Rui Duro, country manager da Check Point Software Portugal, provedora de soluções de cibersegurança para governos e empresas que lidera a nível mundial, traça o retrato dos principais riscos que enfrentam as companhias na transformação digital.
Temos assistido a muitos ciberataques a empresas de todos os tamanhos e setores. Como se pode minimizar este risco?
O risco existente nas empresas tem sempre três pedras basilares que temos de ter em conta, a base humana, a base tecnológica e a base de processos. Muitas vezes e de forma errada focamo-nos somente na tecnologia, a qual das três é a mais simples de colmatar pois esta depende diretamente da correta aplicação de processos e de um correto acompanhamento de desenvolvimento por parte das pessoas. Dito isto, as empresas devem ser trabalhar em torno destes três eixos para minimizar os riscos de ciberataque.
De que forma?
A nível processual, através da criação e implementação de processos e políticas de segurança de dados resiliente que permita uma melhor gestão dos dados e de quem os acede e manuseia, bem como nos processos de criação e desenvolvimento de tecnologia, a qual deverá passar por passos de verificação e teste claros e bem definidos, assegurando assim a sua qualidade e resistência a falhas e potenciais ataques. Ainda a nível tecnológico é importante a manutenção proativa de sistemas e de programas de uso diário por parte dos utilizadores, para que se reduza as superfícies de ataque. Quanto ao eixo pessoas, é importante que este seja trabalhado de forma preventiva na definição de perfis de acesso e utilização de dados e sistemas, bem como de formação contínua sobre cibersegurança, formação esta que deve ser mais do que expositiva, uma formação de teste e despertar da atenção dos utilizadores para as várias formas e formatos de ataques existentes e suas nuances naturais.
Quanto custa a uma empresa sofrer um ciberataque (em valor tangível e intangível, como ao nível da confiança dos clientes)?
Um ataque a uma empresa facilmente consegue ser valorado pelo impacto e dano que provoca na organização a nível operacional, ou seja se estamos a falar de uma empresa que está habituada a operar e ter um volume de atividade diário de 50 mil euros, por exemplo, se multiplicarmos este valor pelos dias em que estiver impossibilitada de trabalhar sem limitações, teremos um ROI de ataque direto. Porém esta é uma valoração simplista e que não transpõe o real impacto de um ataque, pois se num cálculo simplista facilmente achamos um valor base, temos de acrescentar a este valor financeiro direto de afetação à produção, o custo de infraestrutura afetada, que por vezes tem de ser totalmente ou parcialmente substituída, temos de incluir custos e impacto na imagem da empresa no mercado onde opera pela quebra natural de confiança de clientes e parceiros de negócio. Pegando ainda no exemplo que usei, dos 50 mil euros por dia, facilmente conseguimos majorar este valor por múltiplos 3 e de 5.
Com a aceleração da digitalização, que tipo de investimentos e cuidados devem fazer e ter concretamente as PME para se proteger e aos clientes?
Começar por formar as pessoas, depois apostar em soluções de engenharia informática, quer seja infraestrutura quer software, que tenham provas dadas de segurança dos seus ativos, a qual deve ser acompanhada pela criação de uma política musculada de segurança de informação em toda a organização. A estes investimentos estruturais deverão ser acompanhados pela adoção de uma solução integrada de cibersegurança que permita uma visão clara e contínua de todo o cenário da estrutura da organização, com monitorização de todos os dispositivos, sistemas e pessoas, para que estejam mais protegidos.
Portugal está melhor ou pior preparado relativamente ao panorama europeu – e em que medida pode isso ser uma (des)vantagem para fazer negócios?
Não, Portugal não está mais preparado. Na Check Point Software temos ao longo dos anos feito um acompanhamento da adoção de cibersegurança nas empresas nacionais e alinhamos essa mesma atividade com a evolução do cibercrime e da cibersegurança. Os últimos dois anos permitiram um salto quântico a muitas empresas, através da adoção rápida de soluções cloud que por si só já trazem diversas camadas de segurança, porém não é suficiente.
Nós dizemos que o universo da cibersegurança encontra-se na Geração VI, a qual integra e impacta toda a tecnologia, inclusivamente a de Inteligência Artificial e da Internet of Things. Ainda uma grande parte das empresas nacionais está numa Geração IV, onde se protege as organizações com Firewalls, sistemas isolados de cibersegurança a soluções específicas da organização e sem comunicação entre si. É importante que as empresas passem rapidamente para esta Geração VI, onde poderão ver as suas estruturas serem protegidas de um modo holístico 360º, que lhes leve a proteger todos os ambientes, dispositivos e pessoas seja onde for que estejam, a aceder de que tipo de dispositivo for.
Deixe um comentário