Relatório Cibersegurança em Portugal – Sociedade 2023 analisou o «estado da componente humana da cibersegurança, nomeadamente as atitudes, os comportamentos e a sensibilização e educação». A quinta edição do estudo mostra um aumento da notoriedade da cibersegurança, já que o número de artigos nos media e as pesquisas online com essa palavra «aumentaram de forma assinalável» face ao ano anterior.
Citando o inquérito à utilização das TIC nas empresas, realizado pelo Eurostat e pelo Instituto Nacional de Estatística em Portugal, o CNCS revela que, em 2022, 43% organizações portuguesas (com mais de dez colaboradores e sem incluir o sector financeiro) tinha definido ou revisto a Política de Segurança das TIC nos últimos 24 meses, um valor superior à média da União Europeia (32%). Além disso, a maioria das empresas em Portugal possui recomendações documentadas sobre medidas, práticas ou procedimentos de segurança das TIC (54%), o que representa uma subida significativa relativamente a 2019 (28%), e corresponde a mais 17% do que a actual média da UE (37%). Destes guiões, os mais relevantes são os relacionados com o trabalho remoto e híbrido: 49% das empresas tinham recomendações de segurança para o acesso remoto, o que se encontra abaixo da União Europeia (52%); já 32% tinham guiões para reuniões online à distância, o mesmo valor do que a média da UE.
Em 2022, as tarefas de segurança nas organizações portuguesas foram predominantemente realizadas com a ajuda de fornecedores externos (72%) em comparação com os colaboradores da empresa ou de empresas do grupo (41%). Estes indicadores encontram-se alinhados com a realidade europeia.
Administração pública pode fazer melhor
Em 2022, a percentagem de organismos do sector público, no País, que tinha uma Estratégia para a Segurança de Informação, manteve-se nos 59%, tal como em 2021. No entanto, este indicador tem caído desde 2018, ano em que 64% das entidades tinha esta política (em 2019, chegou mesmo aos 67%). Há dois anos, as câmaras municipais estabilizaram nos 60%, enquanto o número de organismos da administração regional da Madeira e da administração central com uma Estratégia para a Segurança de Informação baixou 5% e 2%, respectivamente. Em sentido oposto esteve a administração regional dos Açores: o número de entidades aumentou de 42 para 59%, entre 2021 e 2022. A Área Metropolitana de Lisboa, com 83%, foi a região com mais câmaras municipais a terem Estratégias para a Segurança de Informação, em 2022.
Aumentar a protecção das organizações
No que diz respeito às medidas efectivas tomadas pelas empresas nacionais, a mais aplicada, em 2022, foi a autenticação através de uma palavra-passe segura (84%), seguida de ter um backup da informação num segundo local (74%) e pela existência de controlo de acesso à rede (63%). Por outro lado, apenas 28% das empresas em Portugal aplicou autenticação de, pelo menos, dois factores e ainda menos a autenticação biométrica (12%).
A medida de segurança mais utilizada em 2022, na administração pública nacional, foi a actualização regular do software (95%), seguida do controlo de acesso à rede (92%) e da autenticação dos utilizadores através de uma palavra-passe segura (85%).
O Relatório Cibersegurança em Portugal destaca ainda a realização de acções de sensibilização dirigidas aos empregados. Assim, no ano de 2022, o número de empresas que fez este tipo de formação aumentou para 63%, um crescimento de 9% em relação a 2019, e que está acima da do que acontece na União Europeia (58%).
No final, o organismo que constitui a autoridade nacional especialista em matéria de cibersegurança revela que existem «tendências positivas» e deixa algumas recomendações, como a «manutenção de acções de sensibilização, formação e educação», a continuação da «promoção e criação de estratégias e políticas de segurança de informação nas empresas e na administração pública» e a «adopção das melhores práticas de cibersegurança» por parte de todas as organizações.