O ganho é redução do risco
Se a cloud é hoje uma das bases da economia digital, a mobilidade e a identidade digital são a face mais visível desta transformação para cidadãos e colaboradores. Raul do Vale Martins, CEO da Whymob, considera que «o impacto tende a ser relevante» para as organizações que desenvolvem ou operam serviços digitais assentes nestas duas dimensões. «A NIS2 alargou o universo de entidades abrangidas, reforçou as obrigações de gestão de risco, apertou as regras de notificação de incidentes e agravou o regime sancionatório», recorda. E lembra que «o Centro Nacional de Cibersegurança também indica que as entidades abrangidas passam a ter o dever de se identificar e registar na plataforma para o efeito, dentro dos prazos definidos».
Na prática, para quem vive de serviços ligados à mobilidade e à identidade digital, Raul do Vale Martins sublinha que «já não basta ter controlos mínimos ou dispersos» e «passa a ser necessário demonstrar governação, processos formais, capacidade de prevenção, detecção, resposta e recuperação». Isto é «especialmente sensível quando o serviço depende de autenticação, credenciais, perfis de acesso, API, aplicações móveis, cloud e integração com terceiros». A NIS2 «dá peso explícito à segurança da cadeia de abastecimento, à gestão de incidentes, à continuidade e à protecção dos sistemas de rede e informação», o que obriga estas empresas a rever «a arquitectura de identidade e acessos, os processos internos de gestão de risco e a relação com fornecedores tecnológicos».
Quem opera serviços digitais com forte componente móvel ou de identidade, observa, «tende a estar mais exposto a fraude, comprometimento de contas, abuso de privilégios e falhas de integração». Com a NIS2, «esses temas deixam de ser apenas técnicos e passam a ter peso regulatório e de gestão». A preparação, admite, «é desigual»: «Há organizações já com MFA, gestão de identidades, revisão de privilégios e registo de eventos com algum grau de maturidade», mas «ainda existe um número relevante de empresas com dependência excessiva de palavra‑passe, acessos privilegiados mal segmentados, pouca disciplina na gestão do ciclo de vida de utilizadores e fraca visibilidade sobre quem acede a quê, quando e a partir de onde».
Enquadramento legal acelera
Ao mesmo tempo, «o enquadramento legal e institucional está a acelerar», com o CNCS a sinalizar «maior precisão nas medidas de gestão de risco, maior responsabilização da gestão de topo e poderes de supervisão mais fortes». Isso, na perspectiva do CEO da Whymob, «vai expor fragilidades que antes passavam despercebidas». «As empresas portuguesas, no geral, já perceberam a importância do tema», resume. «O que ainda falta em muitos casos é transformar essa consciência em execução consistente.» Ter MFA em apenas alguns sistemas «não chega»: «É preciso cobrir acessos remotos, contas privilegiadas, consolas de administração, integrações críticas, aplicações móveis internas e acessos de terceiros. O desafio, hoje, está menos na falta de tecnologia e mais na disciplina operacional para a aplicar de forma transversal».
