Nos últimos anos temos assistido a um aumento dos ciberataques a pequenas e grandes empresas, que prejudicam não só a segurança dos seus serviços como a vida privada dos seus colaboradores. Os riscos associados a perda de dados internos ou tentativas de ransom, que condicionam o retorno destes dados, fizeram com que empresas reconsiderem as falhas nas medidas de cibersegurança internas.
Este desafio é, para muitas empresas, o mais relevante. De acordo com um estudo do grupo Marsh McLennan, 49% dos empresários inquiridos vê os ataques cibernéticos como um desafio constante às suas equipas.
A edição de 2023 do estudo do grupo, intitulado “A Visão das Empresas Portuguesas sobre os Riscos” e desenvolvido pela subsidiária portuguesa da consultora, o risco de ataques cibernéticos é o que mais preocupa as empresas nacionais no que respeita aos riscos que podem enfrentar em 2023.
Apesar do desafio “falha de medidas de cibersegurança” ter ficado em segundo lugar face ao principal risco do estudo, a inflação (54%) – que ocupava a quarta posição no top de riscos esperados em 2022 e registou uma subida de 9 pontos percentuais – o risco de “ataque cibernético”, ao nível nacional, continua em primeiro lugar (46%).
“É uma mudança ligeira em relação ao verificado em 2022 (edição na qual estes riscos se apresentavam, respetivamente, no segundo e primeiro lugares das rúbricas assinaladas) e que só dá relevo à importância atribuída à materialização de consequências negativas fruto da exploração de vulnerabilidades das infraestruturas digitais, sendo consistente com a visão obtida junto dos inquiridos no período 2017-2023 (sempre entre os três primeiros), sobretudo se olharmos para o posicionamento agregado dos riscos tecnológicos e a sua interação com riscos sociais e geopolíticos identificados neste Estudo – nos quais devemos considerar, além dos ataques cibernéticos e falhas de medidas de cibersegurança, a falha de infraestruturas de informação críticas e de redes, a concentração do poder digital e a desigualdade digital”, explica a Marsh Portugal.
Grande nível de sofisticação dos ataques
A Marsh Portugal refere que a par de uma estratégia cibernética coerente, que permita acompanhar a sofisticação dos ataques principalmente em ambientes tecnológicos complexos e convergentes, a precisão do cálculo do impacto deste risco torna-se essencial, contribuindo para uma “alocação efetiva do capital para fazer face às maiores vulnerabilidades cibernéticas”.
Esta preocupação com os ataques cibernéticos, especificamente com a sua sofisticação, encontra eco em Pedro Viana, Head of PreSales da Kaspersky Iberia. “Com maior ou menor nível de investimento em segurança, a verdade é que as empresas compreendem que um dos principais desafios que enfrentam constantemente é a necessidade de se protegerem das ameaças online, em constante evolução e crescimento”, explica.
Viana aponta que, sobretudo nos últimos anos, as principais ameaças para as empresas portuguesas incluem ransomware, que restringe o acesso dos utilizadores aos dados ou aos seus computadores através da encriptação de informação, e o phishing, que passa por inúmeros e cada vez mais aperfeiçoados esquemas para obter informação sensível, como nomes de utilizador, palavras-passe e informação sobre cartões de crédito, através de e-mails fraudulentos concebidos para parecerem reais, ou por vezes através de websites falsos.
“Embora Portugal esteja hoje no caminho certo no que toca à forma como as empresas olham para a segurança dos seus ativos digitais, há aspetos que precisam de ser corrigidos o mais rapidamente possível. E um deles, e o que considero o mais importante, é a forma como os gestores deixam de priorizar cibersegurança em favor de outros aspetos do negócio”, acrescenta Pedro Viana.
O que podem as empresas implementar
Como primeiro aspeto a corrigir, Pedro Viana admite que se deve ter em conta que proteger o perímetro das redes das empresas não chega. “Com o advento do teletrabalho, que ainda se mantém em muitas organizações mesmo que num modelo híbrido, é imperativo ter ferramentas que permitam verificar e certificar o nível de segurança do posto de trabalho, da presença de vulnerabilidades de software até à ligação a um hotspot Wi-Fi não fiável ou desprotegido”, aponta. Acrescenta a necessidade de utilizar VPNs, gestão de privilégios de acesso, sistemas de autenticação multifatorial, implementação de monotorização mais rigorosa e a atualização dos planos de contingência e emergência existentes.
Em segundo lugar, Pedro Viana aponta a formação de especialistas internos em segurança informática, com competências de gestão. “Por outro lado, existe uma dependência crescente dos serviços de cloud, o que requer medidas específicas de gestão e proteção. Isto exigirá que os gestores de segurança se alinhem com o paradigma da cloud e desenvolvam competências de gestão e proteção específicas para estes ambientes”, contrapõe.
Esta preocupação, em específico, está cada vez mais patente ao nível mundial. A Microsoft divulgou recentemente dados que apontam que a procura por especialistas em cibersegurança a nível mundial cresceu, em média, 35% ao longo do último ano. “Em junho de 2022, registaram-se até 16 vezes mais anúncios de emprego em cibersegurança do que em 2012 – quase o dobro em comparação a todos os novos anúncios de emprego no mesmo período”, explica a multinacional.
Em último lugar, Pedro Viana também acrescenta que, além da necessidade de introduzir novas e melhores práticas de cibersegurança, a qualidade das ferramentas que permitem todas estas mudanças é também importante. A qualidade da proteção e a facilidade de gestão dessa segurança são aspetos fundamentais no momento de optar pelas soluções adequadas a cada empresa.