de forma estratégica e conceber cada vez mais os seus sistemas de segurança da informação alinhados com o negócio e assentes nas novas premissas conjunturais. Reforçar o seu modelo de gestão de segurança da informação, que poderá envolver redefinição de procedimentos e controlos de segurança nos seus workflows internos, aumentar a sensibilização de colaboradores através de formação regular (que nos dias de hoje pode ser prestada por modelos interativos e bastante cativadores), rever junto dos seus departamentos internos ou fornecedores, responsáveis pelas suas aplicações de negócio, requisitos de privacy by design e de qualidade de software das suas plataformas e auditar com regularidade as suas infraestruturas (existindo hoje em dia ferramentas de GRC que já muito podem suportar esse backoffice).

Continuo - porque a realidade da cibersegurança precede este decreto - a ver cadernos de encargos e processos de procurement em matéria de gestão de segurança da informação muito orientados a tecnologia e aos seus requisitos. Ora, os requisitos do decreto-lei nº 65 de 2021 assentam sobretudo numa matriz organizacional e processual.

Este decreto tenta concretizar a execução de requisitos de segurança das redes e dos sistemas de informação e de notificação de incidentes de cibersegurança e surge no âmbito da UE e da cooperação internacional com países fora deste espaço, nomeadamente as obrigações que decorrem do Regulamento da UE 2019/881. Incide ainda na necessidade de um maior esforço na sensibilização dos cidadãos, organizações e empresas em matéria de cibersegurança, ao mesmo tempo em que se deve reforçar a confiança dos consumidores nos prestadores de serviços digitais mediante a disponibilização de informação transparente sobre o nível de segurança dos respetivos produtos, processos e serviços de TIC, esta última decorrente de um sistema de Certificação de Cibersegurança UE cuja implementação deverá ser diligenciada e orientada pela ENISA junto dos diferentes stakeholders e em Portugal pela ANCC (Autoridade Nacional de Certificação da Cibersegurança), cuja missão será assegurada pelo CNCS (Centro Nacional de Cibersegurança).

Nesta matéria temos aliás em Portugal já muito trabalho adiantado, nomeadamente em termos de sensibilização e orientação. O CNCS tem tido, desde a sua origem, um desempenho extraordinário, quer na dimensão da sensibilização da população em geral (e nas diferentes faixas etárias), quer na dimensão de apoio a organizações, nomeadamente e como suporte ao decreto-lei nº 65/2021, com a elaboração de orientações como o QNRC (Quadro Nacional de Referência para a Cibersegurança) e o RCMC (Roteiro das Capacidades Mínimas de Cibersegurança).

Luís Lobo e Silva, Managing Partner da Focus2Comply