Inicio Tags Cibersegurança

Tag: Cibersegurança

“A informação é um dos bens mais preciosos que qualquer organização tem”

O Mês Europeu da Cibersegurança é comemorado durante o mês de outubro, pelo sexto ano consecutivo, com diversos eventos e atividades. A Redshift – Consulting irá promover, de alguma forma, o mês dedicado à cibersegurança?

Do ponto de vista empresarial temos participado em iniciativas com sessões de esclarecimento ou de motivação para questões relacionadas com a cibersegurança.

Temos algumas atividades em curso com algumas empresas que irão promover ações de motivação junto dos seus colaboradores e com a nossa colaboração junto de associações, com apresentações direcionadas a grupos de empresas de sectores como agroalimentar e industrial por exemplo. As questões relacionadas com a cibersegurança são transversais a todos os setores.

Hoje, mais do que nunca, empresas como a Redshift – Consulting, assumem um papel preponderante junto das empresas e do cidadão comum?

Trabalhamos para empresas e entidades e não tanto para o cidadão comum, muito embora contribuamos para o crescimento da empresa e, consequentemente, dos seus colaboradores, em questões relacionadas com a cibersegurança. Trabalhamos para que o tecido empresarial e o Estado tenham uma maior maturidade neste âmbito.

Alguns exemplos são ações de sensibilização que temos feito com especial enfoque na problemática do Phishing e do Roubo de Identidades.

“A cibersegurança é uma matéria de todos”, pelo que o objetivo é aumentar o conhecimento e a utilização de boas práticas de todos. Nós, utilizadores e colaboradores de organizações, sabemos “estar” no mundo da Internet?

A segurança de uma nação depende de todos. Todos contribuímos, quer como cidadãos, quer como empresários ou colaboradores, para a cibersegurança. Sendo o tecido empresarial o ponto de contacto da Redshift, contactamos com o cidadão comum quando prestamos sessões de esclarecimento ou a promoção da cibersegurança nas empresas, cultivando, o sentido de responsabilidade junto de todos.

É frequente constatarmos a resistência à adoção das políticas de segurança da empresa por parte dos colaboradores e as sessões de esclarecimento ilustradas com exemplos práticos são extremamente impactantes por evidenciarem a sofisticação e os recursos utilizados pelo cibercrime que em ações de engenharia social podem até utilizar os seus familiares.

No entanto, para o cidadão comum, essa responsabilidade cabe ainda muito mais ao Estado, quer seja o Ministério da Educação nas escolas, quer seja entidades como o Centro Nacional de Cibersegurança que promove atividades importantes para chegar à sociedade em geral.

Quais são os maiores perigos que podem surgir para as empresas quando a proteção de dados, em termos informáticos, é negligenciada?

Tudo isto é uma questão geracional. As pessoas que estão mais desprotegidas ou desligadas das questões relacionadas com a cibersegurança são as que estão incluídas na faixa etária dos 30-55, que, embora sejam cultas do ponto de vista de sistemas de informação, estão pouco motivadas para a questões referentes a proteção de dados. As gerações mais novas começam a ter mais sentido de responsabilização e preocupação em não se exporem demasiado na Internet. Mais uma vez, terá de ser o Estado a ter um papel mais próximo destas gerações, promovendo a sensibilização para estas questões e uma maior divulgação de informação. Negligenciar a proteção de dados pode ter para as empresas como consequência, para além das pesadas coimas, o dano na sua reputação e, com cada vez maior frequência, perdas financeiras, de facto, de elevado valor.

O processo de transformação digital em curso está a ser impulsionado por novas ofertas digitais. Na sua opinião, que desafios ainda estão por advir?

A transformação digital é ela própria um problema se não for bem liderada dentro das organizações, colocando desafios à organização se a mesma não estiver devidamente preparada. A transformação digital pode acarretar graves problemas, quer na proteção de dados, quer na segurança, implicando, por isso mesmo, uma estrutura rigorosa dentro da empresa relativamente ao acesso aos sistemas. Uma empresa deve conseguir saber, com precisão, quem acede aos sistemas e porquê. Esta é uma informação essencial para fazer cumprir os regulamentos da proteção de dados e para proteger a própria empresa. Qualquer um de nós, enquanto colaboradores de uma empresa, deve ter em atenção, não só a proteção dos interesses da organização, como também a proteção dos interesses dos clientes que tem os seus dados armazenados na empresa. Este é apenas um dos diversos desafios que a transformação digital acarreta, pois esta formação ou consciencialização para a proteção de dados não existe. As organizações têm, portanto, de fazer um forte investimento em tecnologias que permitam controlar a forma como a informação, que é um dos bens mais preciosos que qualquer organização tem, é produzida, manuseada e utilizada. O ponto fulcral é, sem dúvida, a formação do capital humano.

Nos últimos quatro anos, devido a grandes acontecimentos relacionados com a segurança e a perda de informação por parte de entidades impactantes no seio da sociedade, as empresas têm procurado a Redshift em forma de prevenção para melhorar os seus sistemas. Situações como a exposição do Facebook ou as eleições americanas trouxeram alguma consciencialização para problemas que já existiam, mas que não tinham a devida atenção dentro das empresas. A frase mais ouvida “isto acontece só aos outros” tem vindo a desmoronar, devido em muito pela atividade das empresas de cibersegurança no mercado, mas também pelo aumento da preocupação por parte do Estado em relação a esta matéria. No entanto, como costumo referir, em Portugal ainda estamos no início, falta fazer muito em questões de cibersegurança. Não temos um nível de maturidade razoável, quer no ponto de vista de cibersegurança, quer no ponto de vista de proteção de dados.

Portugal tem vindo a crescer nesta matéria. Vemos novas empresas de cibersegurança a surgir todos os dias, novas possibilidades e novas tecnologias que, aliadas ao esforço do Estado, têm melhorado em muito a ideia do que é a cibersegurança e a importância da proteção de dados dentro das organizações.

A Redshift tem vindo a trabalhar para melhorar o contexto de maturidade de segurança dentro de organizações do setor público e privado, para responder a dois vetores, fundamentalmente: o receio de que a entidade possa ser atacada ou porque já sofreu um ataque de cibersegurança. Infelizmente não raramente, quando entramos para ajudar e para implementar sistemas de proteção, acabamos por detetar ataques em curso ou passados, mais ou menos complexos, para os quais as entidades ainda não estão preparadas para perceber o impacto. Muitas não sabem que já estão a ser alvos de ataques. Só se apercebem do ataque quando este tem impacto, como a perda de informação ou da sua reputação.

Dognædis contribui para que a Prosegur seja o único player mundial com capacidades de segurança 360’

Como pode ser contada a evolução da Dognaedis desde a sua génese até aos dias de hoje?

Na génese da Dognædis esteve aquela que foi a primeira equipa portuguesa, fora do mundo académico, de resposta a incidentes de cibersegurança (CSIRT), o CERT-IPN. A criação do CERT-IPN em 2005, teve como objetivo a capacitação em segurança de informação/cibersegurança do ecossistema do IPN. O Instituto Pedro Nunes (IPN) é a incubadora de negócios de base tecnológica mais antiga do país, com uma taxa de sobrevivência das incubadas superior a 85%, e que já foi reconhecido por várias vezes como a melhor incubadora de base tecnológica do mundo.

Os cinco anos de atividade do CERT-IPN permitiram aos seus criadores não só  o início e desenvolvimento de um conjunto de tecnologias e conhecimentos específicos, como também a criação de uma carteira de clientes que garantiu  à Dognædis faturação desde a sua fundação, em Junho de 2010.

Apesar de se posicionar sempre como uma empresa prestadora de serviços profissionais especializados em segurança de informação, a Dognædis acabou por em 2013 criar uma spin-off com uma das suas tecnologias, o CodeV, garantido desta forma uma estrutura paralela focada em produto e não só em serviços.

Em 2016, assente na crença de um match perfeito com a estratégia que o grupo Prosegur tinha para a Cibersegurança, a Dognædis juntou-se ao grupo por forma abraçar novas escalas e novos desafios.

Que marcos no percurso da empresa podem ser destacados?

Os principais marcos no percurso da Dognædis prendem-se com um dos principais pilares da sua estratégia: internacionalização desde o dia zero.

Derivada desta visão, a Dognædis começou desde muito cedo a desenvolver atividade internacional, sendo que em 2016 antes de ingressar no grupo Prosegur contava já com um âmbito de negócio em 13 países.

Paralelamente, e mais uma vez relacionado com um dos pilares estratégicos – desenvolvimento de tecnologias inovadoras – a Dognædis foi congratulada com várias distinções e prémios. De entre esses, podem ser destacados o prémio do Arrisca-C para melhor ideia de negócio (2010), o de melhor Startup do Ano (2011), o BES Inovação (2011), referências em Magic Quadrants da Gartner (2013 e 2015), UTEN Portugal (2015), UKTI International Expansion Award (2017).

Em 2016 tornaram-se parte integrante da Prosegur de modo a complementar a cibersegurança da empresa. Como tem sido esta sinergia?

Contínua, crescente e frutífera. O Grupo Prosegur, enquanto líder mundial, respira e tem no seu ADN os valores da segurança. Valores estes que na sua essência são transversais às várias áreas da Segurança: física, eletrónica e ciber. Havendo esta premissa como ponto de partida, as sinergias ao nível de negócio foram naturais e fáceis de alavancar.

Paralelamente, a estratégia base com que o Grupo já contava para o mercado da cibersegurança coadunava com a que a equipa da Dognædis vinha a desenvolver desde 2005. Com alinhamento de valores e estratégia, uma sinergia extremamente positiva era quase garantida. Prova disso é o contínuo crescimento e o facto de um conjunto considerável de colaboradores da Dognædis terem assumido, em acumulação, funções no corporativo do Grupo.

Que tipo de serviços oferece agora a Prosegur desde a aquisição da Dognaedis?

De uma forma geral, o leque de serviços aumentou em dois sentidos: serviços de cibersegurança “comuns” e serviços de cibersegurança aplicados à segurança física e eletrónica.

Apesar do Grupo já contar com alguma capacidade no que toca à Cibersegurança e após a Dognædis ter integrado o Grupo, a especialização da Dognædis fez aumentar consideravelmente o leque de serviços de cibersegurança do grupo. Nesse crescimento sobressaem claramente a Resposta a Incidentes e a Segurança de Software.

Posicionando-se atualmente como o único player mundial com capacidades de segurança 360’, a Prosegur traz para o mercado sinergias ímpares entre as suas capacidades de Segurança física, eletrónica e ciber; “neste contexto a Dognædis tem apostado no desenvolvimento de soluções inovadoras que contribuam para dois ou mais “mundos” da Segurança”. Por exemplo, está neste momento a abraçar o mercado com uma solução capaz de proteger os sistemas de segurança eletrónica contra ameaças ciber, algo único no mercado mundial.

A partir de Portugal conseguem monitorar trabalho em outros países. Atualmente até onde se estende a vossa presença?

A Prosegur está presente em 24 países do mundo, sendo que até à data a equipa Portuguesa garante atividade em 21 países, espalhados por cinco continentes.

De forma geral, como avalia o estado da segurança informática das empresas em Portugal?

A evoluir a passo lento e confuso. Se por um lado, regulamentos como o RGDP (Regulamento Geral de Proteção de Dados) ou diretivas como a SRI têm aumentado a consciência e interesse dos Empresários Nacionais para com a cibersegurança, por outro, esse interesse termina tendencialmente como uma simples decisão de cumprir com as obrigações mínimas. Poucos serão os Empresários/Responsáveis que vêem a cibersegurança como um investimento e não um custo. Um investimento que para além de lhes proteger os ativos críticos do seu Negócio, também funciona como uma espécie de ‘cola’ sustentadora e impulsionadora de eficiência, organização e qualidade de todos os processos e ativos. Implementar uma capacidade de controlo de acessos, para além dos seus benefícios óbvios em termos de segurança, ajudará a evitar por exemplo sobreposição ou destruição inadvertida de informação. Desenvolver um software, por mais pequeno que seja (p.e. um web-site institucional), segunda a filosofia de security by default, para além de assegurar a sua segurança, vai garantidamente torná-lo mais simples de evoluir, provavelmente com maior performance e mais robusto.

Em paralelo, tendo a cibersegurança ficado comercialmente mais apetecível, surgiu no mercado muito ruído que dificulta quem realmente quer endereçar o tema com seriedade. Por exemplo, afirmações como “precisa desta nova firewall para ser conforme com o RGDP” para além de serem extremamente erradas tecnicamente, podem levar ao engano um Responsável que a partir daí acredita, erradamente, que garante o controlo/mitigação de determinados riscos, ficando a posteriori ilusoriamente descansado.

Quais são neste momento os maiores desafios para quem trabalha em cibersegurança?

De entre os vários já habitues deste mercado, atualmente os dois maiores serão a escassez de Recursos Humanos competentes e especializados, bem como a dificuldade de comunicar com o mercado no meio de todo ruído existente.

As nossas academias despertaram bastante tarde para as temáticas da cibersegurança e da segurança de informação, algo que acabou para aumentar ainda mais esta escassez de pessoas bem formadas na área.

É verdade que apesar de reconhecerem os riscos de conectividade, muitas empresas não seguem as regras de modo a aumentar a segurança das suas tecnologias operacionais?

Acreditamos que sim, embora haja no entanto várias razões para isso. Talvez a primordial seja a “distância física” que existe para este tipo de riscos. São riscos intangíveis, difíceis de estimar e identificar corretamente, logo é natural que sejam um prioridade menos premente e presente no dia-a-dia.

Paralelamente, a elevada especificidade da área torna-a muitas vezes hermética a uma comunicação e perceção rápida. O que, agregado ao ruído criado pelo oportunismo comercial, torna qualquer espaço de decisão consideravelmente mais confuso e difícil.

“Os problemas de segurança da informação têm por base, normalmente, as pessoas”

smart city and wireless communication network abstract image visual internet of things

Criada em julho do ano passado, a Associação Portuguesa de Data Protection Officers (APDPO) propõe-se a apoiar e a representar os profissionais de proteção e segurança de dados.

Tendo como objetivo a promoção e desenvolvimento das boas práticas relativas à proteção de dados, Margarida Ferreira, Presidente da APDPO acredita que será uma missão/”tarefa” fácil porque há países com bastante experiência em matéria de privacidade e proteção de dados onde podemos ir buscar exemplos de boas práticas. “Fica o trabalho de as adaptarmos à nossa realidade”, afirma.

Uma das mudanças impostas pelo novo Regulamento Geral de Proteção de Dados (RGPD) incide sobre a contratação de um especialista em proteção de dados, ou fiscais de dados (data protection officers).

De acordo com o RGPD, o DPO é o profissional que informa e aconselha os profissionais que tratem os dados, a respeito das suas obrigações nos termos do regulamento. Igualmente controla a conformidade com o regulamento e com as políticas do responsável pelo tratamento ou do subcontratado relativas à proteção de dados pessoais, incluindo a repartição de responsabilidades, a sensibilização e formação do pessoal implicado nas operações de tratamento de dados, e as auditorias correspondentes.

Com a obrigatoriedade de as empresas terem um Encarregado de Proteção de Dados, a APDPO, que conta já com 178 membros, tem como objetivo e preocupação a formação dos seus associados para que possam desempenhar, corretamente, as suas funções. “Um dos desafios diz respeito à interpretação de alguns aspetos do RGPD que são menos claros”, adianta Margarida Ferreira.

A maioria das empresas continua a não estar sensibilizada para as consequências do não cumprimento do RGPD e de acordo com o estudo de um departamento do Ministério da Economia, apenas 8% das empresas portuguesas estão sensibilizadas para a proteção de dados. O que urge, portanto, saber-se sobre proteção de dados e cibersegurança? É importante aumentar o conhecimento e a utilização de boas práticas de todos em relação à cibersegurança? “Deve conhecer-se o RGPD e quais os possíveis ataques exteriores à informação. Quanto à sua segunda questão a resposta é, sem dúvida, que os problemas de segurança da informação têm por base, normalmente, as pessoas”, diz-nos Margarida Ferreira.

“É necessário desenvolver uma cultura de privacidade na organização com a formação dos colaboradores, é necessário garantir a existência de processos adequados e verificar se no hardware e no software usado não há falhas de segurança”, conclui a nossa entrevistada.

Promoção de uma cultura de cibersegurança

Não são só as empresas que precisam de estar consciencializadas para potenciais exposições ao risco de ataques à cibersegurança. Os clientes também precisam de garantias que os seus dados pessoais estão seguros e o cidadão comum precisa de saber como navegar na Internet de modo mais seguro. Até porque “a cibersegurança é uma matéria de todos”, pelo que é crucial aumentar o conhecimento e a utilização de boas práticas de todos. Nós, utilizadores e colaboradores de organizações, sabemos “estar” no mundo da Internet? Com ataques cibernéticos a serem relatados diariamente, promove-se a necessidade de se fazer mais pedagogia do que adotar uma atitude punitiva em relação à cibersegurança.

Como o Centro Nacional de Cibersegurança refere, “é fundamental informar, sensibilizar e consciencializar não só as entidades públicas e as infraestruturas críticas, mas também as empresas e a sociedade civil. Por outro lado, importa que o país se dote de recursos humanos qualificados para lidar com os complexos desafios da segurança do ciberespaço”.

O Centro Nacional de Cibersegurança atua como coordenador operacional e autoridade nacional especialista em matéria de cibersegurança junto das entidades do Estado, operadores de Insfraestruturas Críticas nacionais, operadores de serviços essenciais e prestadores de serviços digitais, garantindo que o ciberespaço é utilizado como espaço de liberdade, segurança e justiça, para proteção dos setores da sociedade que materializam a soberania nacional e o Estado de Direito Democrático.

Em Portugal, promove a utilização do ciberespaço de uma forma livre, confiável e segura, através da melhoria contínua da cibersegurança nacional e da cooperação internacional.

O sucesso da segurança do ciberespaço passa pela promoção de uma cultura de segurança que proporcione a todos o conhecimento, a consciência e a confiança necessários para a utilização dos sistemas de informação, reduzindo a exposição aos riscos do ciberespaço.

Recentemente, o Centro Nacional de Cibersegurança desenvolveu um simulacro, o Exercício Nacional de Cibersegurança, onde especialistas reagiram a cerca de 90 ataques a infraestruturas críticas. Cada entidade recebeu, no fim, um relatório confidencial sobre o que correu menos bem e quais os pontos de melhoria. O balanço foi positivo ao fim de dois dias de testes para avaliar os métodos e procedimentos na área de cibersegurança, de entidades dos setores público e privado. Os números traduzem-se em cerca de cem pessoas que estiveram envolvidas como participantes nesta primeira edição, alguns presencialmente, no Centro Nacional de Cibersegurança, e outras através dos seus locais habituais de trabalho.

Aos participantes de todos os setores, com os seus diferentes níveis de maturidade e capacidade, foi dada a oportunidade de agilizar e nivelar procedimentos para colmatar essas diferenças.

A realização deste Exercício contribuiu não só para aumentar o nível de confiança e partilha de conhecimento entre as diversas entidades com responsabilidades ao nível da cibersegurança em Portugal, como também para que essas entidades melhorem a capacidade de resposta, de forma a que se torne um ambiente mais seguro e, desta forma, reforcem a qualidade e segurança dos serviços que prestam à sociedade e ao cidadão.

CURSO GERAL DE CIBERSEGURANÇA

De 17 a 18 de outubro, o Centro Nacional de Cibersegurança promove o Curso Geral de Cibersegurança (CGC) que pretende, de uma forma abrangente, contribuir para a sensibilização, educação e literacia em todas as questões que caracterizam, moldam, influenciam e conduzem ao estado-da-arte atual da cibersegurança e do ciberespaço.

Pretende-se incentivar e despertar nos formandos um espírito de participação na discussão das temáticas abordadas, sensibilizando-os para a importância e atualidade das mesmas e para a necessidade de conhecer as temáticas relacionadas com a cibersegurança de uma forma holística, nas suas variadas dimensões de atuação, no ecossistema em que desenvolve e em razão dos fatores (internos e externos) que a influenciam e tornam uma realidade indiscutivelmente atual e relevante. São objetivos particulares do CGC:

  • Criar nos formandos capacidade de apoio aos processos de decisão em assuntos e matérias de/relacionados com cibersegurança;
  • Desenvolver capacidades analíticas que habilitem e potenciem o apoio e desenvolvimento de estratégias organizacionais de cibersegurança mais eficazes;
  • Promover a formação para uma cultura nacional de cibersegurança e promover o estudo e a investigação científica nos domínios da segurança e defesa do ciberespaço, bem como em domínios conexos.

Será a sua empresa ciber segura?

A CA4BC está no mercado desde 2013, é especializada em serviços de consultoria na área de segurança de informação, proteção de dados e continuidade de negócio e conta com consultores com uma vasta experiência.  Estivemos à conversa com Cecília Soares, CEO e Paulo Gonçalves, Sócio, que explicaram o trabalho que têm desenvolvido junto de PME’s e alguns organismos ou empresas de grande dimensão.

Na sequência da segurança de informação vem todo um conjunto de temas relacionados com a cibersegurança e com a proteção de dados.

Cibersegurança prevê que as empresas se preparem para ataques desta natureza. A confidencialidade é uma das características dos dados (um determinado dado pode ou não ser confidencial). Os dados pessoais são, pela sua natureza, confidenciais.

“Uma empresa nunca pode garantir que os ataques não aconteçam. O que têm de fazer é estar preparadas para que se acontecer estejam protegidas o mais possível para defender os seus ativos (pessoas, instalações, dados)”, comenta Cecília Soares, que acrescenta que “algumas estão bem preparadas como por exemplo os bancos. Aquelas que não têm obrigatoriedade legal ou regulação existe um pouco de tudo”.

Por isso o RGPD é visto como uma excelente oportunidade para as empresas que nunca se preocuparam com estas questões e para muitos empresários que se pautaram pela dificuldade em aceitar a mudança.

Paulo Gonçalves explica que “a análise do risco não é feita. Alguns empresários desvalorizam esta questão. Temos trabalhado bastante fora dos grandes centros e no interior do país onde existem muitas empresas dedicadas à produção e cujo objetivo é não parar a produção. Existem empresas que começaram os processos de certificação por exigências externas (clientes ou exportação) e que depois chegaram à conclusão de que toda a reestruturação lhes trouxe muitas vantagens e acordaram, assim, para alguns riscos que corriam sem todo aquele processo”.

Os custos são um obstáculo para o investimento em segurança

O não ter dinheiro para investir, aliado à descrença de que lhes pode acontecer, são as maiores razões que levam as empresas a negligenciarem a segurança. “Isto passa muito por mudar a cultura da empresa, por mais medidas técnicas que se implementem e que custam bastante ao nível do investimento financeiro. Na maioria das vezes, formar os funcionários é uma mudança essencial e que faz toda a diferença e que, além disso, acarreta menos custos. Se formos comparar os preços para implementar medidas técnicas com a formação que é necessária dar aos colaboradores, verificamos que não fica assim tão caro”, afirma a CEO da CA4BC.

“Estamos a sofrer uma mudança superinteressante no tecido empresarial português. Fora das grandes cidades, vemos um fenómeno extraordinário a acontecer: aqueles patrões, que criaram a empresa, algumas com cariz familiar, e que, por isso, têm uma ligação emocional muito forte e a nova geração que chega com ideias diferentes. Apesar do choque geracional, chegam a verificar que estas novas gerações, com outras qualificações, trazem ideias realmente inovadoras, e estas estão a receber o devido valor”, elucida Paulo Gonçalves.

Não é possível evitar um ataque mas há que preveni-lo para que as consequências sejam as menos nefastas. As organizações deverão assim estar cientes de que é apenas uma questão de tempo até sofrerem um ataque bem-sucedido. Depois de um ataque, aquilo que é medido e que garantirá a continuação do sucesso da organização é a capacidade de resposta, através da minimização do impacto no seu negócio.

“Há cerca de dez anos quando se falava em certificação de qualidade as pessoas consideravam irrelevante, não era prioritário. Hoje quando dizemos que somos certificados isso já é um carimbo de qualidade e por vezes normal”, refere Paulo Gonçalves.

Para muitos empresários a cibersegurança ainda é uma realidade distante. Outro fator distinto é o nível de digitalização de cada empresa. Quanto menos informatizados, maior o desinteresse. Porém, é pertinente que entendam que a segurança informática é importante porque sem ela todos sofrem consequências.

Cecília Soares alerta que qualquer empresa que sofra um ataque tem como consequência direta o abalo da sua reputação. Este é um peso que não é mensurável. Gera desconfiança em parceiros, clientes ou fornecedores. Por outro lado, e para avaliar o grau de impacto que uma empresa pode ter, é necessário analisar os processos de negócio, quais os mais críticos, que sistemas de informação é que estão associados, e qual a exposição de cada um ao mundo exterior.

Em caso de ataque, o que vem a seguir?

Na sequência de um ataque cibernético, as empresas preparadas deverão seguir os seus planos de resposta ao incidente, coordenado por um plano de gestão de crise da organização e complementado com a execução de planos de recuperação, dependendo dos danos sofridos.

O que fazer para se preparar?

É realizado um estudo que começa por avaliar os processos de negócio dentro de uma organização que são mais críticos – aqueles que sofram algum dano e que possam fazer parar a empresa, parar o negócio. São identificados os sistemas de informação que os suportam e são avaliados de forma a perceber, para cada um, qual o grau de exposição a ataques cibernéticos.

Tudo isto é avaliado, incluindo tempos de paragem, de reparação e quanto custa todo este tempo e outras consequências, como faturação que se perde ou que não se ganha, indeminizações que têm de ser pagas, legislação que não se cumpriu e penalizações – ou seja, tudo isto é traduzido de uma forma financeira.

“Explicar isto a uma empresa que está a crescer é muito complicado e exige delicadeza da nossa parte. A melhor forma é fazer analogias com exemplos do dia-a-dia para que eles absorvam o impacto que as consequências poderão ter”, refere Paulo.

“O interesse maior destas pessoas é continuar a trabalhar e por isso tirar tempo deles para formação ou mudança de procedimentos é difícil. Felizmente depois de lhes explicarmos eles entendem bem a necessidade”, completa Cecília.

Portugal vs Europa

“Portugal, assim como todos os outros países do sul da Europa são muito diferentes dos restantes, sendo que a Alemanha está particularmente à frente”, revela a CEO, que explica que “o sul da Europa é caracteristicamente mais resistente à mudança, mas por outro lado conseguem responder muito bem e de forma improvisada”.

O norte da europa caracteriza-se, portanto, como mais metódico e com estratégias muito bem definidas e estruturadas. “Estudam todos os cenários possíveis e por isso, caso aconteça alguma coisa, seguem os planos que têm preparados e são mais rápidos na resposta”, conclui Cecília.

Pouco ou muito informatizada, grande ou pequena, qualquer empresa pode ser alvo de um ataque. As consequências podem, no seu limite, terminar com o ciclo de vida das organizações e, por isso, vale a pena tentar perceber o que se pode fazer dentro das possibilidades.

Novos desafios sobre a proteção de dados

Muitas dúvidas ainda pairam sobre as novas normas europeias que entraram em vigor a 25 de maio. Nomeadamente no que diz respeito à videovigilância e o Novo Regulamento de Proteção de Dados (RGPD), as normas são claras?

Em primeiro lugar importa referir que existe muita desinformação. Relativamente à videovigilância, ficou claro já não ser necessário pedir autorização e pagar qualquer taxa à Comissão Nacional de Proteção de Dados (CNPD) para implementar ou alterar um sistema de videovigilância. No entanto, uma entidade pública ou privada que o pretenda fazer tem agora de avaliar se está a cumprir o RGPD e ter capacidade de demonstrar que o cumpre. Ora, isso não é tarefa fácil sem orientação adequada. Também por essa razão, tal como defendi na minha dissertação de mestrado sobre esta temática, é premente a produção de uma lei geral sobre a utilização de sistemas de videovigilância em Portugal.

No âmbito do cumprimento do RGPD o que muda no tratamento de dados pessoais com recurso a sistemas de videovigilância, assim como sobre o controlo de acessos e de assiduidade com recurso ao tratamento de dados biométricos?

Em espaços privados, a videovigilância apenas pode ter como finalidade a proteção de pessoas e bens. Isso não mudou. Por outro lado, à partida, é proibido o tratamento de dados biométricos, visto que o RGPD passou a incluir estes dados nas categorias de dados especiais, ou seja, no denominado grupo de dados sensíveis. Este grupo engloba, por exemplo, dados relativos à saúde, como ainda, dados pessoais que revelem a origem racial ou étnica, as opiniões políticas, as convicções religiosas ou filosóficas. Como os dados são sensíveis, as regras são mais apertadas, mas já o eram anteriormente. No entanto, o RGPD prevê que os Estados-Membros possam legislar no sentido de autorizar o tratamento de dados biométricos, particularmente em contexto laboral. Falta a publicação da legislação que se encontra em fase de apreciação no parlamento e que indicia vontade de permitir o tratamento de dados biométricos com a finalidade de controlo de acessos e de assiduidade. Importa ainda não esquecer a clarificação dos limites a impor aos responsáveis pelo tratamento e, por outro lado, em contexto laboral, há que acautelar a impossibilidade de interconexão de dados biométricos com dados obtidos com recurso a sistemas de videovigilância.

O controlo no local de trabalho de diferentes formas, desde o GPS ao controlo de utilização das TIC, passando pela videovigilância e pela biometria estão entre o conjunto de motivos que levam os portugueses a reclamarem mais junto da Comissão Nacional de Proteção de Dados (CNPD), assim como a utilização indevida ou sem consentimento de dados pessoais. Que principais desafios enfrentam agora as empresas de segurança privada relativamente à videovigilância?

Tomar medidas para que não se justifique a apresentação de reclamações por parte dos titulares dos dados, sejam estes, clientes, trabalhadores ou outros, é um dos principais objetivos que estabeleço nas entidades onde desempenho funções de Consultor ou Encarregado da Proteção de Dados. Relativamente às empresas de segurança privada, para além das denominadas empresas instaladoras de sistemas de segurança, como é o caso da videovigilância, sendo entidades subcontratadas, passam a ter maior responsabilidade em caso de incumprimento do RGPD. É agora necessário estabelecer cláusulas contratuais específicas perante os seus clientes, vinculando estas entidades ao cumprimento das novas regras impostas pelo RGPD. Este passo, para além dos procedimentos que têm de ser adotados internamente para cumprir os contratos assumidos, constituem os principais desafios.

Nós, comuns cidadãos, o que precisamos de saber? A formação e informação é suficiente para todos (colaboradores das empresas e cidadãos)?

Há um longo caminho a percorrer. Precisamos todos de saber que temos direitos em matéria de proteção de dados pessoais. Cabe à CNPD divulgar informação de forma clara para todos entenderem as matérias em causa. Cabe igualmente aos responsáveis das entidades públicas ou privadas a formação dos seus trabalhadores, não só para demonstrar transparência como para evitar eventuais sanções por tratamentos ilícitos.

Na sua investigação, “Novos desafios sobre a proteção de dados”, faz referência à necessidade de existir um cuidado especial das entidades públicas e privadas na formação, informação e consciencialização dos colaboradores para o cumprimento rigoroso dos direitos dos titulares dos dados pessoais. Este é o ponto fulcral, a formação e preparação do humano?

Efetivamente, é esse o caminho. Se forem criados procedimentos internos, mas os trabalhadores que possam ter parte ativa nos diversos tratamentos de dados não receberem formação para os seguir e não os souberem interpretar adequadamente, esses procedimentos nunca serão cumpridos. Há ainda que informar e consciencializar, de forma contínua, para que os objetivos previamente estabelecidos sejam atingidos.

PERFIL | Jorge Martinez Batalha

Mestre em Segurança de Informação e Direito no Ciberespaço

Investigador do CICPRIS em Proteção de Dados Pessoais

Consultor-Formador

Encarregado da Proteção de Dados (DPO)

Tudo o que precisa numa só app

Começando pela questão “já se perguntou quanto tempo gasta na integração do seu negócio”, Diogo Duarte começa por explicar os benefícios do Odoo, uma solução de gestão empresarial ERP completa, com um sistema CRM. Com base na arquitetura MVC, esta solução implementa um cliente e um servidor, sendo a comunicação entre ambos feita por interface XML-RPC. Anteriormente intitulado OpenERP, o Odoo é a ferramenta certa para a gestão empresarial por ter um conjunto de aplicativos de negócios de código aberto. Isto porque, a plataforma de aplicações de negócio, Odoo, aborda mais do que a área do ERP, chegando ao nível do Content Management System e E-Commerce.

Assim, a OdooGap conta com consultores especializados em Odoo, em desenvolvimento de Odoo e gestão de projetos, bem como na análise de negócios, planeamento de projetos de TI ERP, CRM, e E-commerce.

Adaptando-se a pequenas, médias e grandes empresas, com o Odoo é possível ter as informações da empresa num só lugar e em tempo real, acarretando mais-valias para a gestão dos negócios, que acaba por ser mais eficiente.

E como é que a Odoo contorna os problemas ou os desafios relacionados com as matérias de cibersegurança? Por se tratar exatamente de uma solução que utiliza um código aberto, os riscos de exposição a ataques de cibersegurança são menores e mais facilmente detetáveis.

No entanto, Diogo Duarte alerta para a necessidade de os colaboradores adotarem estratégias que reduzam a exposição ao risco, apostar na formação e adquirir conhecimentos em termos de IT para não se tornarem vulneráveis em questões de segurança informática. “Por melhor que o sistema seja, existe sempre risco. É impossível evitar um ataque, mas existe a possibilidade de reduzir a exposição ao risco se trabalharmos com pessoas competentes”, afirma Diogo Duarte.

FLEXÍVEL E MODULAR

Em Portugal, o Odoo não é um sistema tão conhecido. No entanto, com clientes mundiais, desde os EUA à Austrália, a OdooGap tem singrado a nível internacional.

O poder de customização e modularização são muito atraentes. E, custos de aquisição são uma coisa do passado.

Sendo o ERP um sistema que faz tudo dentro de uma empresa – desde as vendas, faturação, gestão de projetos, tudo integrado num website, agregando a loja online (em Portugal este sistema é, maioritariamente, utilizado no comércio online), o armazém e transportadores –, o Odoo faz uma série de integrações benéficas para a  indústria. Esta solução “open source” é flexível e modular, podendo ser aplicada em diversos setores, desde a indústria à advocacia.

Note-se que ERP é a sigla para Enterprise Resource Planning, que em português significa Sistema de Gestão Empresarial. O software ERP é um sistema de informática responsável por todas as operações diárias de uma empresa, desde a faturação até à gestão de stocks.

Sendo o SAP, atualmente, o sistema mais conhecido e utilizado em Portugal, o Odoo começa a ganhar terreno por se tratar de um sistema aberto que não implica custos de propriedade, acabando o cliente por se tornar proprietário do seu próprio código. Por se tratar de um sistema aberto, torna-se numa mais-valia em termos de matérias de cibersegurança. “Um open source é mais escrutinado e a segurança já está implícita no sistema. Se existir uma debilidade no sistema, facilmente será detetada”, explica Diogo Duarte, acrescentando que, em Portugal, fortemente focados na gestão de projetos, essencialmente no comércio eletrónico, os clientes da OdooGap ficam surpreendidos com a eficácia desta solução.

Paralelamente, e porque potenciar a competitividade empresarial pela via da internacionalização constitui um desafio e uma consequência natural da globalização, a OdooGap tem prestado serviços a diversas empresas que procuram internacionalizar-se. “Hoje em dia não basta ter uma loja online, é necessário ter um sistema de vendas e uma presença online muito forte. Desde a otimização de tempo à logística, é importante perceber que ter um site hospedado em Portugal não é suficiente para atingir o mercado global. Tem de ter uma rede informática com uma escala global, capaz de corresponder às necessidades dos clientes internacionais em termos de rapidez, simplicidade e flexibilidade, por exemplo”, conclui Diogo Duarte.

“Perform to perfection”

Fundada em 2009, a Crossjoin já se encontra presente em diversos países. Como se deu este crescimento exponencial?

A Crossjoin sempre procurou destacar-se e diferenciar-se do mercado a vários níveis:

  • Única empresa portuguesa na área da Performance – Perform to Perfection.
  • Única na abordagem ao cliente e ao mercado.
  • Única na rápida especialização e progressão dos seus profissionais.
  • Única que aceita missões que parecem impossíveis e que conduzem ao sucesso dos nossos clientes. 

Entre outros serviços, são especialistas em cibersegurança. Hoje, este é um tema que ganhou muita relevância. Porquê?

Com o crescimento e diversidade dos meios de comunicação social e a massificação de telemóveis, o uso da tecnologia como mecanismo de comunicação e negócio ganhou nova escala. Tanto pessoas como empresas passaram a usar a tecnologia da informação e a internet para alcançar cada vez mais público e para compartilhar e armazenar cada vez mais informações.

Para além disto, as pessoas estão, cada vez mais, a usar tecnologia e a internet, numa base diária, para realizar as mais variadas tarefas: compras, aquisição de serviços, transações bancárias, redes sociais, etc.

Desta forma, há um aumento exponencial da quantidade de informação processada pelos utilizadores e pelas empresas, incluindo informações confidenciais, pessoais e financeiras e que ficam à disposição de agentes “invisíveis”. 

Quais são os maiores desafios quando se fala em cibersegurança?

Podemos dividir os desafios, basicamente, em dois tipos:

1) Técnico – O alinhamento com a evolução tecnológica, relativamente às ameaças é um grande desafio. Estima-se que programas maliciosos fiquem meses camuflados, antes de serem identificados. Desta forma, é necessário compreender que o uso da tecnologia é um risco e que não haverá 100% de garantia de segurança, entretanto, há que se fazer o máximo para atenuar e mitigar este risco;

2) Comportamental – A consciencialização dos managers, colaboradores e utilizadores quanto às suas responsabilidades, sobre uso seguro da tecnologia. O uso errado, seja por negligência, inobservância de boas práticas, ou mesmo dolo, terá impactos consideráveis para pessoas e organizações. 

No caso das empresas, manter um nível de segurança a nível cibernético é fundamental em que medida?

Os desafios que a cibernética coloca, não se restringem a ataques de hackers e roubos de informação. Há inúmeros outros riscos associados aos negócios, especialmente quando se fala em performance corporativa: integridade das informações; disponibilidade de serviços; confidencialidade; rapidez.

Além das exigências de clientes e do mercado, há exigências legais e setoriais que poderão ter grandes impactos financeiros, como o RGDP, PCI-DSS (Payment Card Industry – Data Security Standard), SOX (Sarbanes–Oxley Act. O SOX é uma lei americana para regulamentar a prática financeira de empresas que operam na bolsa dos EUA), entre outras.

A nossa capacidade de análise aprofundada de riscos, problemas, proposta e implementação de soluções eficientes e rentáveis têm sido consideradas das melhores do mercado. 

Ainda há muito trabalho para ser feito ao nível da segurança informática?

Basicamente, a segurança assenta sobre três pilares: Pessoas-Processos-Tecnologia.

O melhor ponto de partida será aquele que permite: a) o maior impacto, b) no mais curto espaço de tempo e com c) o menor investimento.

Neste ponto, o trabalho na consciencialização das pessoas é crítico para iniciar este processo. Ao considerar a máxima de que “uma corrente é tão forte quanto seu elo mais fraco”, torna-se ponto de partida fundamental que os utilizadores entendam a importância de seguirem boas práticas e respeitem princípios básicos de uso responsável das tecnologias. Investimentos em tecnologia e processos não terão impacto se as pessoas não estiverem a trabalhar corretamente.

“Portugal ainda gatinha em questões de cibersegurança”

A Redshift Consulting está presente no mercado desde 2010 com colaboradores com mais de 25 anos de experiência e atua especialmente em duas vertentes: Data Networking e Information Security. Especializados em cibersegurança avaliam que lacunas existem no Estado e nas organizações.

João Manso começa por explicar que a grande “dificuldade atual do mercado está na conquista de investimento. Os líderes das empresas têm algumas dificuldades em entender o benefício da segurança como um investimento e não como um custo. Na cibersegurança temos tido algumas dificuldades neste sentido. Mesmo quando começou a haver mais capacidade de investimento, os empresários continuaram, na sua maioria, a olhar para a segurança como custo. O facto de as entidades, vítimas de ciberataques que acontecem hoje no nosso país com prejuízos significativos infligidos, não partilharem as suas experiências, contribui de forma significativa para esta ausência de sensibilidade para o problema”.

A segurança informática é facilmente entendida como um gasto uma vez que não produz capital. Algumas organizações começam a mudar esta filosofia, segundo o nosso interlocutor, e a definir estrategicamente na empresa a questão da necessidade de protecção como fator crítico de sucesso.

Desafios Redshift

“A cibersegurança exige hoje que se tenha uma visão holística do problema da Segurança de Informação requerendo uma equipa especializada multidisciplinar para suportar a implementação de projetos nos nossos clientes. A gestão das equipas técnicas, numa área de oferta em que escasseiam recursos especializados, é atualmente um grande desafio para qualquer empresa nacional ou internacional.

A contínua avaliação da indústria e a seleção dos melhores parceiros tecnológicos é também um desafio numa área que tem neste momento uma grande dinâmica de inovação e exigência.

Em Portugal a maturidade em cibersegurança é globalmente reduzida, não só em IT, mas principalmente em OT (Operational Technology), o que nos transporta para a necessidade de investimentos em áreas de intervenção que aumentem a visibilidade e proteção sobre a superfície de ataque alargada, como a gestão de vulnerabilidades, a gestão de identidades para a autenticação de todo o tipo de utilizadores em todo o tipo de dispositivos, aplicações e sistemas operativos, gestão de configurações e patching, a deteção de ataques avançados através da correlação de eventos e utilizando Machine Learning que permita identificar comportamentos anormais dos diversos componentes dos sistemas de informação e dos utilizadores.”

A transformação digital veio trazer alguma confusão e João Manso explica que “se tem dado elevada prioridade à transformação digital mas a segurança fica muitas vezes esquecida. Só a encaramos depois de outras questões, como por exemplo o tratamento de dados pessoais. A transformação digital tem que andar a par da segurança, nunca antes, nunca sozinha”, alerta.

Boas práticas existem

Em Portugal existe uma boa legislação em termos de proteção de informação. Mas porquê é que não há mais preocupação em torno da proteção?

“Existem normas internacionais, que apesar de não estarem ainda previstas na nossa legislação, começam agora a ser vistas como uma referência em termos de cibersegurança. Portugal preocupou-se muito com a proteção de dados e só depois se apercebeu que tinha que trabalhar melhor a segurança.

Estamos muito atrasados nestas questões, falta-nos maturidade, talvez devido à crise e à falta de recursos humanos. Pensarmos que não somos um alvo é perigoso. No dia em que alguém quiser fazer de Portugal um exemplo vamos ter problemas sérios”.

O ideal passa sobretudo pela educação para a cibersegurança, que na opinião do nosso entrevistado “tem de começar a ser ensinada às mais recentes gerações. Temos de aprender a usar a tecnologia de forma responsável. Os menos jovens são desmotivados perante a tecnologia e alguns são mesmo iletrados a nível informático e não entendem a dimensão dos perigos”.

Ciberataques acontecem e são difíceis de prevenir

Normalmente os ataques são dirigidos à direção de uma empresa. E são mais frequentes do que se pensa. Para evitá-los ainda falta formação a par da informação.

Uma das atividades que mais contribui para a cibersegurança é o treino. Treino do pessoal, das equipas e entre equipas. Neste âmbito ainda falta muito em Portugal, é preciso mais investimento na criação da capacidade de treino e em exercícios mais regulares e mais abrangentes.

Os responsáveis por segurança informática dizem, há anos, que uma pessoa que trabalhe numa organização não pode considerar que o computador em que trabalha é seu, há que ter cuidado com a instalação de software, e com a utilização feita em ambiente familiar, por exemplo. É necessário o envolvimento de todas as pessoas da empresa para garantir a segurança dos dados, esse é um trabalho longo e que requer formação. As pessoas são o elo mais fraco de qualquer sistema de segurança.

“Vemos muitas empresas que já começam a estar atentas a estas questões, mas ainda somos imaturos”, refere João Manso.

“Não estamos preparados nem enquanto empresas nem enquanto país, para lidar com as consequências de um ciberataque de grande dimensão”

Em Portugal, existem três grandes áreas no Centro Nacional de Cibersegurança (CNCS). A primeira missão tem a ver com a preparação das organizações, do Estado, das empresas, para o tema da cibersegurança. O CNC tem ainda o Centro de Resposta a Incidentes de Segurança (cert.pt), com ligação privilegiada aos membros da União Europeia, Israel, Brasil e outros países

Porém o grave problema é a falta de fundos, nas organizações e, principalmente, no Estado, de modo a que haja forma de fazer funcionar o sistema neste sentido.

Quando há um ataque e não há partilha as consequências triplicam. “Uma parte muito importante da cibersegurança é a partilha. Mais tarde ou mais cedo surgirão regulamentos que nos obriguem a fazê-lo. Por partilha entende-se avisar que fomos vítimas de um ataque. É o princípio mais importante, já que quanto mais ajuda tiver, mais depressa resolvo o meu problema. No entanto, ainda há uma certa vergonha associada ao facto de se ser atacado”.

Neste momento, as empresas e o Estado não estão preparados para as consequências de um ataque e em muito se deve à falta de dois recursos: humano e financeiro.

O Phishing em Portugal

De acordo com o relatório de spam e phishing realizado pela Kaspersky Lab em 2017, Portugal encontra-se em 8º lugar no top dos países que mais phishing recebem estando apenas acompanhado por outros dois países Europeus, a Albânia (6º) e a Rússia (10º). As organizações mais vulneráveis a ataques phishing e spam são as da área da banca, sistemas de pagamento e lojas online, encontrando-se Portugal com um nível médio de risco, sendo este valor idêntico aos restantes valores europeus.

Uma visão integrada da gestão de segurança da informação

A PGM Consultores marca presença no mercado há cerca de 15 anos, sendo um importante player no âmbito da consultoria em diversos serviços. Desta forma, qual tem sido a evolução da marca ao longo destes 15 anos e quais as principais características da mesma que perpetuam uma dinâmica de confiança e satisfação perante o cliente?

A PGM tem uma história de 15 anos de trabalho em parceria com os clientes, numa relação de máxima confiança e com o propósito de ajudar o cliente a desenvolver competências internas, diferenciadoras das dos seus concorrentes, tendo sempre em consideração que cada cliente é único, seja pela atividade ou pela cultura interna. São estes valores que nos garantem a fidelização dos clientes e a solicitação e recomendação de novos serviços.

Que marcos no percurso da empresa podem ser destacados?

Os marcos da PGM são os dos seus clientes, sendo que esses são tão relevantes para a PGM como o são para cada cliente e que podem passar por conseguir a certificação de um Sistema de Gestão da Segurança da Informação (ISO 27001), num prazo de cinco meses.

A PGM destaca como marco relevante o reconhecimento pela PECB enquanto entidade formadora, o que lhe permite disponibilizar cursos de formação com reconhecimento internacional em áreas como sejam a da Segurança da Informação.

Apresentar uma visão integrada da gestão de segurança da informação, de sistemas de informação (SI) e da cibersegurança, é algo complicado em Portugal?

Sem dúvida. na maior parte das organizações ainda não são tratados estes três pilares de forma consistente e integrada. Sendo a segurança da informação mais abrangente, deviam as empresas iniciar a identificação da informação relevante e crítica para a organização e implementar os níveis de segurança e controlo no âmbito dos sistemas de informação e da Cibersegurança, na perspetiva de garantir a confidencialidade, a integridade e a disponibilidade da informação.

A nível nacional, como avaliam aquilo que está a ser feito a nível de Cibersegurança e do RGPD (Regulamento Geral de Proteção de Dados)? Acredita que a introdução do RGPD foi uma medida bem pensada e concretizada?

O RGPD veio alertar para a transmissão de dados pessoais e como podem estes ser um bem valioso para quem gere as bases de dados de contactos, sendo que os valores limites das coimas, ao contrário do que se passava na lei anterior, vieram fazer com que as empresas ficassem preocupadas e tomassem algumas medidas.

Em Portugal a medida está a ser atrasada pela falta da publicação da legislação de implementação do RGPD e pelo facto da CNPD ainda não ter sido formalmente nomeada “Autoridade de Controlo”. como tal, temos um vazio legal.

E sobre a cibersegurança? É importante aumentar o conhecimento e a utilização de boas práticas de todos em relação à cibersegurança?

Claro que sim. numa sociedade cada vez mais dependente dos meios de comunicação, da ligação à internet disponível 24h/dia, em que uma operação pode ser realizada em qualquer local, é muito importante todos termos uma noção do risco que corremos com esses comportamentos. Por muitas medidas técnicas que se implementem, todas elas são insuficientes se o comportamento humano, em termos de Segurança da Informação, falhar.

Simples regras como a não partilha de códigos de acesso e passwords, a utilização de passwords robustas e de as mudar com alguma frequência ainda não são práticas existentes nas organizações.

A Cibersegurança exige um forte investimento? Este pode ser o maior desafio para as organizações? Qual o papel da PGM no domínio da cibersegurança e do RGPD?

A Cibersegurança exige algum investimento, maior ou menor em função do nível de risco a que a organização está exposta e do nível de risco residual que está predisposta a aceitar.

A PGM continuará a dar apoio na implementação de sistemas de gestão de segurança da informação, onde se inclui Cibersegurança e RGPD, de modo as organizações poderem reduzir o risco para níveis aceitáveis, com o mínimo investimento possível.

60% das PME’S abrem falência após um ataque cibernético, há consciência de forma generalizada sobre isto?

Não há, nem estão recetivas a falar sobre o assunto, pois acham que nunca lhes vai acontecer. As empresas deveriam ter Planos de Continuidade de Negócio, onde são avaliados os riscos e definidas medidas de mitigação e de continuidade de fornecimento do produto ou serviço ao cliente, minimizando o risco de encerramento ou de perda dos clientes, em caso de algum ataque cibernético ou de outro tipo.

Quais são os principais desafios da PGM de futuro? O que podemos esperar da marca?

Continuar a crescer na consultoria e auditorias dos Sistemas de Segurança da Informação (ISO 27001) e Continuidade de Negócio (ISO 22301), sendo cada vez mais uma empresa de referência nesta área pelo nível de serviço prestado.

EMPRESAS