Ao longo dos anos as organizações têm vindo a ser confrontadas com o impacto devastador que um ciberataque pode ter, com consequências graves não só para o negócio, mas também para a própria reputação da marca e para colaboradores e parceiros de negócio.

Esse impacto pode ser caracterizado em três cenários: impacto financeiro direto, quando há um roubo de dados que resulta em coima aplicada ao abrigo da regulação de proteção de dados; perdas de reputação, por colocar em causa a confiança depositada numa marca, que demora a ser criada e pode ser destruída em minutos; e, por fim, perdas operacionais decorrentes da impossibilidade de manter funções vitais a funcionar, como a presença na Internet (fundamental para o comércio eletrónico), as operações industriais (que dependem cada vez mais dos sistemas de informação), o apoio a clientes (dependente de bases de dados que guardam o histórico da relação), ou até funções de apoio como faturação e gestão de recursos humanos.

No entanto, existem organizações que já há algum tempo tentam antecipar estes ciber-riscos. Normalmente, são empresas para quem a confiança entre empresa e parceiros é crucial para o bom funcionamento do seu negócio. É o caso, por exemplo, dos setores da banca e dos seguros. Aqui há um reforço no sentido de melhor se protegerem, como forma de garantirem a tal confiança que é imprescindível para as relações comerciais e todo o fluxo de informação registado diariamente. Com isto, as vantagens para o negócio são claras e incontestáveis.

A integração do domínio cibernético na gestão de risco das empresas é vital e o atual contexto de trabalho e de consumo à distância veio acentuar ainda mais essa importância. Um dos principais erros é olhar para este tema como estando apenas relacionado com a área tecnológica, mas a cibersegurança deve ser sempre encarada como um todo, transversal a várias áreas e setores.

A tecnologia está presente em praticamente todas as áreas de uma organização, o que torna necessário olhar não só para a gestão da segurança ao nível interno, mas sobretudo para todo o ecossistema com que interage. É desanimador assistir a organizações que apostam na cibersegurança, com políticas, procedimentos e sistemas de segurança internos, mas que permitem o acesso total à sua infraestrutura por parte de equipas de "outsourcing", com dispositivos desprotegidos, e a colocam em risco. A isto chamamos "risco de terceiros".

No caso de Portugal, as organizações têm ainda um longo caminho a percorrer na correta gestão dos ciber-riscos. O que observamos no mercado atual – como é uma área ainda emergente, com ameaças muito complexas, aplicações atualizadas diariamente com novas funcionalidades e com uma superfície de ataques diversificada – é que as organizações reagem às necessidades imediatas, seguindo muitas vezes tendências de adoção de tecnologias por imitação, sem saber distanciar-se o suficiente para conseguir ver o risco adicional que essa tecnologia pode trazer.

Quando desempenha o seu papel de forma correta, a área da cibersegurança é invisível e geralmente apenas é falada pelos maus motivos, o que leva a que seja encarada como um custo, resultante muitas vezes do desconhecimento e incerteza. Contudo, importa refletir e lembrar que uma gestão correta dos ciber-riscos tem um impacto direto na valorização das organizações, trazendo maior confiança e rapidez na adoção de soluções inovadoras para o negócio, o que faz com que empresas ciberseguras, tipicamente, valham mais.

Head of Audit da S21sec