Na experiência de Raul do Vale Martins, «as vulnerabilidades mais comuns começam na identidade». Assim, «credenciais fracas, reutilizadas ou expostas continuam a abrir a porta a incidentes simples e com impacto alto». Quando isso se cruza com dispositivos móveis, «surgem riscos adicionais, como perda ou roubo de equipamento, sessões persistentes, aplicações desactualizadas, malware móvel, phishing por SMS ou apps de mensagens e acessos a partir de redes inseguras». Outro ponto crítico são «os acessos privilegiados», em que «administradores, equipas de suporte e fornecedores externos mantêm privilégios excessivos ou pouco monitorizados». Num contexto com apps móveis, backends expostos por API e integrações com serviços cloud, «a fragmentação» é um risco adicional: «Muitas organizações têm o acesso distribuído por vários sistemas, sem uma camada coerente de Identity and Access Management (IAM), sem revisão periódica de permissões e sem trilho de auditoria consolidado». Isso, alerta, «dificulta o controlo, a detecção de anomalias e a resposta a incidentes» e, no contexto NIS2, «deixa de ser só ineficiência, passa a ser risco regulatório e operacional».
Perante este cenário, Raul do Vale Martins vê o reforço das exigências regulatórias em matéria de cibersegurança como um acelerador da adopção de soluções mais seguras de autenticação e de gestão de identidade digital. «Sim, claramente», responde quando questionado sobre esse efeito. «A regulação tende a funcionar como catalisador». Em muitas organizações, «projectos de IAM, MFA, autenticação contínua, gestão de acessos privilegiados e revisão de perfis já eram necessários há anos, mas competiam com outras prioridades». Por isso, «quando o tema entra no radar da administração, com deveres formais, supervisão, reporte e coimas relevantes, a decisão deixa de ser adiada com a mesma facilidade», defende.
Além disso, nota, «a directiva não trata a autenticação como um detalhe técnico isolado». Na verdade, «enquadra estes mecanismos dentro de uma lógica mais ampla de gestão de risco, continuidade, responsabilidade da gestão e segurança da cadeia de abastecimento», o que «favorece soluções mais completas e mais maduras, em vez de respostas pontuais». Por isso, conclui, «vejo o reforço regulatório como uma oportunidade. Vai pressionar o mercado a sair de modelos frágeis, centrados só em palavra‑passe e perímetro, e a avançar para modelos baseados em identidade forte, privilégio mínimo, monitorização contínua e prova efectiva de controlo.» As organizações que se mexerem cedo «não ganham apenas conformidade»: «Ganham redução de risco, maior confiança dos clientes e mais resiliência operacional».
