Os ciberataques são um risco para as PME?

Os serviços relacionados com risco e conformidade, de forma muito simples, relacionam-se com todas as dimensões de gestão dentro de uma organização que por motivos regulatórios, de relação com stakeholders ou de boas práticas de mercado estão sujeitos à implementação de um conjunto de regras e normas para garantir o seu bom funcionamento.

Um exemplo evidente que decorre da Lei tem que ver com as normas que previnem o branqueamento de capitais ou o financiamento de atividades terroristas, e que se aplicam ao setor financeiro e não só. A aplicação destas normas visa a proteção do mercado e da própria organização.

Tal como para outro tema com bastante atualidade e que se relaciona com a Cibersegurança. O risco é sobejamente conhecido e os exemplos recentes em grandes organizações estão ainda na memória de todos. Mas não são apenas as grandes organizações que estão sujeitas a estes ataques. São todas. E um ataque destes coloca em causa a sustentabilidade da atividade das empresas. Hoje uma média ou pequena empresa tem tanto risco de exposição a um ciberataque como uma grande. E “não acontece apenas aos grandes!”

Como em tantas outras dimensões de gestão, a melhor forma de proteger o negócio é por antecipação, atuando diretamente na definição do modelo de Cibersegurança.

Para uma empresa sem qualquer tipo de preparação ou defesas, o risco de um ciberataque implica, nas condições mais severas, deixar de operar no mercado. No sentido de reduzir o risco de exposição a estes imprevistos, é importante criar um Plano de Continuidade de Negócio, ou seja, uma alternativa para que a empresa continue a operar no mais curto espaço de tempo e o mais próximo do estado habitual.

Em paralelo, coloca-se a questão de ter um Plano de Recuperação de Desastre (DRP), o qual, para além da identificação de todas as ferramentas, visa proceder à reposição de todas as suas finalidades, utilizando backups e outros instrumentos para ultrapassar as barreiras criadas pelo ataque informático.

Torna-se igualmente importante que toda a organização tenha conhecimento prévio da forma como atuar nestas situações e que papel cabe a cada um. No fundo, um manual de crise para a comunicação interna.

Um dos maiores desafios é o desconhecimento por parte dos gestores de quais podem ser os riscos reais, e que vão muito além das ameaças mais conhecidas. Não se espera que o número de ciberataques diminua num futuro próximo. Além disso, o aumento dos pontos de entrada para ataques aumenta a necessidade de proteger redes e dispositivos.

É também desconhecido pela maior parte das equipas de gestão quais as novas tecnologias, tendências de segurança e inteligência de ameaças para proteger a informação e outros bens das ameaças cibernéticas, que assumem muitas formas (Malware, Phishing, Ransomware, social engineering, Spear phishing, Insider threats, Distributed denial-of-service (DDoS) attacks, Advanced persistent threats (APTs), entre outras).

A formação regular e a sensibilização para a segurança ajudará a que as equipas façam a sua parte para manter a empresa mais bem preparada e a salvo de ameaças cibernéticas e com competência para, numa 1ª linha analisar, perceber, gerir e responder a incidentes.

Uma vantagem competitiva para as organizações se apresentarem mais capacitados para este “combate aberto” passa pela implementação de um processo de automatização (Automation) que se tornou uma componente integral para manter as empresas protegidas do crescente número de ataques e da sofisticação das ameaças cibernéticas.

Como forma de assegurar uma gestão adequada do risco, é recomendável que a empresa assegure o seguinte roadmap, internamente ou com apoio de um consultor com o devido e reconhecido track record:

• Implementar um moderno e robusto sistema de proteção, incluindo a reorganização dos processos, a adequação legal e assunção da tecnologia update e ajustada, de forma a corresponder aos mais recentes desafios no âmbito da proteção de sistemas de informação, evitando, deste modo graves prejuízos materiais, reputacionais e financeiros.
• Complementar o projeto com uma componente, essencial, de formação, com vista a dotar os Colaboradores dos conhecimentos necessários ao sucesso de uma estratégia tecnológica proactiva, integrada e com capacidade de deteção de ameaças precisas e posterior recuperação de desastres.
• Identificar os riscos decorrentes do levantamento de procedimentos, com a criação de uma matriz de risco para controlo e a implementação de processos que contemplem medidas de mitigação adequadas aos riscos detetados.
• ­Como forma de receber também um reconhecimento formal, pode ainda ambicionar obter a certificação do sistema implementado pelo referencial ISO 27001.

Assegurando uma adequada estratégia de cibersegurança, a empresa está a corresponder à preocupação de implementar soluções capazes de antecipar e mitigar os riscos, impulsionando o desempenho do negócio através de politicas, procedimentos e praticas que visem assegurar uma gestão sã e prudente da sua atividade.