As infraestruturas digitais deixaram de ser uma mera opção para os negócios que querem ser bem-sucedidos no mercado dos dias de hoje. As empresas, sejam de pequena dimensão ou gigantes multinacionais, fazem agora depender a sua operação do funcionamento em rede e do uso intensivo das tecnologias de informação. Esta realidade, basilar às organizações na era da digitalização, agiliza procedimentos e oferece maiores oportunidades comerciais e de comunicação. Cria, em paralelo, novos riscos que podem chegar, no limite, a paralisar o funcionamento das empresas, como vimos recentemente em Portugal numa empresa de telecomunicações e em grupos editoriais.

No seu Relatório Global Risks 2020, o Fórum Económico Mundial classifica os ciberataques em infraestruturas, bem como os ciberataques devidos a roubo ou fraude de dados ou dinheiro, entre os dez riscos com o maior aumento esperado para os peritos consultados. Aponta também a perda de privacidade ligada à tecnologia entre os que se preocupam cada vez mais com os jovens.

São os riscos do ciberespaço, onde também proliferam atividades ilícitas que causam dano às empresas e que têm conhecido um crescimento exponencial nos últimos anos, em particular no contexto pandémico. Os números impressionam: em Portugal, de acordo com o Relatório Anual de Segurança Interna de 2020, registou-se um aumento de 93% de incidentes de cibersegurança face ao ano anterior, com o phishing no topo dos ataques. No plano europeu, em 2021, o European Communicator Monitor, que recolheu dados de 46 países, concluiu que a maioria das empresas (54%) já teve de gerir um ciberataque.

Face a este aumento do cibercrime em Portugal e no mundo, e perante a crescente pressão europeia para incrementar a sua resiliência digital, as empresas têm sido obrigadas a uma reflexão aprofundada sobre o chamado "nível de maturidade de segurança" que mitigue a exposição aos ciber riscos, apostando em mecanismos de prevenção de potenciais danos operacionais e económicos.

Esta série de ameaças afetam entidades que vão desde a Administração Pública aos operadores de serviços essenciais como energia, transportes, saúde, bancário; aos operadores de infraestruturas críticas como hospitais e serviços de segurança; aos prestadores de serviços digitais prestados à distância.

As organizações destes setores estão legalmente obrigadas pela legislação portuguesa a reportar às autoridades competentes os incidentes de cibersegurança. O incumprimento das medidas técnicas destinadas a gerir os ciber riscos, assim como o incumprimento de instruções de cibersegurança emitidas pelo Centro Nacional de Cibersegurança (CNCS), resultam em infrações com coimas pesadas. Impõe-se, por isso, a adoção de estratégias que posicionem as organizações num nível legalmente aceitável.

No entanto, é essencial que este esforço também contemple os danos de reputação. As ameaças digitais causam perdas financeiras e de vantagem competitiva, mas também podem debilitar de forma séria o capital social e relacional das organizações.

De facto, os riscos cibernéticos são uma preocupação crescente para os profissionais da comunicação. Cerca de 45% destes profissionais reconhecem ter gerido uma crise de ciberataque na sua empresa no European Communication Monitor 2020. No entanto, como o próprio estudo demonstra, "apenas uma minoria está envolvida na ajuda à construção de resistência" a estas ameaças. Especificamente, apenas 25% trabalharam para educar os funcionários na prevenção de riscos informáticos; menos de 20% desenvolveram protocolos específicos para gerir estes incidentes; e ainda menos (18%) implementaram tecnologias específicas de cibersegurança.

Como se pode ver, há ainda um longo caminho a percorrer na prevenção e preparação para crises de reputação decorrentes de ameaças cibernéticas...

Tiago Vidal, sócio e managing partner da LLYC em Portugal