É PRECISO PERCEBER QUE UMA MELHOR CIBERSEGURANÇA PASSA POR MELHORES COMPETÊNCIAS DIGITAIS”

Tendo como mote o facto de outubro ter sido o mês da cibersegurança, a Revista Pontos de Vista esteve à conversa com Lino Santos, Coordenador do Centro Nacional de Cibersegurança, onde, além de ter relembrado da importância da sensibilização de cidadãos e empresas no que respeita à segurança online, ficamos ainda a saber os grandes desafios de futuro nesta área.

143

Centro Nacional de Cibersegurança atua como coordenador operacional e autoridade nacional especialista em matéria de cibersegurança junto de várias entidades. De que forma é que garantem que o ciberespaço seja utilizado como espaço de liberdade, segurança e justiça, para proteção dos mais variados setores?

Garantir é um termo muito forte. Trabalhamos com um conjunto alargado de parceiros nas componentes fundamentais da cibersegurança como a prevenção, a deteção e a reação a ciberincidentes. Temos vindo a criar e a oferecer aos cidadãos e às organizações um conjunto de instrumentos desde cursos de sensibilização e treino, referenciais normativos ou suporte na resolução de ciberincidentes. Criamos um curso gratuito que promove a adoção de comportamentos seguros online designado “Cidadão Ciberseguro”. Este curso está a ter uma grande taxa de adesão junto de organismos da Administração Pública, mas também de grandes grupos económicos que pretendem apostar na criação de competências digitais dos seus quadros, dessa forma melhorando a segurança das suas organizações.

Desenvolvemos também o Programa de Sensibilização e Treino em Cibersegurança, através do qual se pretende massificar a formação e sensibilização dos cidadãos e dos colaboradores das nossas organizações para os riscos do uso desinformado do ciberespaço, através da realização de ações de sensibilização e formação em Cibersegurança em diferentes locais do país, de norte a sul, passando pelas ilhas, contando, para isso, com o apoio de parceiros. Já temos uma rede com cerca de 70 formadores em todo o país que colaboram connosco neste esforço de sensibilização.

Também temos feito uma grande aposta na criação de instrumentos que orientam as organizações a melhorar as suas capacidades de cibersegurança. Com a publicação do regime jurídico de segurança do ciberespaço em agosto [de 2018], o CNCS é a entidade competente para um conjunto de setores e subsetores de atividades da nossa económica e estamos a produzir, em estreita articulação com os reguladores setoriais, o conjunto dos requisitos de segurança que todos os operadores de serviços essenciais estão obrigados a implementar dentro das suas organizações.

O CNCS atua junto de que entidades? Como é que aplica as suas competências em cada uma?

O CNCS tem um portefólio de produtos e serviços de largo espectro. O âmbito da aplicação do regime jurídico de segurança do Ciberespaço, visa os operadores de serviços essenciais, os prestadores de serviços digitais, a administração pública e os operadores de infraestruturas críticas. Para estes o CNCS atua como Autoridade Nacional de Cibersegurança, responsável pela produção de normativos e pela supervisão da sua aplicação.

No entanto, a esfera de atuação do CNCS não se esgota no objeto do regime jurídico de segurança do Ciberespaço. Uma parte importante do nosso trabalho visa a sensibilização e a capacitação dos nossos cidadãos, pequenas e médias empresas e autarquias. Para estes criamos instrumentos como o Quadro Nacional de Referência para a Cibersegurança, o Roteiro para a criação de capacidades mínimas em Cibersegurança e estamos a ultimar um modelo de autoavaliação online que pode ser usado pelas empresas para aferir o seu nível maturidade em Cibersegurança. Adicionalmente, apostamos na cooperação e na criação de sinergias com a comunidade de Cibersegurança, criando pontes ao nível nacional e internacional, dinamizando fóruns e redes de cooperação em diferentes grupos de interesse, mas também na produção de instrumentos de sensibilização e especialização para os mais variados grupos de interesse, desde o cidadão aos escalões de topo das organizações públicas e privadas.

Por último, destacamos o serviço de coordenação da resposta a ciberincidentes CERT.PT que, semanalmente, presta apoio a dezenas de entidades públicas e privadas na resolução de problemas.

Quais as medidas de cibersegurança que cada entidade deve ter, de forma a perspetivar um seguro funcionamento das entidades?

Antes de mais, importa referir que a cibersegurança é um fator de competitividade e de sobrevivência das entidades/empresas e, por isso, deve ser uma prioridade para os gestores, sendo que a segurança digital das entidades públicas e privadas é uma prioridade. Sem um elevado nível de maturidade em cibersegurança nas nossas organizações, não estão reunidas as condições para um efetivo e sustentável desenvolvimento económico.

O CNCS detém igualmente o papel de apoio às organizações, e para tal, irá ser disponibilizado até ao final do mês um guia para a sua capacitação, designado Roteiro para as capacidades mínimas em Cibersegurança. Este instrumento, apresentado na abertura do Mês Europeu de Cibersegurança, no passado dia 1 de outubro, fornece um caminho e estabelece as prioridades de ação que devem ser tomadas para atingir o que definimos como um patamar mínimo de cibersegurança para as nossas empresas. Não se trata tanto de uma lógica das boas práticas, mas sim de uma lógica de competências, ou seja, que as empresas devem ser capazes de realizar uma determinada função da cibersegurança, como por exemplo identificar as ameaças e de reagir a elas.

De destacar também a criação do Quadro Nacional de Referência para Cibersegurança, que foi apresentado na nossa conferência anual C-DAYS, e que tem como objetivo ajudar a proteger melhor as empresas e organismos públicos dos ataques informáticos. Este quadro, de adesão voluntária pelas organizações, inclui um conjunto de controlos e medidas técnicas que têm que ser asseguradas pelas entidades para atingir um patamar de cibersegurança para fazer face às ameaças conhecidas.

Outubro é o mês da cibersegurança. Este ano a 7ª edição das celebrações da cibersegurança na europa, vão abordar as temáticas “Ciber-Higiene e Tecnologias Emergentes”, até ao final do mês. De que forma é que estas comemorações, visam implementar as boas práticas para a utilização do ciberespaço?

O Mês Europeu de Cibersegurança é uma iniciativa anual que decorre por toda a Europa e promove a cibersegurança, e todas as suas vertentes. A 7ª edição, organizada em parceria com a Agência Europeia para a Segurança das Redes e Sistemas de Informação (ENISA) e a Comissão Europeia, conta com a participação de diversos parceiros, tais como, autoridades locais, governos, universidades, ONG’s, associações profissionais, entre outras, por toda a Europa.

Neste sentido, esta iniciativa tem como objetivo sensibilizar não só os cidadãos e as empresas para os comportamentos que devem ter no que respeita à segurança online, prevenindo eventuais ameaças decorrentes da utilização do ciberespaço – os chamados dos comportamentos de Ciber-Higiene, como também, uma abordagem sobre as Tecnologias Emergentes. Estamos a falar de novas tecnologias que trazem consigo novos desafios de segurança, como por exemplo, a inteligência artificial, tecnologias quânticas ou as novas redes 5G, entre outros.

Desta forma, decorrerão centenas de eventos e atividades distribuídas em 28 países europeus ao longo do próximo mês, desde Conferências, a Workshops ou Campanhas Online, sendo estes alguns dos formatos escolhidos para fomentar o mês da cibersegurança pelo país. No âmbito desta comemoração, o CNCS promoveu várias atividades.

O objetivo destas comemorações é sensibilizar os cidadãos e as empresas para os comportamentos que devem ter no que respeita à segurança online. De que forma é que estes se podem prevenir de ameaças decorrentes da utilização do ciberespaço?

É preciso perceber que uma melhor Cibersegurança passa, necessariamente, por melhores competências digitais, por um elevado sentido de alerta dos nossos cidadãos, de conhecimento dos riscos e das suas consequências por parte de cidadãos e decisores e, em consequência, pela adoção de comportamentos online seguros.

A sensibilização e a capacitação da nossa sociedade deve ser, desta forma, uma ação contínua. Iniciativas como este Mês Europeu da Cibersegurança servem para transmitir boas práticas simples como cuidados a ter com o manuseamento de passwords, na utilização de redes abertas wi-fi; com dispositivos amovíveis; alertar para a necessidade de fazer backups sistemáticos; cuidados com a atualização de software no computador e telemóvel, entre outras. Mas o melhor será ir ao nosso site e fazer o nosso curso online “Cidadão Cibersegurança”.

Uma das vossas missões é consciencializar as entidades públicas, as empresas e a sociedade civil para os “desafios da segurança do ciberespaço”. De que forma o CNCS atua diretamente para o enriquecimento da cultura da cibersegurança dos cidadãos?

Para o enriquecimento da cultura da cibersegurança dos cidadãos, o CNCS aposta na promoção de cursos, como é o caso do Curso Geral de Cibersegurança, mas também, ações de sensibilização focalizadas, como é o caso dos Cibertemas, que são sessões temáticas com a duração de cerca de duas horas e com a regularidade aproximada de uma vez todos os dois meses. Neste contexto, destacamos igualmente a organização da conferência anual de cibersegurança – C-DAYS, que este ano se realizou no Porto subordinada ao tema Cibersegurança para PMEs, e que contou com cerca de 50 oradores e mais de 800 participantes.

Que verdadeiro desafio acarreta o CNCS num mercado cada vez mais exigente e globalizado? Neste momento, o que considera que devem ser as prioridades principalmente no que concerne à cibersegurança no mercado em Portugal?

O desafio último é conseguir ter uma sociedade e uma economia perfeitamente adaptados aos riscos colocados pelo desenvolvimento tecnológico em geral e pela transformação digital em particular. Neste sentido, a aposta na criação de competências digitais e em particular em competências de cibersegurança são essenciais para este desiderato. Por outro lado, é importante que os gestores das nossas empresas introduzam o tema da cibersegurança nos seus processos de inovação e transformação digital. Isto significa não olhar apenas para os benefícios que esta transformação digital inequivocamente trás, mas contabilizar igualmente os custos decorrentes da mitigação ou terceirização dos novos riscos a que a empresa fica sujeita. No fundo, não esquecer que a transformação digital requer investimento também em cibersegurança: pessoas, processos e tecnologia.

Neste sentido, de referir que o CNCS é também responsável pela coordenação da elaboração do Plano de Ação da Estratégia Nacional de Segurança do Ciberespaço 2019-2023.