A grande falha da cibersegurança é a falta de governança
O cibercrime, tal como o crime comum, é algo que vai continuar a existir e com o qual cidadãos, empresas e governos têm de saber viver. No fundo é o mesmo paradigma existente no mundo analógico. Vai continuar a haver polícias e ladrões e a melhor solução será sempre ter em conta as medidas de segurança necessárias, dimensionadas e adequadas a cada situação.
Ou seja, e remetendo para o caso tipicamente europeu e português, não vale a pena ter sentinelas armados à porta de casa, ou da empresa, para proteger eletrodomésticos ou maquinaria. Mas, um sistema de videovigilância, eventualmente ligado a uma central de segurança, já poderá justificar-se. Isto porque o interesse potencial de um criminoso é mais reduzido nestes casos do que um assalto, por exemplo, a uma joalharia ou posto de combustível onde existe maior quantidade de dinheiro. No mundo virtual é exatamente o mesmo. É preciso adaptar as medidas de segurança, e aplicar os investimentos adequados a cada situação.
O ideal seria cada empresa delegar na figura de um CSO a responsabilidade da segurança digital
No entanto, para uma empresa combater o cibercrime é preciso mais do que instalar apenas um antivírus. É necessário que as administrações tomem consciência dos riscos e assumam nas suas funções este tema. O papel de um CSO (Chief Security Officer) é crucial numa empresa que precisa de se manter segura no mundo virtual e com um nível de ciber higiene adequado. No fundo, os cuidados básicos de higiene digital que permitem a uma empresa ser menos vulnerável a potenciais ataques.
O papel do CSO vai muito além daquilo que é prática comum nas empresas de pequena e média dimensão em Portugal que, tipicamente, delegam toda a responsabilidade de cibersegurança num pequeno departamento de Tecnologias de Informação (TI).
"Perante um ataque que pode ser generalizado, as empresas de maior dimensão têm uma capacidade de resiliência assegurada, porque é um conceito de risco que as Comissões Executivas assumem", salienta José Alegria, Chief Security Officer da Altice Portugal. Já nas PME, garante, "não existe esse conceito e portanto, o problema principal ao nível da segurança é um problema de governança".
Numa função desta dimensão é muitas vezes necessário tomar decisões que exigem maturidade profissional e margem de manobra com alguma latitude. Medidas que devem estar vinculadas a um reporte direto a um elemento da administração. Um júnior dificilmente terá capacidade de lidar com uma grande parte das situações que irão surgir.
O ideal seria cada empresa delegar na figura de um CSO a responsabilidade da segurança digital. Mas a realidade está ainda longe disto. Enquanto nas grandes empresas, com uma estrutura mais sólida, a cibersegurança é um elemento chave para o negócio, com as administrações conscientes da sua necessidade, nas Pequenas e Médias Empresas verifica-se o oposto, em grande parte por falta de conhecimento dos próprios gestores e administradores.
A cibersegurança acaba, nesses casos, por ser entregue ao departamento de TI (Tecnologias de Informação). E se, numa parte dos casos, poderá ser suficiente (desde que não existam problemas), em todos eles é escasso quando se trata da segurança dos dados e do negócio.
José Alegria, que é também assessor da unidade de cibercrime da Europol, sublinha que "é uma falha de conhecimento da governança de topo". Por isso, assegura, "deveria haver uma pressão grande no tecido empresarial português para explicar como é que os diversos agentes, incluindo a Altice Portugal, poderiam ajudar as Pequenas e Médias Empresas a melhorar o nível de sensibilização em relação à segurança".
A falta de pessoas qualificadas e com a experiência e maturidade para ocupar estas funções é também apontada por José Alegria como um dos problemas atuais. No entanto, reforça, "não é necessário ser uma função a tempo inteiro" e explica que nos Estados Unidos, por exemplo, já existem CSO que ocupam esta tarefa em mais do que uma empresa em simultâneo.
Níveis de segurança
Em todas as áreas que lidam com segurança existem níveis que permitem maior ou menor restrição de movimentos e ações. Na cibersegurança é igual. Não adianta montar uma infraestrutura de milhões de euros para proteger apenas meia dúzia de dados que até são relativamente públicos. "Uma farmacêutica que está a desenvolver uma molécula para a cura do Alzheimer, está muito mais exposta ao cibercrime", sublinha José Alegria. E, em tom mais ligeiro, diz mesmo que "não vale a pena gastar 10 milhões de euros para proteger o plano de preços do MEO". Uma analogia que serve para mostrar que mesmo numa empresa de grande dimensão, e com forte apetência por parte dos cibercriminosos, é preciso definir níveis e segurança resilientes mas adequados ao valor daquilo que se pretende proteger.
Ou seja, é preciso ter consciência das necessidades de cada empresa, da informação que se pretende proteger e aplicar os investimentos adequados nessa frente de ataque. Já que, como recorda José Alegria, é preciso também conhecer a apetência que determinada informação tem para os cibercriminosos. "Para tentar roubar a fórmula de cura para a Alzheimer, uma organização de cibercriminosos vai investir dezenas de milhões de euros" pois trata-se de informação com um potencial económico muito valioso.
Artigos Relacionados
Defina a segurança dentro dos seus processos e mantenha os hackers longe
O número e a complexidade dos ataques informáticos têm aumentado de forma exponencial nos últimos anos e as consequências para as empresas são cada vez mais graves.Saiba mais
5 dicas para gerir documentos digitais
Como organizar a informação? Por pastas, com nomes certeiros, com tags, em que disco?Saiba mais
White Paper: Segurança, uma estratégia end to end para a sua empresa
Nunca é demais reforçar que o backup não protege nem substitui as soluções de segurança que protegem os dados de ataques com malware ou qualquer outro tipo de invasão.Saiba mais
Soluções Recomendadas
SEGURANÇA
A sua empresa 100% protegidaSaiba mais
Anti-DDoS
Proteja o seu negócio onlineSaiba mais
SEGURANÇA DE EMAIL
Tenha os emails da sua organização sempre protegidos.Saiba mais