A pandemia, o reforço da digitalização em sectores como a indústria, saúde ou de infraestruturas críticas e a instabilidade geopolítica, sobretudo na Europa, trouxeram novos desafios de cibersegurança para empresas e instituições públicas e obrigaram a rever a forma de olhar para o tema, o seu nível de prioridade e o investimento associado. Ou, pelo menos, assim deveria ser. Um novo paper da EY sublinha que o nível de investimento das empresas em cibersegurança continua muito abaixo do desejável para responder aos riscos crescentes e cada vez mais sofisticados que as organizações enfrentam na área da cibersegurança.

Num documento que avalia a realidade europeia, a EY recorda que as empresas aplicam apenas entre 2 e 5% das suas receitas anuais à área de tecnologia. Numa pesquisa realizada também pela consultora no ano passado (EY Global Information Security Survey 2021), 40% dos inquiridos na Europa Ocidental admitiam já esperar um ataque de grande escala nas suas organizações, que podia ser prevenido com melhor investimento, melhor engagement (entre diferentes áreas de negócio) e awareness. Quase 39% dos CISO avisavam que o orçamento TI das suas empresas não era suficiente para gerir os desafios resultantes de um ciberataque.

Um ano depois, a urgência de reforçar investimentos continua a ser uma das principais recomendações do paper, que se aplica tão ou mais a Portugal, que ao resto da Europa.

“Portugal continua a investir menos que a Europa em cibersegurança, mas tem havido um progresso”, admite Sérgio Sá, Partner da EY para a área de Cybersecurity Consulting Services, reconhecendo, no entanto, que muito desse progresso não chega a ser uma opção.
2022 foi um “ano terrível” para a cibersegurança em Portugal e especialistas avisam que 2023 pode ser pior
2022 foi um “ano terrível” para a cibersegurança em Portugal e especialistas avisam que 2023 pode ser pior
Ver artigo

É antes uma obrigação, por força dos vários regulamentos aos quais as empresas estão sujeitas. Destaque para os requisitos legais que têm vindo a ser implementados na área da cibersegurança, privacidade e continuidade de negócio. Esse reforço tem sido mais expressivo, sublinha também Sérgio Sá, em áreas de serviços essenciais e infraestruturas críticas, como a Administração Pública (central e regional), Banca, Power&Utilities, Telecomunicações e Transportes.

Nas recomendações da EY para endereçar os novos desafios da cibersegurança há também uma chamada de atenção para a necessidade de redobrar esforços relativamente à proteção de novas áreas “que se estão a tornar cada vez mais vulneráveis e visadas”, como reconhece o estudo, que destaca a propósito a cloud e indústria.

“A crescente dependência das organizações dos meios digitais, a introdução de novas tecnologias (como a Cloud, RPA, 5G e outras), a necessidade de integrar diferentes ambientes (IT, OT, IoT) introduzem novos riscos que necessitam de ser rapidamente avaliados e mitigados”.

Por tudo isto, sublinha-se que as empresas precisam de reforçar as suas linhas de defesa, melhorando a capacidade de antecipar problemas, com serviços de inteligência, melhorando a capacidade de gerir crises (planeando e simulando), de detetar e responder a problemas, tendo em conta os diferentes tipos de utilizadores nas suas redes e os diferentes parceiros das respetivas cadeias de valor.

Sobre este tema, o paper nota também a importância de reforçar a gestão de risco com terceiros, não só exigindo requisitos de segurança contratualmente, como garantindo que o cumprimento desses critérios é monitorizado regularmente.

Estas práticas começam a ser comuns em várias indústrias, como na automóvel, que tem um peso importante em Portugal com fábricas de várias marcas. Sérgio Sá reconhece que a indústria automóvel é um exemplo de rápida perceção do peso dos riscos TI, que conduziu à introdução de regulamentação e certificações de segurança em toda a cadeia de valor, uma tendência que a EY espera ver cada vez mais em indústrias diversas. “De forma a manter o sucesso e a qualidade, as indústrias vão começar a ter cada vez mais regulamentação própria. Haverá depois a necessidade de conciliar esta regulamentação própria, com outras que possam existir a nível europeu ou nacional”. Sérgio Sá antecipa também uma tendência crescente “para a coordenação de incidentes a nível de indústria e nível nacional, de forma a controlar o impacto de forma mais célere”.

No paper que assinala outubro como o mês da cibersegurança - “Cybersecurity in the age of geopolitical crises and global uncertainties”, a EY elege ainda o quadro regulatório fragmentado e cada vez mais complexo, como um obstáculo a uma abordagem mais efetiva à cibersegurança, que obriga as equipas a gastarem muito tempo com questões de compliance. Uma situação ainda mais agravada em mercados com normas específicas a este nível.

A segurança by design devia ser já um princípio adotado pelas empresas, sublinha-se, mas a realidade mostra que isso não acontece e que os CISOs continuam a ter pouca influência e interferência no planeamento de decisões que vão condicionar os níveis de risco das empresas.

Um novo papel para os CISO

O estudo sublinha a evolução no próprio papel do chief information security officer (CISO), de tarefas técnicas, para um conjunto de responsabilidades mais holísticas que se centram no desenho de estratégias que permitam às empresas continuar o seu caminho de digitalização, gerindo riscos de forma a manter aberto um caminho para a inovação, sem comprometer a segurança.

“O impacto do risco TI (TI, TO, IoT) numa organização subiu substancialmente pelo que necessita de estar na agenda habitual dos órgãos de decisão”, frisa Sérgio Sá. Com isto, o próprio modelo de governance da cibersegurança está a mudar. “É [um tema] de toda a organização que vai desde a gestão, unidades de negócio aos colaboradores e terceiros” e é cada vez mais fundamental que a interação entre os diferentes pilares que suportam uma organização, numa perspetiva de cibersegurança, melhore.

Neste universo estão pessoas, processos e tecnologias, em particular, nas seguintes áreas: simulação de crises, engenharia social, assessement de segurança/mitigação, gestão de identidades, monitorização e resposta a incidentes, sublinha-se.

Ter o talento certo para responder aos novos desafios da cibersegurança é outra peça fundamental na eficiência das estratégias de defesa das empresas. Nesse sentido, “as organizações devem rever o seu perfil de talentos, sem esperar o impossível. A amplitude de competências necessárias na função atual está a expandir-se em várias direções ao mesmo tempo”. A melhor abordagem será construir uma equipa que equilibre uma combinação de competências amplas, reconhecendo que cada um terá os seus pontos fortes e fracos.

Com um pé no presente e um olho no futuro, a análise da EY frisa que “o tempo é um luxo ao qual as organizações já não podem dar-se”, recordando que antes as empresas começavam por procurar apoio para avaliar infraestruturas e coordenadas de ação para atenuar riscos. Depois decidiam como responder e de que apoio precisavam.

“Hoje em dia, a avaliação e a mitigação devem decorrer em simultâneo. Não há simplesmente tempo a perder quando se trata de enfrentar vulnerabilidades”, alerta-se.

Ameaças de Ransomware, Engenharia Social, Denial of Service (DoS) e Ameaças Internas estão no top das preocupações, pelas mais diversas razões, mas também porque “em Portugal à semelhança do resto da Europa, houve um aumento de ataques (em volume e intensidade) devido à situação geopolítica”, admite Sérgio Sá.

O lado positivo deste maior foco sobre Portugal é o aumento da sensibilidade para os temas da Cibersegurança, Privacidade e Continuidade de Negócio nas organizações, que chega cada vez mais à gestão de topo.

“As organizações têm reforçado as medidas operacionais, e existe um maior envolvimento das administrações (e maior responsabilidade) na definição da estratégia e tomada rápida de decisão”, admite a EY Portugal.