O regime anterior, de 2018, sendo recente, revelou-se insuficiente para travar a avalanche de ataques, quebras de segurança informática e danos gravosos para empresa e indivíduos a que temos vindo a assistir numa base diária.
De facto, quem de nós acompanha profissionalmente estas matérias, encontra-se num cenário de guerra efetiva, em que de um lado estão organizações altamente profissionais de criminosos ou até atores estatais, na maioria dos casos longe do alcance das autoridades judiciais, e, do outro lado. empresas e indivíduos em risco elevado de sofrer danos extremos ou até ter a sua atividade bloqueada.
As organizações hoje vivem da automação de processos, do fluxo de informação, dispersas por vários polos ou em teletrabalho, em que as operações de tratamento de dados pessoais e o uso de sistema de inteligência artificial são cada vez mais a regra. Como suporte de toda esta cadeia de valor está a cibersegurança e, sem ela, as organizações estão expostas à uma miríade de riscos.
A criminalidade informática hoje inclui as mais diversas formas de atuação. Todos os dias empresas acordam com o seus servidores bloqueados e toda a informação encriptada, exigindo-se um resgate para restabelecer e operação. Outras, são surpreendidas com ordens de pagamento dadas internamente e executadas, mas que se descobre serem forjadas por terceiros. Outras ainda, deparam-se com quebras de segurança que exportam dados pessoais e informações confidenciais das empresas.
É neste contexto que surge a transposição portuguesa da diretiva de cibersegurança. O ponto de partida foi estender as obrigações de cibersegurança a todas as médias empresas que operam em sectores definidos na lei: resíduos, IT, Alimentar, Energia, Indústria Transformadora, Investigação, são apenas alguns exemplos. O leque de entidades abrangidas passou de algumas centenas para milhares.
Agora, cada uma delas terá de qualificar-se, ou seja, saber em que categoria legal se inclui, registar-se numa plataforma do Centro Nacional de Cibersegurança e a partir daí cumprir com as obrigações nesta matéria. Na prática, é necessário fazer um processo de Compliance que inventarie ativos, faça um mapa de riscos e planifique medidas de prevenção ou de mitigação, formação aos trabalhadores e reveja processos. As organizações que dispõem da ISO27001 com enfoque em cibersegurança, já têm muito do caminho feito, mas nesta matéria não existem processos completos. Em cada ano a cibercriminalidade tornar-se mais sofisticada e agressiva e é necessário um trabalho continuado. A segurança de cada organização é definida pelo nível de prevenção do colaborador menos atento e que pode comprometer a estrutura. A solução é formar, mitigar riscos e investir em prevenção. A alternativa custa muito mais.
Autor:
