REVISTA RISCO: Vivemos uma verdadeira revolução tecnológica, que está a obrigar as empresas, os cidadãos e o Estado a adaptarem-se a uma nova realidade. Em Portugal os cidadãos preocupam-se com a cibersegurança?  

ARTUR MONTEIRO: O cidadão já tem consciência, bem como o tecido empresarial, da importância da cibersegurança e da protecção dos dados. Para isso contribuiu o push europeu, através de mais normas, regulação e controlo sobre a privacidade dos dados, bem como a modernização e a fiscalização das organizações do sector financeiro e das industrias mais tradicionais. Naturalmente, com tudo o que se publica, reforça-se também essa consciência e, apesar dos nossos resultados estatísticos não serem brilhantes, em Portugal temos uma consciência colectiva de que a segurança é um aspecto importante.

RR: Os líderes empresariais consideram a cibersegurança como obrigatória, quando preparam a estratégia para as suas empresas?  

AM: Há um entendimento generalizado de que a cibersegurança é importante, mas ainda estamos num ponto em que não é vista como uma vantagem, mas como uma carga operacional.

RR:Ainda é comum o gestor pensar num ataque informático como algo que poderá acontecer, mas que é pouco provável que aconteça?  

AM: Há ainda uma visão de modelo reactivo; de nos preparamos para as coisas mais imperativas apenas em alturas de aperto. A cibersegurança tem de estar, by design (na concepção), já em prática na organização e nos seus serviços. Ainda não estamos num ponto em que a cibersegurança é orgânica, mas já faz parte das organizações.

RR: Quais são os sectores mais expostos ao risco de um ataque informático?  

AM: Todos. Quando penso em cibersegurança, não penso em sectores. Penso no adversário, ou seja, quem está do outro lado e qual a sua motivação. Naturalmente, no sector financeiro, a motivação económica é bastante importante, mas existem outros sectores, como os das infra-estruturas críticas - a produção de energia ou transporte de energia - ou indústrias primárias - a produção de alumínio ou até a indústria alimentar -, que estão muito expostos. Em qualquer sector existem motivações: a ameaça interna, o colaborador que pode estar menos contente e que tem acesso privilegiado a sistemas, ou até pessoas de fora, que podem ser um concorrente da empresa, por exemplo...

RR: Refere-se a espionagem industrial?  

AM: Sim, trata-se de espionagem industrial, de influenciar a oferta ou a capacidade de entrega de um negócio. Em Portugal não se vê uma intensidade tão grande como noutras geografias, mas não é por ser um país com uma excelente localização geográfica e com um clima tão bom, que está isento desse tipo de pressões.

RR: O sector financeiro está mais exposto em questões como as de um ciberataque? Os portugueses podem dormir descansados?  

AM: Não está, necessariamente, mais exposto. A particularidade do sector financeiro, pelo tipo de activos que gere, é ser mais fácil encontrar actores externos que estão motivados a atacar. Mas os cidadãos podem dormir calmos e tranquilos.

RR: Os bancos estão preparados?  

AM: Todas as organizações, em maior ou menor medida, têm um nível de preparação. Da mesma forma que as ameaças vão evoluindo, os sectores também se vão adaptando. As entidades governamentais e os órgãos reguladores dos sectores aceleram esta adaptação. É verdade que é um jogo do gato e do rato, mas o que estes órgãos e entidades promovem é que nos antecipemos. Nesse sentido, eu acho que podemos dormir descansados. O meu dinheiro está num banco e eu durmo descansado.

RR: Em termos de cibersegurança, é o Estado ou as entidades privadas que estão mais bem preparados?  

AM: Temos de ver o ecossistema como um todo. É verdade que Portugal está mais relaxado, quer no sector público, quer no privado, porque não tem um tom tão hostil como o que se verifica em determinadas geografias, como a Ásia Central. Esse relaxamento faz, possivelmente, com que Portugal não esteja no pódio das organizações mais bem preparadas. Mas isso não quer dizer que não esteja preparado.

RR: Quais as regras básicas para se criar uma cultura de cibersegurança?  

AM: Não há uma receita universal. Depende do sector, da mentalidade corporativa e do apetite para o risco. O básico é que o colaborador conheça as ferramentas, tal como quem conduz um carro entende que o veículo é um risco para quem está na estrada. O colaborador tem de entender que há determinadas ferramentas de trabalho e operações do dia-a-dia que envolvem um risco. Essa é a parte fundamental que deve ser entendida.

RR: Que tipos de ataque informático são mais comuns em Portugal?  

AM: Em Portugal existe uma percepção mais tradicional. Pensa-se muito na figura do hacker oportunista e não se percebe que existe todo um mundo de malware e que esse software é cada vez mais dirigido e cada vez ganha mais protagonismo.

RR: Com que objectivos?  

AM: Desacreditar uma empresa, gerar impacto na percepção da marca, obter informação corporativa para um projecto... Num concurso público em que duas empresas estão a competir, por exemplo. Em Portugal, o maior impacto pode estar nestes ataques menos oportunistas e onde existe um défice de preparação, no público e no privado, para perceber e reagir. Essa é mesmo a tendência que vemos em todas as organizações. Hoje vivemos no mundo do adversário.

RR: A existência de cada vez mais dispositivos móveis aumenta a vulnerabilidade das empresas e dos cidadãos?  

AM: Sim, aumenta a superfície de ataque. Quando pensamos em dispositivos móveis, eu penso em três vertentes. As aplicações móveis - que podem ser corporativas ou não e que têm muitos dos problemas tradicionais do software o telefone do trabalho - tradicionalmente as organizações têm uma boa noção de como proteger esses dispositivos - e o telefone pessoal. Aí entramos em áreas que são francamente interessantes a nível de gestão de riscos.

RR: Empresas como a Accenture já passaram da cibersegurança para entrar na ciber-resiliência. Qual a diferença entre estes dois conceitos?  

AM: A ciber-resiliência é a preparação para o risco. Como vai a organização responder quando acontecer um incidente? A principal diferença é pensarmos num modelo mais reactivo, a cibersegurança, ou um modelo mais proactivo, a ciber-resiliência. Uma organização que entre neste modelo considera pontos como, por exemplo, a simulação de adversários. Em vez de se centrar unicamente na deteção de vulnerabilidades, a organização trabalha proativamente na identificação e resposta de incidentes. A ciber resiliência aporta a capaciedade para resistir e para se impor a um adversário.

RR: Quais os sectores que estão mais à frente com recurso a este modelo?  

AM: A ciber-resiliência é um modelo que se aplica a todas as organizações, mas algumas, pelo seu posicionamento estratégico numa nação ou numa indústria, têm de acelerar essa posição. Diria que tudo o que é infra-estrutura crítica, como telecomunicações, sector financeiro, produção e transporte de energia, tem de ter um modelo muito mais avançado no sentido menos tradicional, ou seja, menos reactivo. E vemos que este tipo de empresas tem evoluído nesse sentido, embora haja muito caminho a percorrer.

RR: Considera que esse crescimento é visível em Portugal?  

AM: Os executivos sabem que a cibersegurança é importante e que o que fazem hoje é suficiente, mas amanhã pode não ser. Temos de estruturar melhor esta abordagem, a nível nacional.

RR: As empresas portuguesas investem o mínimo?  

AM: O investimento varia amplamente de sector para sector, de empresa para empresa, pelo tamanho, posição no mercado, posição pública, tipo de organização. Em Portugal, vejo empresas que fazem investimentos no sentido de estar com o que é necessário para operar de uma forma média, mas também vejo organizações que dizem que temos "isto" e precisamos "daquilo" para estarmos um passo mais à frente. A Accenture ajuda a dar mais este passo em todos os processos, particularmente, na transformação digital. Vemos esse investimento em Portugal.

Revista Risco | 01/03/2019 | Artur Monteiro

Artur Monteiro

Senior Manager – Accenture ​

MAIS SOBRE ESTE TEMA


SUBSCREVER
Mantenha-se informado com a nossa newsletter Mantenha-se informado com a nossa newsletter