A Redshift Consulting está presente no mercado desde 2010 com colaboradores com mais de 25 anos de experiência e atua especialmente em duas vertentes: Data Networking e Information Security. Especializados em cibersegurança avaliam que lacunas existem no Estado e nas organizações.

João Manso começa por explicar que a grande “dificuldade atual do mercado está na conquista de investimento. Os líderes das empresas têm algumas dificuldades em entender o benefício da segurança como um investimento e não como um custo. Na cibersegurança temos tido algumas dificuldades neste sentido. Mesmo quando começou a haver mais capacidade de investimento, os empresários continuaram, na sua maioria, a olhar para a segurança como custo. O facto de as entidades, vítimas de ciberataques que acontecem hoje no nosso país com prejuízos significativos infligidos, não partilharem as suas experiências, contribui de forma significativa para esta ausência de sensibilidade para o problema”.

A segurança informática é facilmente entendida como um gasto uma vez que não produz capital. Algumas organizações começam a mudar esta filosofia, segundo o nosso interlocutor, e a definir estrategicamente na empresa a questão da necessidade de protecção como fator crítico de sucesso.

Desafios Redshift

“A cibersegurança exige hoje que se tenha uma visão holística do problema da Segurança de Informação requerendo uma equipa especializada multidisciplinar para suportar a implementação de projetos nos nossos clientes. A gestão das equipas técnicas, numa área de oferta em que escasseiam recursos especializados, é atualmente um grande desafio para qualquer empresa nacional ou internacional.

A contínua avaliação da indústria e a seleção dos melhores parceiros tecnológicos é também um desafio numa área que tem neste momento uma grande dinâmica de inovação e exigência.

Em Portugal a maturidade em cibersegurança é globalmente reduzida, não só em IT, mas principalmente em OT (Operational Technology), o que nos transporta para a necessidade de investimentos em áreas de intervenção que aumentem a visibilidade e proteção sobre a superfície de ataque alargada, como a gestão de vulnerabilidades, a gestão de identidades para a autenticação de todo o tipo de utilizadores em todo o tipo de dispositivos, aplicações e sistemas operativos, gestão de configurações e patching, a deteção de ataques avançados através da correlação de eventos e utilizando Machine Learning que permita identificar comportamentos anormais dos diversos componentes dos sistemas de informação e dos utilizadores.”

A transformação digital veio trazer alguma confusão e João Manso explica que “se tem dado elevada prioridade à transformação digital mas a segurança fica muitas vezes esquecida. Só a encaramos depois de outras questões, como por exemplo o tratamento de dados pessoais. A transformação digital tem que andar a par da segurança, nunca antes, nunca sozinha”, alerta.

Boas práticas existem

Em Portugal existe uma boa legislação em termos de proteção de informação. Mas porquê é que não há mais preocupação em torno da proteção?

“Existem normas internacionais, que apesar de não estarem ainda previstas na nossa legislação, começam agora a ser vistas como uma referência em termos de cibersegurança. Portugal preocupou-se muito com a proteção de dados e só depois se apercebeu que tinha que trabalhar melhor a segurança.

Estamos muito atrasados nestas questões, falta-nos maturidade, talvez devido à crise e à falta de recursos humanos. Pensarmos que não somos um alvo é perigoso. No dia em que alguém quiser fazer de Portugal um exemplo vamos ter problemas sérios”.

O ideal passa sobretudo pela educação para a cibersegurança, que na opinião do nosso entrevistado “tem de começar a ser ensinada às mais recentes gerações. Temos de aprender a usar a tecnologia de forma responsável. Os menos jovens são desmotivados perante a tecnologia e alguns são mesmo iletrados a nível informático e não entendem a dimensão dos perigos”.

Ciberataques acontecem e são difíceis de prevenir

Normalmente os ataques são dirigidos à direção de uma empresa. E são mais frequentes do que se pensa. Para evitá-los ainda falta formação a par da informação.

Uma das atividades que mais contribui para a cibersegurança é o treino. Treino do pessoal, das equipas e entre equipas. Neste âmbito ainda falta muito em Portugal, é preciso mais investimento na criação da capacidade de treino e em exercícios mais regulares e mais abrangentes.

Os responsáveis por segurança informática dizem, há anos, que uma pessoa que trabalhe numa organização não pode considerar que o computador em que trabalha é seu, há que ter cuidado com a instalação de software, e com a utilização feita em ambiente familiar, por exemplo. É necessário o envolvimento de todas as pessoas da empresa para garantir a segurança dos dados, esse é um trabalho longo e que requer formação. As pessoas são o elo mais fraco de qualquer sistema de segurança.

“Vemos muitas empresas que já começam a estar atentas a estas questões, mas ainda somos imaturos”, refere João Manso.

“Não estamos preparados nem enquanto empresas nem enquanto país, para lidar com as consequências de um ciberataque de grande dimensão”

Em Portugal, existem três grandes áreas no Centro Nacional de Cibersegurança (CNCS). A primeira missão tem a ver com a preparação das organizações, do Estado, das empresas, para o tema da cibersegurança. O CNC tem ainda o Centro de Resposta a Incidentes de Segurança (cert.pt), com ligação privilegiada aos membros da União Europeia, Israel, Brasil e outros países

Porém o grave problema é a falta de fundos, nas organizações e, principalmente, no Estado, de modo a que haja forma de fazer funcionar o sistema neste sentido.

Quando há um ataque e não há partilha as consequências triplicam. “Uma parte muito importante da cibersegurança é a partilha. Mais tarde ou mais cedo surgirão regulamentos que nos obriguem a fazê-lo. Por partilha entende-se avisar que fomos vítimas de um ataque. É o princípio mais importante, já que quanto mais ajuda tiver, mais depressa resolvo o meu problema. No entanto, ainda há uma certa vergonha associada ao facto de se ser atacado”.

Neste momento, as empresas e o Estado não estão preparados para as consequências de um ataque e em muito se deve à falta de dois recursos: humano e financeiro.

O Phishing em Portugal

De acordo com o relatório de spam e phishing realizado pela Kaspersky Lab em 2017, Portugal encontra-se em 8º lugar no top dos países que mais phishing recebem estando apenas acompanhado por outros dois países Europeus, a Albânia (6º) e a Rússia (10º). As organizações mais vulneráveis a ataques phishing e spam são as da área da banca, sistemas de pagamento e lojas online, encontrando-se Portugal com um nível médio de risco, sendo este valor idêntico aos restantes valores europeus.