NotíciasSegurança

Empresas têm de ter uma cultura de cibersegurança para serem resilientes

Num webinar organizado pela Microsoft, foi unânime que é necessário que as organizações tenham uma cultura de cibersegurança para assegurarem a resiliência do negócio. Foi ainda referida a importância da automação para lidar com os crescentes ciberataques em virtude da escassez de recursos.

Com o tema ‘Cibersegurança, a renovada prioridade das empresas’, o webinar do ciclo Microsoft Envision mostrou como este tema é cada vez mais vital para as organizações. Segundo a tecnológica, a frequência dos ataques tem crescido «quase 20% ao ano» e, em 2021, a «cada 32 segundos alguém foi atacado online» e «61% das falhas de segurança envolveram roubo de credenciais».

Miguel Dias Fernandes, consulting partner da PwC, explicou que «efeito COVID», ou seja, o acelerar da transformação digital e o contexto híbrido, veio «mudar substancialmente o perímetro de segurança das organizações» e «trouxe um sentido de maior urgência e de que há riscos ligados à digitalização». Já o CEO da Multicert, Pedro Norton Barbosa, disse que, além desse facto, há também «um aumento das vulnerabilidades críticas e da economia negra, cada vez mais evoluída e estrutura que veio trazer enormes desafios para as organizações» e que agora «é imperativo olhar para os riscos cibernéticos como uma prioridade».

O responsável da PwC salientou ainda a crescente importância do tema nas empresas: «Se olharmos para os riscos globais, a cibersegurança já surge como um dos principais quer do ponto de vista de impacto, quer de probabilidade e isso significa que há uma maior consciência de que é preciso fazer algo».

Uma cultura que tem de ser construída
Miguel Dias Fernandes alertou que «ainda não há uma total noção de que uma estratégia não se faz de um momento para o outro», o que só se faz com «capacitação e uma cultura de cibersegurança»; assim, há que «investir tempo a trabalhar» nestes aspectos. «Ainda se confunde muito o que é fazer acções de formação algumas vezes ao ano com uma forma contínua que envolve os colaboradores para uma consciencialização dos maus comportamentos e das ameaças. Isto é fundamental já as pessoas são a primeira linha de defesa das organizações», esclareceu.

Pedro Norton Barbosa sublinhou que a sua experiência no mercado nacional é semelhante: «Muitas das organizações com que lidamos querem investir mais, mas para isso é preciso ter uma lógica e uma estratégia. É uma jornada que tem de ser feita passo a passo e não toda ao mesmo tempo. Cada peça, cada investimento e decisão tem de fazer sentido nesse caminho e tem de ser um equilíbrio entre tecnologias, processos e pessoas». O responsável adiantou que «continua a haver uma percepção de que quando se fala em cibersegurança, se fala apenas em tecnologia».

Reforçando as ideias dos outros oradores, Ricardo Pires Silva, director executivo de vendas de soluções cloud da Microsoft Portugal, explicou que actualmente existe uma «fluidez entre as actividades pessoais e profissionais» e que as redes domésticas e empresariais são um grande desafio para equipas de segurança» – por isso, «independentemente do resto, é necessário ter uma estratégia clara».

Falta de recursos
«Há cada vez mais recursos alocados à cibersegurança, mas a velocidade a que se está a dar a transformação digital dá origem a um gap maior que o que existia anteriormente», disse o CEO da Multicert; já Ricardo Pires Silva falou do caso da Microsoft: «É importante dizer que numa empresa como a nossa, a resposta aos crescentes desafios cibernéticos faz-se com muito investimento, muita inovação e muita escala, não é só ao nível de colaboradores, mas também de automatismos. É preciso incorporar muita inteligência artificial e automação, porque é a única forma de dar resposta aos desafios. Não é possível contratar profissionais, nem ter competências à escala e velocidade que é necessário». O responsável referiu ainda outro aspecto essencial: «A tecnologia e a sofisticação dos ataques evoluem de uma forma mais rápida do que é possível treinarmos e educarmos os nossos colaboradores».

A solução é clara, como já tinha referido Ricardo Pires Silva: passa por «sinergias entre «pessoas e máquinas» e também «entre empresas», isto porque «a volumetria de dados é impossível de ser analisada individualmente».

O responsável voltou a frisar que «com a escassez e talento que existe, especificamente na área da cibersegurança, as empresas não vão conseguir defender-se», uma ideia com que Pedro Norton Barbosa e Miguel Dias Fernandes concordaram. O responsável da PwC referiu mesmo que, este ano, as previsões apontam que «faltem 350 mil profissionais de cibersegurança só na Europa» e que apenas «com tecnologia e automação é possível resolver o problema da defesa cibernética».

O director executivo deu como exemplo o que faz a Microsoft, que «acompanha de perto cerca de quarenta estados-nação e mais de 140 grupos criminosos conhecidos, recolhendo diariamente 24 triliões de sinais que mostram padrões de comportamentos e ajudam a detectar eventos que poderiam passar despercebidos a outra escala». Tudo isto permite «proteger em tempo real os cerca de 650 mil clientes que usam a cloud» da empresa.

Nada fazer, não é opção
Sobre os erros mais comuns, Pedro Norton Barbosa, disse que «o mais óbvio é as empresas não fazerem nada, acharem que são pequenas demais e que vão passar despercebidas». Assim não fazer nada não é solução, mas há outros problemas como «fazer algo, mas de uma forma reactiva e sem planeamento». Já sobre o que as organizações devem fazer, o responsável indicou como deve ser a estratégia: «Temos de nos proteger daquilo que conhecemos e detectar rapidamente o que desconhecemos, já que todos os dias há novos ataques – se algo acontecer, temos de ser capazes de detectar rapidamente, conter e mitigar os incidentes. O grau de preparação que tivermos vai fazer diferença».

A segurança «tem de ser um pilar fundamental na transformação digital e não um add-on», ou seja, deve ser um «enabler e não um obstáculo à mesma», acrescentou Ricardo Pires Silva. O director executivo salvaguardou que é necessária uma «visão holística que passe pelas identidades, pelos dispositivos, data-centers e vá das aplicações até à cloud»; além disso, a indústria tem a «responsabilidade de simplificar os silos que os clientes têm de gerir no domínio da cibersegurança». O responsável explicou que é nessa tendência que a Microsoft está a trabalhar: «Protegermos tudo o que pudermos; simplificarmos o complexo e detectarmos o que os outros não conseguem». Além disso, referiu que a Microsoft «investiu cinco mil milhões de dólares em cibersegurança nos últimos quatro anos» e que a empresa «vai quadruplicar esse investimento nos próximos quatro».