A CA4BC está no mercado desde 2013, é especializada em serviços de consultoria na área de segurança de informação, proteção de dados e continuidade de negócio e conta com consultores com uma vasta experiência.  Estivemos à conversa com Cecília Soares, CEO e Paulo Gonçalves, Sócio, que explicaram o trabalho que têm desenvolvido junto de PME’s e alguns organismos ou empresas de grande dimensão.

Na sequência da segurança de informação vem todo um conjunto de temas relacionados com a cibersegurança e com a proteção de dados.

Cibersegurança prevê que as empresas se preparem para ataques desta natureza. A confidencialidade é uma das características dos dados (um determinado dado pode ou não ser confidencial). Os dados pessoais são, pela sua natureza, confidenciais.

“Uma empresa nunca pode garantir que os ataques não aconteçam. O que têm de fazer é estar preparadas para que se acontecer estejam protegidas o mais possível para defender os seus ativos (pessoas, instalações, dados)”, comenta Cecília Soares, que acrescenta que “algumas estão bem preparadas como por exemplo os bancos. Aquelas que não têm obrigatoriedade legal ou regulação existe um pouco de tudo”.

Por isso o RGPD é visto como uma excelente oportunidade para as empresas que nunca se preocuparam com estas questões e para muitos empresários que se pautaram pela dificuldade em aceitar a mudança.

Paulo Gonçalves explica que “a análise do risco não é feita. Alguns empresários desvalorizam esta questão. Temos trabalhado bastante fora dos grandes centros e no interior do país onde existem muitas empresas dedicadas à produção e cujo objetivo é não parar a produção. Existem empresas que começaram os processos de certificação por exigências externas (clientes ou exportação) e que depois chegaram à conclusão de que toda a reestruturação lhes trouxe muitas vantagens e acordaram, assim, para alguns riscos que corriam sem todo aquele processo”.

Os custos são um obstáculo para o investimento em segurança

O não ter dinheiro para investir, aliado à descrença de que lhes pode acontecer, são as maiores razões que levam as empresas a negligenciarem a segurança. “Isto passa muito por mudar a cultura da empresa, por mais medidas técnicas que se implementem e que custam bastante ao nível do investimento financeiro. Na maioria das vezes, formar os funcionários é uma mudança essencial e que faz toda a diferença e que, além disso, acarreta menos custos. Se formos comparar os preços para implementar medidas técnicas com a formação que é necessária dar aos colaboradores, verificamos que não fica assim tão caro”, afirma a CEO da CA4BC.

“Estamos a sofrer uma mudança superinteressante no tecido empresarial português. Fora das grandes cidades, vemos um fenómeno extraordinário a acontecer: aqueles patrões, que criaram a empresa, algumas com cariz familiar, e que, por isso, têm uma ligação emocional muito forte e a nova geração que chega com ideias diferentes. Apesar do choque geracional, chegam a verificar que estas novas gerações, com outras qualificações, trazem ideias realmente inovadoras, e estas estão a receber o devido valor”, elucida Paulo Gonçalves.

Não é possível evitar um ataque mas há que preveni-lo para que as consequências sejam as menos nefastas. As organizações deverão assim estar cientes de que é apenas uma questão de tempo até sofrerem um ataque bem-sucedido. Depois de um ataque, aquilo que é medido e que garantirá a continuação do sucesso da organização é a capacidade de resposta, através da minimização do impacto no seu negócio.

“Há cerca de dez anos quando se falava em certificação de qualidade as pessoas consideravam irrelevante, não era prioritário. Hoje quando dizemos que somos certificados isso já é um carimbo de qualidade e por vezes normal”, refere Paulo Gonçalves.

Para muitos empresários a cibersegurança ainda é uma realidade distante. Outro fator distinto é o nível de digitalização de cada empresa. Quanto menos informatizados, maior o desinteresse. Porém, é pertinente que entendam que a segurança informática é importante porque sem ela todos sofrem consequências.

Cecília Soares alerta que qualquer empresa que sofra um ataque tem como consequência direta o abalo da sua reputação. Este é um peso que não é mensurável. Gera desconfiança em parceiros, clientes ou fornecedores. Por outro lado, e para avaliar o grau de impacto que uma empresa pode ter, é necessário analisar os processos de negócio, quais os mais críticos, que sistemas de informação é que estão associados, e qual a exposição de cada um ao mundo exterior.

Em caso de ataque, o que vem a seguir?

Na sequência de um ataque cibernético, as empresas preparadas deverão seguir os seus planos de resposta ao incidente, coordenado por um plano de gestão de crise da organização e complementado com a execução de planos de recuperação, dependendo dos danos sofridos.

O que fazer para se preparar?

É realizado um estudo que começa por avaliar os processos de negócio dentro de uma organização que são mais críticos – aqueles que sofram algum dano e que possam fazer parar a empresa, parar o negócio. São identificados os sistemas de informação que os suportam e são avaliados de forma a perceber, para cada um, qual o grau de exposição a ataques cibernéticos.

Tudo isto é avaliado, incluindo tempos de paragem, de reparação e quanto custa todo este tempo e outras consequências, como faturação que se perde ou que não se ganha, indeminizações que têm de ser pagas, legislação que não se cumpriu e penalizações – ou seja, tudo isto é traduzido de uma forma financeira.

“Explicar isto a uma empresa que está a crescer é muito complicado e exige delicadeza da nossa parte. A melhor forma é fazer analogias com exemplos do dia-a-dia para que eles absorvam o impacto que as consequências poderão ter”, refere Paulo.

“O interesse maior destas pessoas é continuar a trabalhar e por isso tirar tempo deles para formação ou mudança de procedimentos é difícil. Felizmente depois de lhes explicarmos eles entendem bem a necessidade”, completa Cecília.

Portugal vs Europa

“Portugal, assim como todos os outros países do sul da Europa são muito diferentes dos restantes, sendo que a Alemanha está particularmente à frente”, revela a CEO, que explica que “o sul da Europa é caracteristicamente mais resistente à mudança, mas por outro lado conseguem responder muito bem e de forma improvisada”.

O norte da europa caracteriza-se, portanto, como mais metódico e com estratégias muito bem definidas e estruturadas. “Estudam todos os cenários possíveis e por isso, caso aconteça alguma coisa, seguem os planos que têm preparados e são mais rápidos na resposta”, conclui Cecília.

Pouco ou muito informatizada, grande ou pequena, qualquer empresa pode ser alvo de um ataque. As consequências podem, no seu limite, terminar com o ciclo de vida das organizações e, por isso, vale a pena tentar perceber o que se pode fazer dentro das possibilidades.