Com a imensidão de informação sobre o uso devido das novas tecnologias outras dúvidas surgem no âmbito informático. O que é que as empresas ainda desconhecem sobre segurança da informação?

As empresas ainda associam a segurança de informação como sendo um tema exclusivamente tecnológico. E fazem-no erradamente. O tema da segurança da informação é um tema que deverá ser assumido e mitigado de uma forma transversal por todas as áreas da organização. A escolha da melhor solução tecnológica deixou de ser um problema e, atualmente, os inúmeros fabricantes disponibilizam opções capazes e fiáveis onde a diferença entre elas, muitas vezes, se cinge a aspetos comerciais. Agora o que as empresas devem entender, em definitivo, é que este é um desafio de toda a organização e que deverá ser pensado estrategicamente em três dimensões: pessoas, processos e tecnologias.

Enquanto parceiros de clientes, nesta temática da segurança da informação, quais são as principais falhas que as organizações cometem?

As organizações e a sociedade em geral estão ainda numa fase muito reativa quanto à adoção e uso das novas tecnologias. Existem ainda imensas oportunidades de melhoria dentro das organizações, nomeadamente na redefinição de uma estratégia de sistemas de informação, que deverá contemplar duas vertentes distintas: a segurança da informação e a privacidade dos dados. Não basta orçamentar software e hardware de última geração se não forem desenvolvidas políticas, processos e procedimentos internos que garantam a correta adoção das soluções tecnológicas e o uso adequado dos dados e consequentemente da informação da organização. As organizações devem desenvolver programas de adoção que passem essencialmente pela mudança comportamental.

Qual a importância de envolver os funcionários e de os sensibilizar de forma a mitigar o risco cibernético?

Toda e qualquer organização depende dos seus funcionários. É, pois, por isso de extrema importância envolvê-los a todos, independentemente do seu papel na organização. Este é um tema que deve fazer parte dos planos de formação internos da organização. O risco cibernético existe e continuará a existir de forma exponencial, fruto da transformação digital (aumento da digitalização, IoT…). Naturalmente que, estatisticamente, perante um aumento de um determinado universo a probabilidade de risco no mesmo aumenta, e o risco cibernético não é exceção. Creio que a breve prazo vamos começar a ver as escolas, logo no ensino básico, a sensibilizar as nossas crianças para o tema, pois esta sensibilização está a acontecer a um ritmo demasiadamente lento, comparativamente ao ritmo da evolução tecnológica.

Diria que a proteção da informação é uma prioridade para a maioria das empresas?

Diria mais, a proteção dos dados. Não confundir, as organizações devem proteger a informação pois, em muitos dos casos, essa faz farte do core e da sua essência. Ou seja, são um dos ativos mais importantes. Acima de tudo, as empresas devem conseguir perceber e entender que possuem dados e informação e que, muitas vezes, não protegem ambos ou que, em muitas situações, protegem erradamente um deles. A prioridade deverá passar por perceberem o que querem proteger. Depois, sim, deverá perceber-se como fazê-lo. Nesse aspeto temos tido um papel de extrema importância junto dos nossos parceiros.

Alguns especialistas apontam o fator humano como a principal ameaça. Porquê?

A utilização de soluções, baseadas em Inteligência Artificial, tornam cada vez mais essas soluções fiáveis e viáveis, não só porque os algoritmos são cada vez mais complexos, mas porque são cada vez mais autónomos na decisão. Significa, pois, que a variável que maior possibilidade tem de falhar atualmente na equação da segurança da informação nas organizações são as pessoas. Grande parte das falhas de segurança de informação identificadas têm como origem o fator humano. Aspetos tão simples como o envio de e-mails para destinatários errados, a perda ou extravio de pendrives, contendo informação empresarial e muitas vezes confidencial, ou o hábito ainda muito comum de abandonar o posto de trabalho sem bloquear o computador, são alguns dos inúmeros exemplos que ocorrem diariamente nas organizações e que revelam que existe ainda um trabalho que deverá ser feito a nível de consciencialização, formação e sensibilização junto dos funcionários das organizações.

Poder-se-á considerar a segurança da informação como um acelerador de crescimento? Por que razão?

Creio que começa a surgir uma alteração de mindset, muito associada a uma nova geração de gestores e a algumas alterações que estão a ser promovidas por entidades externas. Neste caso, a União Europeia tem desenvolvido e promovido ações que, na nossa opinião, são de louvar. Através de regulamentos, tais como o RGPD ou o ePrivacy, as entidades são “obrigadas” a tomar algumas medidas que vão promover o aumento da segurança e da privacidade, os quais, não obstante serem conceitos diferentes, andam muitas vezes de mão dada. A história diz-nos que grandes desafios provocam grandes alterações e é essa a nossa visão. Qualquer organização, que entre num processo de implementação de um programa de segurança de informação, vai obrigatoriamente promover a mudança, aumentar os níveis de capacidade e, consequentemente, acelerar o seu crescimento digital enquanto organização. Mas, ainda mais importante, esse crescimento digital vai promover um aumento de maturidade de todas as áreas da organização. Estamos certos que a transformação digital irá funcionar como catalisador para o crescimento da organização.