A evolução da digitalização na sociedade a par da popularização do trabalho remoto criou uma maior exposição das organizações aos ciber riscos.
Esta maior exposição não tem sido acompanhada pelos investimentos necessários na cibersegurança, criando condições favoráveis à proliferação de ataques de atores cada vez mais sofisticados.
De acordo com dados do relatório EY Global Information Security Survey 2021 (GISS), mais de um terço (36%) dos inquiridos nas organizações espera sofrer um grande ataque, que poderia ter sido evitado através de um maior investimento em segurança e 77% dos inquiridos constataram um aumento no número de ataques disruptivos.
As ameaças no ciberespaço estão a evoluir
De acordo com informação da ENISA (European Union Agency for Cybersecurity), a motivação dos atacantes continua a ser maioritariamente motivada pelo retorno financeiro, com um foco na disrupção das organizações, que é acompanhado pela evolução da complexidade e maior especialização.
O Ransomware, exemplo paradigmático, tornou-se um ataque comum e um modelo de negócio eficaz para os agentes maliciosos. Este tipo de ataque tem vindo a evoluir para além das organizações e a atingir os seus clientes e parceiros, com o objetivo de maximizar o impacto e assim exigir maiores resgates, tendo mesmo duplicado o valor médio, de acordo com a informação da ENISA.
Uma outra tendência que se tem vindo a verificar, e que é visível nas notícias mais recentes, trata-se do aumento dos ataques que têm por alvo os serviços essenciais: energia (eletricidade, petróleo e gás), transportes (aéreo, ferroviário, marítimo, rodoviário), bancário, infraestruturas do mercado financeiro, saúde (instalações de prestação de cuidados de saúde), fornecimento e distribuição de água potável e infraestruturas digitais.
A resposta das organizações é em muitos casos insuficiente
A tendência de agravamento e de sofisticação dos ataques é um fator que explica que apenas 9% inquiridos no GISS, em comparação com 20% no ano anterior, se consideram confiantes sobre as medidas de mitigação que possam proteger a sua organização de grandes ciber ataques. Por outro lado, os investimentos na segurança continuam aquém das necessidades, com 4 em 10 inquiridos (39%) a indicar que o orçamento em cibersegurança não permite gerir os novos desafios e a tomar medidas extraordinárias.
A falta de orçamento para as necessidades atuais em cibersegurança é um dos fatores que têm levado os CISOs (Chief Information Security Officers) a desistir de algumas atividades estratégicas e a repensar requisitos em cibersegurança.
A regulamentação continua a ser um fator dinamizador na cibersegurança
Face ao ritmo de evolução dos riscos, as autoridades vêm ao longo dos anos a publicar maior regulamentação para a cibersegurança e continuidade de negócio, criando exigências a nível geral e sectorial e mecanismos de fiscalização.
As organizações que operam a nível da cibersegurança veem por isso a proliferação de requisitos (SWIFT CSP, DSP2, TIBER EU, Decreto lei n.º 65/2021, e outros), que, por um lado servem de fator dinamizador da cibersegurança, mas que, por outro, criam desafios difíceis de ultrapassar.
As organizações devem atuar na segurança e na resiliência
As organizações que pretendem responder às necessidades atuais devem atuar na maturidade das suas funções de cibersegurança capacitando-se em processos eficazes e pessoas qualificadas, apoiadas em tecnologia sólida, garantindo a colaboração entre cibersegurança e ciber resiliência.
Uma organização com um programa de resiliência eficaz mantém um estado de prontidão para os eventos de cibersegurança, sendo capaz de atuar de forma adequada na prevenção, durante a ocorrência e após um incidente.
Na prevenção e antecipação de incidentes e interrupções de serviço, é capaz de limitar ou conter o impacto dos mesmos. Tem implementado um modelo de governo sólido e consegue identificar corretamente o seu contexto para gerir adequadamente o risco, os ativos e os terceiros. Aplica os controlos apropriados para proteger os seus ativos.
Na ocorrência de um incidente, é eficaz na deteção, resposta e recuperação. Aplica as medidas apropriadas para detetar a ocorrência de eventos de cibersegurança e toma as acções mais adequadas para conter os impactos. Tem uma gestão de incidentes e de crise sólidas e uma comunicação eficaz. Tem mecanismos de recuperação que permitem restaurar quaisquer recursos ou serviços que tenham sido afetados, minimizando os impactos dos incidentes.
Após um incidente, tem a capacidade de analisar o evento de cibersegurança e tirar partido das lições aprendidas para endereçar as fragilidades detetadas e dotar-se de maior resiliência para o futuro.