Há cinco anos, a cibersegurança não era encarada como um investimento, uma vez que não apresentava retorno financeiro direto. Contudo, passou a ser vista como um pilar essencial para a continuidade dos negócios, sendo, em muitos casos, a diferença entre a sobrevivência ou o encerramento de uma organização. Hoje, a cibersegurança é uma responsabilidade partilhada por todos, desde os colaboradores na linha de produção até à gestão de topo. É crucial que todos saibam identificar ameaças que possam comprometer a segurança da organização.
A frase cliché “não é uma questão de se vamos ser atacados, mas sim de quando” reflete uma realidade incontornável. Paralelamente, vivemos numa era em que a inteligência artificial (IA) evolui a uma velocidade vertiginosa, enquanto a cibersegurança nem sempre consegue acompanhar esse ritmo.
Como explicar que uma firewall de um milhão de euros ou uma de dez mil euros não garantem segurança absoluta? A resposta é simples: A cibersegurança começa nas pessoas, que continuam a ser o elo mais fraco. Investir na formação e sensibilização de todos os utilizadores é, por isso, uma prioridade. Não basta possuir as melhores ferramentas de cibersegurança; é imprescindível ter pessoas conscientes dos riscos e preparadas para os enfrentar. Nos dias de hoje, abordar a cibersegurança com a gestão de topo deixou de ser um desafio, pois já não é vista como um custo, mas como um investimento estratégico. No entanto, enfrentamos uma tensão constante entre a complexidade das ameaças, a urgência de resposta e a escassez de talento qualificado. Mesmo quando dispomos de profissionais técnicos, é difícil retê-los face à concorrência de países como Alemanha, Suíça, Reino Unido ou Estados Unidos.
Este contexto apresenta-nos desafios significativos, sendo o principal a dissonância entre a ilusão de segurança e a realidade das ameaças. Estas últimas não respeitam regulações como a NIS 2 ou o DORA, e podem surgir de qualquer lugar. Da Argentina a Austrália ou mesmo de dentro da própria organização. Para construirmos um ciberespaço mais seguro, é essencial compreender que investir em cibersegurança não pode limitar-se ao cumprimento de requisitos regulatórios ou às exigências de clientes. Outro desafio crítico é a mudança de mentalidade em relação à segurança na cadeia de fornecedores. De pouco adianta uma organização cumprir todas as normas se um fornecedor introduzir vulnerabilidades que comprometam a sua segurança.
Em Portugal, a cultura de cibersegurança ainda é marcada por uma postura reativa de “correr atrás do prejuízo” e por um foco excessivo no cumprimento legal, ignorando os benefícios que uma abordagem proativa que traz à confiança de consumidores, utilizadores, clientes e parceiros. Cumprir a lei não é sinónimo de proteção absoluta. Devemos estar preparados para o pior cenário, com políticas bem definidas que permitam agir rapidamente, mitigar danos e minimizar prejuízos, especialmente os de reputação, cujo impacto é incalculável.
Atualmente, a gestão de respostas a incidentes é um tema recorrente em auditorias e no dia a dia das organizações. No entanto, ter um plano testado, com equipas treinadas para atuar sob pressão, é outro nível de preparação. Um plano guardado numa pasta, seja em PowerPoint ou Excel, é insuficiente. São necessários simulacros realistas que desafiem as equipas a evoluir e a tomar decisões em situações de stress. Num ataque real, a hesitação custa tempo, e neste contexto, tempo significa perda de dados, custos de recuperação, prejuízos financeiros e danos reputacionais.
Para construirmos um ciberespaço mais seguro, precisamos de uma cultura de cibersegurança viva, que envolva todos, do estagiário ao CEO.
O mundo está num ponto de viragem e se não anteciparmos as crises, estaremos condenados a reagir sempre às mesmas. Investir em cibersegurança é investir na sustentabilidade dos negócios e na confiança de todos os que dependem dela.
Hamilton Júnior by HFA