Por: Vítor Santos, Datacenter Iberia Director & AS Director, TD SYNNEX Portugal
Antes de falar da nova regulamentação em cibersegurança NIS2, que entra em vigor já no mês outubro, centremo-nos naquilo que define cibersegurança: um conjunto de ações técnicas, cujo principal objetivo é proteger os sistemas, programas, redes e infraestruturas de invasões dentro das organizações, indo muito além da segurança do passado dos softwares antivírus que existiam. Diria que é quase um escudo para proteger toda a infraestrutura técnica de determinada entidade, com testes contínuos onde se propõe fazer a proteção, supervisão, controlo e deteção de invasores. Sendo de acrescentar que começa, cada vez mais, a evoluir para um ponto que não é só tecnológico, mas também social, já que pressupõe uma parte humana. Na verdade, grande parte dos lapsos que originam invasões resultam de falhas das pessoas, daí a importância primordial da educação e formação sobre o tema.
Como a realidade da cibersegurança tem crescido e evoluído em diferentes frentes, têm sido feitas várias alterações, por parte da União Europeia, em termos de normativas. Se em 2016 surgiu a NIS1 com o objetivo de desenvolver as capacidades de cibersegurança e resiliência na UE, exigindo pela primeira vez medidas legislativas capazes de atenuar as ameaças aos sistemas de rede e informação para prestar serviços essenciais em setores-chave, recentemente foi publicada a NIS2, que permite um novo alcance ao nível da cibersegurança e amplia o seu espetro de atuação.
Nos últimos anos, o crime cibernético tem continuado a crescer, os ataques registados são cada vez mais sofisticados e imprevisíveis, daí a necessidade desta nova diretiva que não só expande a área de actuação para incluir mais setores, como exige requisitos de segurança mais rigorosos e impõe coimas mais severas, em caso de não conformidade.
Não entrando em demasiadas particularidades, a NIS2 aplica-se principalmente a operadores de serviços essenciais e prestadores de serviços digitais e classifica basicamente as entidades por tipologias e tamanho. Setores como energia, banca, saúde, transportes são consideradas entidades essenciais, logo torna-se obrigatória a implementação da normativa.
As entidades a adaptar as novas medidas, devem priorizar vários pontos, como a gestão de risco, a responsabilidade corporativa, a obrigatoriedade de reporte de incidentes, ter medidas de cibersegurança adaptadas e proporcionais aos riscos, supervisão de forma regular, e tudo isto tendo em conta e de forma a assegurar a continuidade do negócio.
Esta normativa vai incidir essencialmente na análise de risco, onde as empresas terão de fazer um trabalho de avaliação do risco interno dos seus sistemas, elaboração de planos de resposta aos incidentes, para garantir que, independentemente do ataque que sofram, a sua atividade não pára.
As empresas terão assim de adaptar os requisitos desta normativa técnica ao seu ecossistema, impondo uma compreensão de cada particularidade do seu negócio/ambiente.
Tal como já referido, o primeiro passo deverá ser a análise de risco e acredito que seja esta a fase onde muitas empresas já estão. Penso que, na sua generalidade, as empresas estão preparadas para esta normativa, no entanto ao olhar para o espetro público (entidades locais, regionais, de saúde, etc.) constatamos maiores dificuldades. A maior lacuna existente é ao nível da educação. Falta informação e maturidade digital, o que acaba por dificultar todo o processo.
Nesta linha de raciocínio, chamou-me a atenção uma iniciativa levada a cabo pela Polícia Judiciária (PJ) que consiste no lançamento de um jogo online educativo ‘Rayuela’, desenvolvido para ensinar conceitos fundamentais de cibersegurança, de forma lúdica e acessível, dirigido a crianças e jovens do 5º ao 9º ano de escolaridade. Ora, este tipo de ações parecem-me de enorme utilidade, já que tendem a dar suporte à escassez de conhecimento de âmbito digital. Iniciativas deste género são bem-vindas e desejáveis abrangendo todas as faixas etárias, já que a permanência e utilização do digital é transversal a todas as pessoas.
O erro humano é a maior vulnerabilidade cibernética das empresas e a verdade é que qualquer pessoa pode pôr em risco a integridade dos dados da empresa.
Como tal, há que apostar na sensibilização de boas práticas da segurança informática dos colaboradores e ter em conta a importância do papel dos parceiros digitais que podem efetivamente ajudar neste caminho de forma a garantir que estarão preparados para estas mudanças.