BRANDS' ECO Nível de risco e exigência regulatória torna abordagens pontuais à segurança insustentáveis

No início de Abril entrou em vigor em Portugal o Regime Jurídico da Cibersegurança, que no essencial transpõe a directiva NIS2. O âmbito de obrigações para as entidades reguladas é vasto, incluindo a gestão estruturada de risco, a avaliação de vulnerabilidades, o reporte de incidentes e a avaliação de risco da cadeia de abastecimento. Encontra-se atualmente em consulta pública o Regulamento de implementação, o qual detalha aspetos operacionais e os referenciais aplicáveis, em particular as medidas de Cibersegurança mínimas em função do tipo de entidade abrangida.

Esta evolução regulatória é positiva, não só pelo nível de maturidade que impõe a muitas entidades diretamente abrangidas, mas também pelo efeito de amplificação que terá por via das obrigações relativas à gestão de risco na cadeia de abastecimento destas entidades. Estima-se que por esta via sejam dezenas de milhares as empresas e outras organizações que terão de aumentar as suas capacidades em matéria de Cibersegurança, algo indispensável face à industrialização dos ataques.

Os desenvolvimentos mais recentes em Inteligência Artificial permitem escalar a identificação de vulnerabilidades e o seu encadeamento em ataques sofisticados com diminuto tempo de execução, reduzindo ainda as barreiras técnicas à entrada, o que leva a um aumento substancial dos ataques. Isto torna insustentável a persistência de abordagens pontuais e de avaliações periódicas e superficiais de segurança, tornando ainda mais crítica a monitorização de risco em contínuo.

É assim essencial que as organizações não vejam estas obrigações como mais uma taxa regulatória, a cumprir por via de mínimos, mas sim como um tema de gestão de primeira linha, tendo em conta o real e crescente nível de risco: estima-se que em Portugal mais de 40% das PME tenham sofrido alguma forma de ataque nos últimos 2 anos, e quando esse ataque é bem sucedido a probabilidade de falência a prazo ronda os 60%, em resultado da disrupção operacional e da perda de confiança de clientes e parceiros de negócio.

A limitada disponibilidade e o elevado custo de recursos especializados em Cibersegurança, e o custo e nível de know-how necessários para operar ferramentas de ciberdefesa fazem com que para a larga maioria das organizações a opção por serviços externos de prestadores especializados seja a preferível. A procura destes serviços vai ser muito superior à capacidade instalada em Portugal atualmente, colocando à prova o ecossistema nacional de prestadores de serviços de IT e Cibersegurança.

Este é portanto um momento de viragem que vemos como de oportunidade para todo o ecossistema. Mas que não será aproveitado em benefício dos clientes finais e dos prestadores com formas de trabalho que não escalam, ferramentas dispersas e dispendiosas, e linguagem técnica que os decisores da maior parte das empresas não entendem.

É por isso que entendemos que esta jornada começa com um importante primeiro passo: entender o risco e o que devemos fazer para o reduzir, passando depois a monitorizar esse risco em contínuo. O desafio para os prestadores de serviços é fazer isto em escala para os seus clientes, o que implica uma abordagem integrada, cruzando diferentes fontes de informação para criar para cada cliente uma jornada de remediação de vulnerabilidades e de capacitação explicada de forma clara. É esta visão que levou ao desenvolvimento da CyberInspect, uma plataforma integrada de serviços de diagnóstico de risco destinada a prestadores de serviços de IT, que lhes permite escalar a avaliação de risco e obter recomendações de remediação de forma simples, produtiva e tecnicamente competente.

A construção de mais maturidade em Cibersegurança não se faz na prática através de uma abordagem enciclopédica. Faz-se através de passos sucessivos e entender o risco e as suas consequências é sempre o primeiro para a jornada ter sucesso.

Texto escrito por Duarte Sousa Lopes, Director, CyberInspect.