Depois de um longo processo, o Regime Jurídico da Cibersegurança, que transpõe para a legislação portuguesa a diretiva europeia NIS2, vai entrar em vigor no próximo ano. A lei traz novas obrigações para as empresas, mas, será suficiente para elevar o nível de resiliência digital do nosso país?

Não perca nenhuma notícia importante da atualidade de tecnologia e acompanhe tudo em tek.sapo.pt

Em entrevista ao TEK Notícias, Luís Martins, Diretor-Geral da Cipher Portugal, afirma que, em parte, o país “está mais bem preparado”, algo que é possível constatar na maturidade tanto das ofertas das empresas de cibersegurança, como as próprias organizações, “que começam a ter uma percepção muito clara de que o investimento [nesta área] acaba por ser não só uma necessidade, mas também pode e deve ser cada vez mais encarado como um factor diferenciador do ponto de vista do negócio”.

Como realça o responsável, nos sectores críticos, como energia, telecomunicações e banca, que estão “habituados a ser altamente regulados”, o nível de maturidade e de preparação das organizações para responder e mitigar possíveis incidentes é mais elevado.

Por outro lado, no que toca às Pequenas e Médias Empresas (PME),que compõem a maioria do tecido empresarial, muitas não têm a capacidade financeira para tal, nem “sequer a consciência de que efetivamente necessitam de se preparar, ou sequer se estão abrangidas pela NIS2”, afirma Luís Martins.

Além disso, Portugal continua exposto a vulnerabilidades. O responsável destaca a exploração de falhas de segurança por parte de grupos atacantes, muitas delas já conhecidas e que permanecem por corrigir. “Muitas vezes, as empresas têm a percepção de que necessitam de fazer investimento nesta área, mas não o fazem de imediato”, o que resulta numa maior exposição a ameaças.

Além da crescente sofisticação dos ataques, à medida que a Inteligência Artificial se torna numa das armas dos cibercriminosos, há uma uma predominância de casos em que as organizações são atacadas pelos seus elos mais fracos através esquemas de phishing que são “apenas o início de uma cadeia de ataque”, podendo levar depois a situações mais graves, como roubo de credenciais ou ransomware, que, muitas vezes, poderiam ser evitadas através de programas de consciencialização mais eficazes.

Luís Martins | Cipher Portugal
Luís Martins | Cipher Portugal Luís Martins, Diretor-Geral da Cipher Portugal

A par de uma grande fragmentação a nível das soluções de segurança usadas pelas organizações, que acaba por se tornar um “fator de dificuldade adicional” no trabalho das equipas desta área, Luís Martins defende que há uma “falta de visibilidade consistente naquilo que são as infraestruturas”, não existindo algo que permita ter uma “visão agregada” de possíveis ameaças transversais.

Cibersegurança ainda é "mal-amada"

As organizações ainda vão ter mais algum tempo para se prepararem para a entrada em vigor do novo Regime Jurídico da Cibersegurança em abril do próximo ano, mas, como reitera o Diretor-Geral da Cipher Portugal, o maior desafio não será para as grandes empresas, que “normalmente têm os meios, a capacidade e o orçamento”, mas sim para aquelas que “não têm nada de base” .

Na visão do responsável, a estes desafios soma-se outro ainda mais complexo: “a cibersegurança é, sem dúvida, uma das áreas mal-amadas das organizações”, porque é necessário um investimento cujo retorno não é imediato.

O problema é agravado pelo facto de muitos responsáveis de segurança, ou CISOs (Chief Information Security Officers), “não falarem a linguagem do negócio”, algo que considera essencial para obter o financiamento necessário para responder aos desafios existentes.

Mudar a percepção de que a cibersegurança é um “empecilho ou algo que está a bloquear o avanço de determinado tipo de vertentes de negócio” é outro dos aspectos que Luís Martins considera fundamentais, realçando que esta área deve ser encarada como “um acelerador para o negócio”.

Como aumentar a resiliência digital?

Fazer uma avaliação estruturada da postura de segurança é, para Luís Martins, uma das medidas essenciais para as organizações que querem aumentar a sua resiliência digital. “Se não tivermos um plano, não vamos conseguir identificar quais são as prioridades”, aponta, realçando que este é um passo fulcral para conseguir estruturar um orçamento adequado e implementar de maneira eficaz todas as ações que são necessárias.

Mas não basta fazer uma avaliação uma vez: “é necessário manter uma monitorização contínua”. Porém, muitas organizações não têm a capacidade de ter equipas a fazer monitorização 24 horas por dia, 7 dias por semana, o que se torna ainda mais complicado quando temos em conta que os “cibercriminosos não ficam à espera que as pessoas estejam no seu emprego para atacar”.

Aqui, soluções de Extended Managed Detection and Response (XMDR), como aquelas que são desenvolvidas pela Cipher, assumem um papel relevante, bem como ter um conhecimento aprofundado das táticas usadas pelos cibercriminosos para antecipar comportamentos e fortalecer áreas que estejam em maior risco de exposição.

Olhando para o futuro, Luís Martins afirma que Portugal deve continuar a apostar em programas de formação e consciencialização, uma área onde reconhece os esforços que têm sido reunidos pelo Centro Nacional de Cibersegurança (CNCS).

Entre as prioridades para as empresas nos próximos anos, o responsável destaca que será necessário ir além da conformidade com a nova legislação de cibersegurança.

“Acredito que as empresas que tiverem a capacidade de olhar para a implementação da norma, não apenas para a conformidade, e que souberem tirar o melhor partido, vão posicionar-se mais à frente, e de uma forma mais competitiva, dos seus concorrentes”, realça.

Assine a newsletter do TEK Notícias e receba todos os dias as principais notícias de tecnologia na sua caixa de correio.