Defesa das empresas é uma questão de foco
Os ataques informáticos fazem parte do "novo normal" de qualquer empresa com pegada digital no pós-pandemia, mas não há uma receita que os evite definitivamente. Há, sim, estratégias que podem atenuar males maiores. As organizações nacionais têm sido um alvo constante desde o início do ano, o que lhes falta para estarem mais protegidas? "Foco", responde Kris Lovejoy, global security and resilience leader da Kyndryl, uma empresa norte-americana criada no seio da IBM e que é hoje responsável pela segurança de milhares de infraestruturas de dados e sistemas de informação em todo o mundo, incluindo em Portugal.
Ao Dinheiro Vivo, esta especialista em cibersegurança entende que a qualidade da defesa cibernética das empresa é "uma questão de foco" .
"Durante o período [mais crítico] de covid-19 observámos um enorme número de tecnologias implementadas [nas empresas]", afirma a responsável, indicando que a adoção de mais ferramentas digitais concretizou-se sem que fosse feito "um controlo de segurança adequado e devidamente integrado".
Isto aconteceu sobretudo nas organizações que habitualmente não tinham presença, ou não estavam tão presentes, nos canais digitais. Criou-se, assim, um problema com o "aumento significativo da área de ataque", de acordo com Lovejoy.
"Em segundo lugar, assistimos a uma proliferação de tecnologias de segurança introduzidas no mercado que resolvem problemas muito mais restritos. Para enfrentar o desafio da segurança, as equipas de segurança investem em múltiplas destas ferramentas e depois deparam-se com dificuldades para as integrar e gerir. Esta complexidade introduz o risco", refere.
Uma análise de janeiro da Check Point Research deu conta de uma média de 881 ataques informáticos a organizações portuguesas em 2021. Só nos últimos quatro meses foram identificados cerca de 100 mil ameaças, segundo um outro relatório da ESET. Mas os incidentes só ganharam mediatismo quando, nos primeiros meses de 2022, grandes empresas, como a Impresa (dona da SIC) e a Vodafone Portugal, sofreram ataques que penalizaram o normal funcionamento dos respetivos serviços.
Desde aí, os incidentes têm-se somado e não importa a dimensão das organizações.
Um estudo da Marsh e da Microsoft apontava, no início de junho, que os gestores estavam menos confiantes em relação à cibersegurança das empresas. Afinal, quase 60% não tinham a defesa bem planeada. Um mês depois, uma análise da Mazars concluiu, num inquérito a mil gestores de topo, que mais de um terço admitia ser provável ocorrer um ataque com impacto na organização que lidera.
Em agosto, mais uma grande empresa nacional foi alvo de ataque. Desta vez, a TAP, embora a companhia garanta ter a salvo dados sensíveis.
Radiografia feita, das afirmações de Kris Lovejoy sobre o tema depreende-se que a cibersegurança não é um desafio só em Portugal e tem afetado, sobretudo, "os setores de financeiro e banca, de serviços públicos, como instituições governamentais, hospitais etc., e empresas de tecnologia".
"As violações de cibersegurança acontecem todos os dias, vão continuar a acontecer e, na maior parte dos casos, [quando se dá conta] já aconteceram", alerta.
A especialista em cibersegurança da Kyndryl reconhece que as empresas estão "mais conscientes da inevitabilidade e dos danos que resultam das ameaças", mas precisam de olhar para o tema de outra forma. A solução passa por assumir uma nova forma de gestão da área.
"As empresas precisam de ter um plano para reagir, um plano que tenha sido praticado ad nauseum. O tempo para descobrir como fazer as coisas não é depois do ataque", sublinha Lovejoy, notando que os custos dos ciberataques "estão a aumentar" e os danos reputacionais são cada vez maiores.
Defende, por isso, que a forma de encarar o problema deve passar da habitual identificação para uma cultura de gestão do risco.
"A mudança mais empolgante é a convergência da segurança com a continuidade do negócio e a recuperação do desastre sob o manto da ciber-resiliência. Estivemos demasiado tempo focados na identificação, prevenção, deteção e resposta aos riscos. Nunca quisemos admitir que não conseguíamos alcançar a proteção a 100%, que a recuperação seria inevitável. A evolução para a resiliência reconhece o pragmatismo do risco que era há muito esperado. Não podemos proteger tudo - nem o devemos querer fazer", argumenta.
Kris Lovejoy acredita que o foco das empresas deve passar, por esta ordem, por três áreas de ação: prevenção; capacidade de resposta e controlos de cibersegurança mais apertados.