Conversámos com o Professor Pedro Nunes Oliveira Machado, do Instituto Superior de Educação e Ciências (CESICP/ISEC Lisboa, para nos ajudar a perceber como está o mercado perceber como está Cibersegurança em Portugal.
Como vê o mercado da cibersegurança em Portugal?
Portugal continua num processo evolutivo no que concerne à cibersegurança. Todavia, ao contrário do que muitos possam pensar, a sua avaliação deve ser devidamente realizada em contexto, nomeadamente em perspetiva endógena e exógena.
Se tivermos em conta o atual contexto externo, seguindo a ferramenta PESTLE nos planos Político, Económico, Social, Tecnológico, Legal e Ambiental (Environment), identificamos vários riscos diretos e indiretos para a cibersegurança nacional. Bastariam apenas o conflito na Ucrânia e a COVID19 para facilmente compreender a forma como os vários acrónimos são afetados por estes dois eventos.
Quanto ao atual contexto interno, seguindo a ferramenta POTI nas suas dimensões Processos, Organização, Tecnologia e Informação, identificamos igualmente diversos riscos diretos e indiretos, nos setores públicos e privados, ao nível da evidente necessidade de melhoria de processos e organização e de inovação nas infraestruturas tecnológicas (TIC e não-TIC), bem como debilidades na gestão de dados – no que resulta evidente que a cibersegurança deve constar nas principais prioridades para Portugal.
Com esta explicação, facilmente compreendemos que a cibersegurança exige um trabalho contínuo, tendo em conta que os contextos interno e externo estão permanentemente em mudança, especialmente ao nível das dimensões acima referidas. Qualquer avaliação sobre o seu estado carece de revisão permanente, pois, de outro modo, torna-se rapidamente desatualizada e inadequada face a rápida mudança nos contextos que a influenciam. Infelizmente, nem todos compreendem a importância da necessidade de revisão das estratégias e orçamentos para a cibersegurança, tendo em conta os contextos que as organizações vivem. Certamente que o contexto antes do conflito da Ucrânia era diferente do atual; os momentos de confinamentos com obrigação de trabalho remoto são igualmente muito diferentes do presente.
O aumento de programas de literacia digital e de consciencialização para a cibersegurança dos cidadãos e organizações tem contribuído muito positivamente para uma utilização mais adequada das tecnologias e consciência dos riscos do ciberespaço. Contudo, ainda existe alguma necessidade de desenvolvimento nestes planos.
Não obstante o profícuo trabalho que o Centro Nacional de Cibersegurança (CNCS) tem vindo a fazer, no desenvolvimento e disponibilização de cursos presenciais e online (MOOCs) sobre estas temáticas, não se dispensa o trabalho que todas as demais entidades públicas e privadas devem igualmente promover, especialmente em programas de Educação que garantam uma ministração adequada no ensino básico, secundário e superior.
Ainda que compreendamos a necessidade de investimentos em tecnologias, urge convergir para a capacitação e consciencialização do uso adequado das mesmas, por forma a garantir uma melhor segurança no ciberespaço.
Ainda se verifica um défice de profissionais habilitados, dificultando os processos de recrutamento e a retenção de talento nas organizações, e mesmo no país, onde muitos (bons) especialistas acabam por abraçar desafios profissionais em geografias que proporcionam desenvolvimento de carreira, experiências e remunerações mais atrativas.
Quais os principais problemas das empresas na adoção de soluções de segurança tendo em conta a migração para a Cloud e trabalho híbrido?
A migração para a Cloud e o trabalho híbrido não são mais do que tendências e comportamentos resultantes da influência dos contextos interno e externo a que as organizações estão sujeitas.
Naturalmente, a adoção destas tendências e comportamentos tecnológicos traz várias oportunidades e benefícios, mas que nem sempre são devidamente analisados nas ameaças que igualmente corporizam, mesmo que algumas destas sejam deveras evidentes. E é precisamente por esta razão que a regulação tem assumido um papel preponderante.
Se pensarmos nas obrigações legais de proteção de dados pessoais, muitos ainda pensam que o Regulamento Geral sobre a Proteção de Dados (RGPD) trouxe consigo um novo mundo iniciado a 25 de maio de 2018, data em que o RGPD passou a ser aplicável, esquecendo que a esmagadora maioria das obrigações legais que lá contam já existiam na Diretiva 95/46/CE que foi transposta para a ordem jurídica portuguesa pela Lei n.º 67/98 de 26 de outubro, ou seja, 20 anos antes.
Hoje, o mercado está bastante desperto para os requisitos legais do RGPD, especialmente ao nível da segurança dos dados e dos fluxos transfronteiriços que tanta relevância técnica trazem quando se discutem soluções Cloud.
Ainda assim, a análise da segurança em contextos de Cloud exige a realização de uma avaliação casuística, atendendo às especificidades do tipo de Cloud, nomeadamente arquitetura e integrações que permitam identificar os riscos ao nível da confidencialidade, integridade e disponibilidade; por norma, esta última estará mais mitigada, esperando-se que resida maior risco para a confidencialidade e integridade, dependendo da arquitetura, do eventual envolvimento de entidades terceiras e do tipo de dados em causa, nomeadamente, o seu valor para as pessoas singulares e/ou coletivas.
Está o ecossistema empresarial português preparado para lidar com o crime? Que fazer para melhorar a prevenção?
O ecossistema empresarial português ainda se encontra num processo evolutivo, do ponto de vista da literacia das pessoas, da maturidade dos processos de negócio e ao nível dos controlos tecnológicos. Também será justo apontar que tem vindo a ser realizado algum trabalho nestes domínios. Porém, muitas vezes fruto de pressão regulatória e de obrigações legais, o que corporiza que nem todas as organizações estão verdadeiramente conscientes para que os investimentos que realizem sejam motivados por uma real perceção do risco (ameaças e benefícios).
Quanto à prevenção, recomendo muito especialmente a promoção do aumento da literacia e da consciencialização dos utilizadores (colaboradores, clientes, prestadores de serviços, parceiros, etc.), seguindo-se uma melhor adequação ao nível dos processos e tecnologias por forma a garantir a proteção da organização.