2021 foi o pior ano registado na cibersegurança e o phishing foi o maior culpado: 36% dos dados violados, devido, em parte, a credenciais de colaboradores roubadas num desses ataque, dos quais 96% ocorreram por e-mail. Esta é uma das conclusões da Mimecast (conhecido fornecedor de cibersegurança) no seu anual The State of Email Security 2022.
O mundo pós-Covid está mais consciente dos riscos e da necessidade de proteção para este flagelo.
A disrupção digital é já hoje inevitável e levará a uma rápida mudança impulsionada pela tecnologia. À medida que as organizações fazem investimentos nesta área – por inovação ou por necessidade –, devem estar cientes dos riscos associados. Os criminosos digitais exploram as vulnerabilidades que as novas tecnologias introduzem, e até mesmo os melhores controlos cibernéticos rapidamente se tornam obsoletos.
Em termos mundiais, os países mais preparados para lidar com este risco são aqueles cujas empresas têm estratégias de ciber-resiliência em curso: os EUA, a Arábia Saudita, a Alemanha e a Dinamarca, com 47%, 44%, 43% e 42% das empresas neste registo, respetivamente. Até 2025, 60% das organizações usarão o risco de segurança cibernética como fator determinante na realização de transações de terceiros e compromissos comerciais. (Gartner – Predicts 2022: Cybersecurity Leaders Are Losing Control in a Distributed Ecosystem, Janeiro 2022)
O mercado português, maioritariamente composto por PMEs, está longe de algumas realidades internacionais no que toca à digitalização, literacia digital e práticas de cibersegurança.
Ora, para ganhar a guerra do cibercrime, e para se manterem competitivas na exportação para países europeus, as empresas portuguesas precisam que a literacia digital acelere o passo, de mãos dadas com a ciber-resiliência, e que, juntas, ganhem a corrida da modernização.
A mais recente proposta de lei do Orçamento do Estado para 2023 prevê um conjunto de iniciativas de capacitação e a instalação de uma rede de sete centros de competências para apoio de primeira linha em cibersegurança. Mas há um conjunto de comportamentos que é preciso pôr em marcha no dia-a-dia das empresas.
Adquirir conhecimento digital é, hoje, cada vez mais acessível, mas torná-lo uma rotina ainda está por acontecer. As empresas estão cientes de que os colaboradores que não estão preparados para lidar com um ataque cibernético representam uma grande ameaça à sua segurança.
Embora seja comum existir algum tipo de formação sobre cibersegurança nas empresas, a maioria não o faz de forma regular. Os colaboradores precisam de sensibilização e de mais exemplos, que só surgem à medida que mais ataques acontecem.
É importante considerar a segurança cibernética como uma prioridade de gestão, garantindo algum tipo de monitoria (por exemplo, indicadores ou relatórios de desempenho).
Qual o âmbito e inputs de terceiros para garantir a cibersegurança da própria empresa? Para algumas empresas, os terceiros podem ser apenas os fornecedores de TI, enquanto para outros podem incluir todo o ecossistema: clientes, subsidiárias, parceiros e sociedade no geral.
A prazo (e não falta muito!) a segurança cibernética será também um fator valorizado socialmente, a par de outras metas socias e de ESG. Incluir metas de desempenho de segurança cibernética e reduzir o potencial de impacto social negativo da empresa devem, por isso, ficar desde já na agenda.
As empresas que querem posicionar-se de forma mais eficaz nos próximos anos precisarão de adotar uma abordagem implacável e proativa para construir capacidades defensivas além do previsto hoje.
A abordagem deve ser holística, consistente, mas ágil. Combater o crime nesta área passa, estruturalmente, por elevar os conhecimentos digitais, pondo em marcha medidas que tornem as empresas, no geral, mais conhecedoras, mais conscientes e mais proactivamente seguras no mundo digital. É um caminho que parece longo e altamente imprevisível, mas cujo percurso marcará as empresas que vão estar na linha da frente em competitividade e resiliência.