O papel do CNCS na mitigação dos riscos cibernéticos

Por: Isabel Baptista, consultora coordenadora do departamento de desenvolvimento e inovação do Centro Nacional de Cibersegurança

Promover a digitalização das empresas esquecendo a cibersegurança é equivocar as pessoas e as organizações. O potencial que o digital oferece às empresas é uma precipitação descontrolada numa arena de ameaças caso os cuidados de cibersegurança não acompanhem essa dinâmica.

Neste sentido, o Centro Nacional de Cibersegurança (CNCS) considera que uma organização que pretenda melhorar a sua cibersegurança deve pensar em três linhas de ação:

1. Apostar na sensibilização e formação dos seus colaboradores;

2. Centrar a cibersegurança fora do IT (informática) numa lógica de risco de negócio;

3. Adotar um referencial normativo (ex: Quadro Nacional de Referência em Cibersegurança) e conduzir análises de risco periódicas.

O CNCS tem assumido como um dos seus papéis principais o de disponibilizar referenciais e instrumentos no sentido de ajudar as organizações a incorporarem uma digitalização verdadeiramente sustentável do ponto de vista da segurança

Recorda-se, ainda, que o CNCS atua a vários níveis com o objetivo de tornar as organizações e as  pessoas mais resilientes em termos de cibersegurança.

Para atingir este objetivo, o CNCS disponibiliza um conjunto de referenciais e instrumentos que procuram ajudar as entidades a melhorar o seu nível de maturidade em cibersegurança.

O principal referencial é o Quadro Nacional de Referência para a Cibersegurança (QNRCS). Este quadro nacional de   referência   é   acompanhado pelo Quadro de Avaliação de Capacidades de Cibersegurança (QACC). Para que seja possível ter uma avaliação objetiva do estado de conformidade da organização com os requisitos exigidos, o CNCS também disponibiliza o CiberCheckUp, uma ferramenta online que articula os vários aspetos tanto do QNRCS, como do QACC através de perguntas que ajudam as organizações a aferir os seus níveis de maturidade.

Com base nas orientações do QNRCS, o Centro Nacional de Cibersegurança apresenta vários instrumentos de capacitação que procuram ajudar a conduzir as organizações – de forma pedagógica e acessível – para que as organizações se alinhem com os requisitos do Quadro Nacional de Referência de Cibersegurança e com as melhores práticas de ciber-higiene, nomeadamente:

• O Roteiro para as Capacidade Mínimas de Cibersegurança apresenta um modelo de capacitação em cibersegurança, dividido em cinco fases, que procura ajudar as organizações com recursos limitados a adquirirem – passo a passo – as capacidades mínimas em cibersegurança;
• A plataforma Webcheck – resultado de uma parceria entre o CNCS e a Associação DNS.PT – permite que qualquer pessoa verifique o nível de conformidade de um domínio de internet e de correio eletrónico com os standards para a comunicação segura entre sistemas, de modo a identificar as medidas de correção necessárias;
• Um conjunto de boas práticas com conselhos simples e acessíveis a todos no sentido de adquirir os conhecimentos básicos para uma boa ciber-higiene. O CNCS coordena, ainda, o Centro Internet Segura, que tem como missão a de promover uma utilização responsável, consciente e saudável da Internet;
• E, por fim, recomendações técnicas sobre vários temas que permitem que os profissionais da área apliquem nas organizações alguns dos requisitos de segurança mais importantes para o funcionamento seguro dos sistemas.

Além destes referenciais e instrumentos de capacitação, o Centro Nacional  de Cibersegurança disponibiliza várias iniciativas de formação e sensibilização de forma gratuita, que podem ser realizadas pelos colaboradores das organizações, como os cursos de e-learning. No momento de publicação deste artigo, estão disponíveis os cursos “Cidadão Ciberseguro”, “Cidadão Ciberinformado”, “Consumidor Ciberseguro” e “Cidadão Cibersocial”.

Estas ferramentas ajudam as organizações a estarem mais preparadas   para enfrentar os desafios da cibersegurança e da sua defesa. Não sendo soluções em si mesmas, ajudam as empresas a definir um caminho para que o risco do impacto de um ciberataque seja minimizado.

Mencionar também a criação de uma rede de sete centros de competência em cibersegurança, visando o desenvolvimento de soluções inovadoras em cibersegurança  para PME e estruturas públicas locais e regionais, que contarão com especialistas com competências diversas para apoiar as  entidades locais; e com equipamentos e infraestruturas dedicadas de apoio.

Estes centros visam apoiar a transformação digital sob o ponto de vista de cibersegurança aos agentes locais (desde a capacitação até à operação) e não se substituem à indústria.

O CNS irá, ainda, reforçar a capacitação de cerca de 10 mil novos especialistas em cibersegurança com a implementação de um Programa de Formação Avançada em Cibersegurança – designado de C-Academy – em estreita colaboração com universidades e institutos politécnicos.

Por fim, importa as organizações portuguesas olharem para a sua cibersegurança com atenção, protegendo-se, tanto quanto possível, para minimizarem o risco de sofrerem um ciberataque. Esta proteção necessita não só de um investimento em tecnologia e processos, mas também de sensibilização junto dos colaboradores que compõem a empresa.