Share the post "Uma em cada quatro empresas portuguesas já foi alvo de ciberataque"
O aumento considerável de dados, de transações, de serviços online tem vindo a contribuir para o aumento do cibercrime. Roubo de informação, extorsão, chantagem, vandalismo, espionagem, desinformação, manipulação de mercado e interrupção de infraestrutura são alguns dos exemplos que afetam o setor empresarial a nível global.
O facto dos ambientes tecnológicos estarem cada vez mais complexos tornou o risco cibernético um dos principais riscos corporativos, razão pela qual a cibersegurança é hoje uma das grandes preocupações das empresas e, na mesma medida, um dos seus maiores desafios.
Cibersegurança: o que dizem os números
De acordo com a Associação Empresarial de Portugal (AEP), no último ano, uma em cada quatro empresas foi vítima de um ataque cibernético. Estes números são preocupantes, sobretudo quando o que está em causa é a reputação das organizações – e, por conseguinte, as oportunidades de negócio.
Também segundo um relatório realizado pelo Gabinete de Estratégia e Estudos, do Ministério da Economia, datado de agosto de 2018, Portugal, em 2017, encontrava-se na 74.ª posição entre os países com maior incidência de malware num conjunto de 109 países. Já no contexto europeu, Portugal ocupava uma das mais elevadas taxas de incidência de malware, estando na 9ª posição.
Quanto à percentagem de empresas que implementaram formalmente políticas de segurança, o mesmo relatório revela que Portugal é o segundo país da União Europeia (UE) com o maior valor (48,8%), a seguir à Suécia (50,8%) e muito acima da média da UE (31,6%). Refere-se ainda que este valor é superior nas grandes organizações (80,7%) do que nas pequenas e médias empresas (PME’s) (48,1%).
Já um estudo realizado pela consultora Marsh – “A Visão das Empresas Portuguesas sobre os Riscos” -, que teve como base as respostas de 170 empresas que atuam em território nacional, revela que 41% das empresas aumentou o orçamento para a gestão de riscos cibernéticos.
Os números apresentados revelam que os empresários portugueses estão cada vez mais conscientes do impacto dos ciber-riscos e, ao mesmo tempo, têm tomado medidas para protegerem os ativos das suas empresas.
Importa recordar a este propósito que os desafios da segurança digital revestem-se, hoje, de uma dupla importância, sobretudo depois da entrada em vigor do Regulamento Geral de Proteção de Dados (RGPD).
CNCS está a desenvolver um quadro nacional de referência para cibersegurança
Recentemente, o coordenador do Centro Nacional de Cibersegurança (CNCS) – estrutura criada em 2014 que, em cooperação e colaboração com entidades públicas e privadas, tem como principal missão contribuir para que Portugal use o ciberespaço de uma forma livre e segura – admitiu que o país ainda está longe de um cenário ideal em matéria de cibersegurança.
Todavia, revelou que o CNCS está, atualmente, a desenvolver um quadro nacional de referência para cibersegurança, que tem como objetivo ajudar a proteger melhor as empresas e organismos públicos dos ataques informáticos.
Quanto a ameaças reais, e de acordo com o mais recente Relatório Anual de Segurança Interna, em 2017, a equipa de reação a incidentes do CNCS recebeu e processou 1.895 notificações relativas a ataques no ciberespaço.
Dos incidentes registados, 17% afetaram direta e indiretamente entidades do Estado, o que representa um acréscimo de 8% em relação ao ano anterior. A maioria dos crimes visaram a recolha de informação (phishing, spearphising e realização de scans), sendo que os alvos principais foram as instituições bancárias.
Segundo o mesmo relatório, houve ainda mais de uma centena de incidentes classificados como malware e meia centena de crimes de “tentativa de intrusão” nos sistemas das organizações portuguesas.
Quais as políticas de segurança que as empresas podem adotar?
Apesar de aqui já termos escrito sobre gestão de riscos cibernéticos, importa recordar que todas as medidas extraordinárias que se possam adotar, tendo em vista a proteção dos ativos das empresas, nunca serão demais.
Por exemplo, a contratação de um seguro contra os ciberataques começa a ser encarado como um investimento para as organizações empresariais – uma vez que é difícil avaliar o impacto financeiro de uma quebra de segurança.
Tendo isto em mente, e sabendo que os ataques cibernéticos estão cada vez mais criativos e sofisticados, importa saber que este tipo de seguro pode incluir cobertura para alguns dos seguintes incidentes:
- Ativos digitais danificados ou perdidos, como dados e software;
- Perdas de oportunidades de negócios ou aumento de custos operacionais devido a uma interrupção dos sistemas da empresa;
- Extorsão cibernética se o hacker detiver os dados do segurado para resgate;
- Dinheiro roubado através de um cibercrime;
- Violações de segurança da confidencialidade dos funcionários;
- Perda de dados e informações dos clientes;
- Notificação do cliente após uma violação de segurança;
- Esforços de relações públicas, sobretudo no que se refere a assegurar a reputação da empresa e violações de propriedade intelectual.
No que fiz respeito à adoção de políticas de segurança, também não será de todo despropositada a contratação de um Chief Security Officer (CSO). A esta figura caberá:
- Acompanhar eventuais auditorias, garantindo a conformidade com as políticas de segurança;
- Estabelecer normas associadas ao desenvolvimento, implementação e manutenção de processos de segurança, a fim de proteger a propriedade intelectual da empresa;
- Antecipar eventuais riscos e danos de um ataque;
- Definir os custos de uma mitigação, bem como o seu impacto;
- Aumentar a resiliência geral face ao ciber-risco, através do planeamento contínuo dos diversos cenários e respetivas respostas;
- Como líder executivo, tem ainda a função de criar uma cultura de segurança.
Veja também: