Durante anos, a cibersegurança foi tratada em muitas empresas como um domínio quase exclusivamente técnico, associado à infraestrutura, ao departamento de tecnologias de informação e à reação a incidentes. Essa leitura está a mudar, sobretudo num contexto em que as PME dependem cada vez mais de plataformas digitais para vender, faturar, comunicar com clientes, gerir operações e integrar cadeias de fornecimento mais exigentes.

Foi essa a ideia que atravessou a talk “Cibersegurança nas PME. O papel da confiança digital no crescimento e na inovação”, integrada no Prémio Nacional de Inovação, realizada no BPI, e que contou com a participação de Frederico Santos Moura, Chief Information Security Officer do BPI, Pedro Norton Barbosa, CEO da Skill & Reach, e Rui Custódio, Head of B2B Services Business Unit da NOS.

A ideia de que as PME passam ao lado do radar do cibercrime foi uma das primeiras a cair. Rui Custódio rejeitou esse argumento e lembrou que num país em que mais de 99% do tecido empresarial é composto por micro, pequenas e médias empresas, seria pouco plausível que esse universo não estivesse entre os principais alvos. Para o responsável da NOS, o problema não está apenas na sofisticação das ameaças. Está também na forma como muitas empresas ainda olham para o tema. “Com equipas reduzidas, restrições orçamentais e empresários que acumulam funções, a cibersegurança tende a ser adiada”. Esse adiamento, defendeu, aumenta a exposição e agrava a vulnerabilidade operacional. “O que precisamos de fazer é transformar o risco, que todos conhecemos e que existe em qualquer empresa, pequena, média ou grande, numa prioridade de ação.”

No caso da banca, essa relação é ainda mais evidente. Frederico Santos Moura, Chief Information Security Officer do BPI, recordou que a confiança está no centro da atividade. “A banca é um negócio de confiança”, afirmou sublinhando que os clientes esperam disponibilidade, segurança e transparência permanentes. Mas a leitura deixada para as PME não foi a de que devam copiar os modelos do setor financeiro. Foi antes a de que devem adotar os princípios que o sustentam. Para o responsável do BPI, a primeira questão é perceber o que está realmente em risco em cada empresa. Isso implica identificar ativos, perceber quais os processos mais críticos e avaliar o impacto real de uma interrupção. “Não posso proteger aquilo que não conheço”, resumiu. Numa PME, isso pode significar olhar para a faturação, para a relação com clientes, para uma plataforma de comércio eletrónico ou para sistemas sem os quais a operação fica comprometida.

Do risco técnico ao risco de negócio

É aqui que a cibersegurança sai do plano estritamente técnico e entra no da gestão. Em vez de ser descrita apenas em linguagem de firewalls, vulnerabilidades ou servidores, passa a ser explicada em termos de perda de receita, indisponibilidade de serviço, impacto reputacional ou quebra de confiança. Segundo Frederico Santos Moura, é essa mudança de linguagem que torna o tema inteligível para a administração. “A cibersegurança deve ser encarada não como uma questão de informática, mas como um tema de negócio.” A diferença é tudo menos semântica. Um problema descrito em termos técnicos pode não mobilizar a gestão. Mas a mesma situação, apresentada como risco para a operação comercial, para a relação com o cliente ou para a continuidade do serviço, ganha outro peso na decisão. E acrescentou que “um incidente grave não afeta apenas os sistemas. Afeta a confiança dos clientes. E a confiança dos clientes afeta o negócio”.

Pedro Norton Barbosa defendeu que a confiança digital é hoje um ativo económico. Num ambiente em que compras, pagamentos, dados, operações e cadeias de valor dependem de plataformas tecnológicas, a segurança deixou de ser apenas uma camada de proteção. Tornou-se parte do próprio funcionamento do mercado. “A confiança digital está na génese dos negócios”, afirmou. Na perspetiva do CEO da Skill & Reach, um dos problemas é que a cibersegurança continua a ser apresentada a muitas empresas como um assunto demasiado complexo, carregado de linguagem técnica e pouco traduzido para a realidade operacional. Isso cria distância e alimenta adiamentos. “Simplificar neste caso não significa desvalorizar o risco. Significa torná-lo acionável”, defendeu.

É também essa leitura económica que Rui Custódio usou para enquadrar o investimento em segurança. Em vez de olhar para a cibersegurança apenas como custo, propôs uma conta mais simples. Quanto custa parar. Quanto custa deixar de faturar. Quanto custa perder visibilidade sobre encomendas, pagamentos, contas correntes ou relação com fornecedores. “Não olhar para a segurança como um custo, mas como uma vantagem competitiva” foi a síntese deixada pelo responsável da NOS. E a comparação que fez com os travões de um carro ajuda a perceber a lógica. “A cibersegurança não é um travão ao crescimento. É o que permite acelerar com confiança.” Numa economia cada vez mais digital, a proteção adequada pode reforçar a credibilidade, facilitar relações contratuais e tornar a empresa mais preparada para responder às exigências de clientes, parceiros e reguladores.

O mínimo indispensável para reduzir a exposição

Se a primeira parte da discussão centrou a cibersegurança na lógica do negócio, a segunda trouxe o tema para um plano mais operativo. E aqui os três especialistas convergiram numa ideia importante. As PME não precisam de começar por soluções muito sofisticadas. Precisam de começar pelo essencial, com prioridades claras e com disciplina básica de execução.

Pedro Norton Barbosa apontou cinco pilares transversais a qualquer organização. O primeiro é a autenticação multifator. O segundo é a gestão de vulnerabilidades, sobretudo das que estão expostas e podem servir de porta de entrada. O terceiro é a formação dos utilizadores. O quarto assenta em soluções mais avançadas de deteção e resposta. O quinto está na capacidade de recuperação após incidente. “O primeiro é a autenticação multifator”, resumiu, explicando que a simples combinação de login e palavra-passe já não responde ao nível de ameaça atual.

Ao falar de vulnerabilidades, Pedro Norton Barbosa recorreu à imagem de um castelo. As vulnerabilidades são fissuras nas muralhas que, se não forem corrigidas, se tornam pontos de entrada. Numa empresa cuja operação depende de uma loja online, por exemplo, a pergunta deixa de ser abstrata. O que acontece ao negócio se essa loja parar amanhã. “O que temos de fazer é equacionar os cenários. O que pode correr mal?”, afirmou, aproximando a segurança da continuidade operacional.

Rui Custódio retomou vários destes pontos sob a ideia de ciber-higiene. Para empresas pequenas, com estruturas curtas e lideranças pressionadas pelo dia a dia, o mais importante é começar. Isso passa por ativar a autenticação multifator ao ligar-se aos sistemas, manter os sistemas operativos e as plataformas atualizados, proteger os ativos mais importantes da empresa, testar backups e adotar mecanismos de deteção capazes de conter ataques em contexto remoto e de mobilidade. E deixou um aviso. “Ter backups é fundamental, mas mais importante ainda é garantir que eles funcionam.”

A relevância deste ponto aumenta num contexto em que os acessos ao negócio já não estão concentrados apenas em computadores ou servidores internos. Os telemóveis tornaram-se uma extensão da operação e da decisão de gestores e empresários, muitas vezes sem o mesmo nível de proteção dos computadores de trabalho. A superfície de exposição alargou-se e tornou-se mais distribuída. Para as PME, isso implica rever a noção tradicional de perímetro e aceitar que a segurança já não está confinada a um espaço técnico delimitado.

Também a componente humana foi apresentada como decisiva. Pedro Norton Barbosa lembrou que uma parte relevante dos incidentes continua a explorar credenciais roubadas, vulnerabilidades expostas e ataques de phishing. “Temos de dotar os colaboradores dos conhecimentos mínimos para que sejam uma linha de defesa das próprias instituições”, afirmou. A mensagem é particularmente relevante para PME em que a proximidade entre equipas, a rapidez na execução e a informalidade dos processos podem facilitar falhas básicas.

A recomendação mais estrutural de Frederico Santos Moura começa, ainda assim, antes da tecnologia. O ponto de partida, insistiu, é mapear os ativos críticos e perceber quais exigem maior proteção. Só depois faz sentido aplicar medidas, investir recursos e definir prioridades. A lógica é simples. Sem saber o que é crítico, a empresa arrisca tratar por igual o que tem importância muito diferente para a continuidade da operação.

Entre competências internas e apoio externo

A escassez de recursos é uma realidade comum ao universo das PME e a cibersegurança não foge à regra. Uma das questões mais práticas do debate passou por perceber se faz mais sentido construir competências dentro de casa ou recorrer a parceiros especializados. Rui Custódio considerou que externalizar faz sentido, sobretudo porque o mercado enfrenta uma escassez persistente de talento e porque operadores com escala conseguem concentrar ferramentas, experiência acumulada e equipas especializadas. Ainda assim, deixou um aviso importante. “O recurso a serviços geridos não dispensa a empresa de manter controlo, visibilidade e a capacidade de decisão sobre o que está a acontecer. A cultura de segurança não se delega por inteiro”.

Frederico Santos Moura concordou com essa perspetiva. Na sua leitura, “a governação, a visão e a decisão devem permanecer dentro da empresa, sobretudo a partir de certa dimensão, mas isso não significa internalizar todas as competências técnicas”. O modelo híbrido pode ser a solução mais racional do ponto de vista financeiro, permitindo às PME ter acesso a conhecimento especializado sem suportar toda a estrutura em permanência.

Pedro Norton Barbosa enquadrou essa realidade no problema mais vasto da falta de profissionais qualificados. A superfície de ataque cresceu, as necessidades dispararam e a procura por talento especializado continua a superar a oferta. Nesse contexto, “a externalização pode ajudar, mas não substitui a necessidade de existir dentro da empresa uma cultura de segurança e uma noção clara do risco que se quer gerir”.

Inovar com risco conhecido

Sendo esta talk parte do Prémio Nacional de Inovação, a relação entre segurança e inovação surgiu de forma natural. E também aqui a mensagem foi convergente. A cibersegurança não é o oposto da inovação. É uma das condições para inovar de forma sustentável.

Um incidente sério não compromete apenas dados ou sistemas. Pode travar vendas, afetar reputação, interromper operações, atrasar pagamentos e abalar a confiança de clientes e parceiros. Quando isso acontece, a questão deixa de ser tecnológica. Passa a ser empresarial.

A cibersegurança das PME não exige uma arquitetura pesada nem um orçamento comparável ao das grandes organizações. Exige sobretudo uma mudança de olhar. Deixar de a ver como um tema técnico e passar a tratá-la como parte do modelo de negócio.