O principal investimento que as empresas têm de fazer para responder para responder ao aumento significativo do risco cibernético é na literacia, para criarem uma cultura de segurança que ajude a minimizar oportunidades para incidentes. O conhecimento é a base em que assentarão as soluções tecnológicas.
“A literacia é fundamental, pois o reconhecimento de que a cibersegurança é uma questão da maior importância para a atividade das empresas, e para a continuidade do negócio, terá de ser o primeiro passo para se consciencializarem das suas fragilidades e da necessidade de aumentar os níveis de cibersegurança”, diz ao Jornal Económico (JE) o presidente da Associação Empresarial de Portugal, Luís Miguel Ribeiro.
Isto é verdade para todo o tipo de empresas, independentemente do tamanho, maturidade, e disponibilidade para o risco, mas para as pequenas e médias empresas (PME) é essencial.
“A AEP tem vindo a aumentar a oferta de ações de formação nestas áreas para as empresas, ações essas que têm tido uma procura crescente por parte do tecido empresarial”, diz Luís Miguel Ribeiro. “Mesmo assim, temos a perceção de que ainda há muitas empresas que, apesar de considerarem a cibersegurança como uma preocupação, não estão cientes sobre o que devem fazer para se posicionarem de forma mais segura nas questões digitais”, acrescenta.
“Investir na formação das pessoas para antecipar ou evitar comportamentos de risco, planos de continuidade de negócio atualizados, backups regulares, autenticação forte, são bons pontos para começar” a dar resposta ao aumento do risco, aponta Jorge Libório, partner e Cybersecurity Leader da EY.
A necessidade de conhecimento não se esgota, no entanto, na sensibilização para o risco cibernético e na formação, tanto dos colaboradores como da gestão de topo. “As empresas deverão começar por mapear claramente os seus ativos críticos e inventariá-los. Dependendo da sua criticidade e prioridade, deverão ser adotadas medidas e controlos proporcionais ao risco identificado”, diz Jorge Libório.
Temas como a gestão da continuidade de negócio, implementação de princípios zero trust, o que significa nunca confiar em dados históricos ou contextos passados e verificar sempre a necessidade de novos acessos, a formação, assim como seguir boas práticas de cibersegurança, como a utilização de autenticação multifator e correção de vulnerabilidades, deverão ser prioridades.
Libório aponta que quadros como a ISO 27001 (norma internacional de referência para um sistema de gestão de segurança da informação), o NIST CSF (guia para gestão de cibersegurança para a indústria, entidades públicas e outras organizações), ou até mesmo o Quadro Nacional de Referência de Cibersegurança poderão ser utilizados como base para a identificação, não só dos requisitos, mas também dos controlos a implementar.
O que devem fazer as empresas? Investir em conhecimento
/
As ameaças cibernéticas vão continuar a aumentar e as empresas têm de se adaptar. Parcerias, identificação de ativos críticos são caminhos obrigatórios, mas, primeiro, têm de investir na literacia.
