Ciberconsciência

Partindo deste pressuposto, é fundamental assentarmos as nossas práticas e políticas relacionadas com a segurança da informação e em particular a cibersegurança, em três Cs: consciencialização, compromisso e colaboração.

Consciencialização da gestão de topo que aprova e monitoriza uma estratégia para a segurança, dos utilizadores no uso da tecnologia, sejam equipamentos ou aplicações e naturalmente dos especialistas TI que planeiam, implementam e gerem as soluções tecnológicas garantindo a aplicação de todas as medidas de segurança necessárias à sua utilização.

Compromisso da gestão de topo em garantir o cumprimento e aplicação de uma estratégia (muitas vezes pelo exemplo!), dos utilizadores no respeito pelas regras definidas e compromisso dos especialistas TI na busca das melhores e mais eficazes soluções, de forma permanente e sistemática.

E finalmente a colaboração, seja esta formal ao nível institucional, envolvendo entidades, reguladores e promovendo a adoção de standards e normas, seja informal, envolvendo decisores, especialistas e mesmo utilizadores, promovendo a partilha de boas práticas e a troca de experiências, em redes informais ou fóruns e grupos especializados.

As instituições de ensino superior devem assumir estes princípios, não só internamente, mas na sua relação com o exterior, seja ao nível académico, de investigação ou mesmo de cooperação institucional. O ensino superior é um excelente exemplo de um ecossistema “vivo” e dinâmico que contribui para uma estratégia eficaz e ativa no que diz respeito à cibersegurança. Basta pensarmos que nos primórdios da internet em Portugal, nos anos 90 do século passado, foi lançado o projeto “Internet nas Escolas”, coordenado pela FCCN (Fundação para a Computação Científica Nacional) e apoiado por diversas Universidades e Politécnicos. Neste mesmo espírito de colaboração foi lançado posteriormente o projeto “Internet Segura” que é hoje um consórcio alargado de entidades públicas e privadas e que passou a ser coordenado pelo entretanto criado CNCS (Centro Nacional de Cibersegurança). Este é um exemplo de como se devem aplicar os três Cs e que podemos encontrar em iniciativas que, com o evoluir da Internet em âmbito e complexidade, se têm vindo a consolidar a nível nacional e internacional. É o caso da Rede Nacional de CSIRTs constituída em 2008 e que tem como principais objetivos a promoção de uma cultura de segurança em Portugal através da cooperação e da monitorização de incidentes. Um fórum (in) formal nacional de equipas de resposta a incidente, baseado em linhas orientadoras simples, secretariado pelo CNCS, apoiado pelo RCTS-CERT, o serviço de resposta a incidentes de segurança informática da RCTS (Rede Ciência, Tecnologia e Sociedade) e que conta como membros com inúmeras entidades públicas e privadas, instituições de ensino superior, fornecedores, fabricantes e operadores.

Um outro exemplo de aplicação dos três Cs é a Metared Portugal. Trata-se de uma associação de instituições de ensino superior públicas e privadas portuguesas, aberta igualmente a outras entidades da administração publica que desenvolvam atividade relevante no domínio das TIC e em particular na sua aplicação no âmbito do ensino superior. A sua intervenção foca-se em quatro domínios: transformação digital, tecnologias educativas, gestão de serviços de TI e cibersegurança e proteção de dados. Este último domínio tem sido dos mais dinâmicos quer a nível nacional quer mesmo internacional (a Metared existe igualmente na Argentina, Brasil, América Central e Caribe, Chile, Colômbia, Equador, Espanha, México e Perú) e dois dos resultados mais recentes são o lançamento de um Kit de Sensibilização para a Cibersegurança, em parceria com a FCT/FCCN e o CNCS e, também com o apoio destas entidades, a promoção da segunda edição do concurso CTF2021 “Defending the SOC”. Trata-se de uma iniciativa que tem como principal objetivo a capacitação dos membros da comunidade académica (estudantes, técnicos e especialistas) no domínio da cibersegurança através da realização de diversas provas de grau de dificuldade variado.

Uma Universidade é um ecossistema heterogéneo de indivíduos, de práticas, de conhecimento movido em grande medida por uma cultura não conformista, crítica e exigente. Com a COVID-19 as Universidades transitaram para o ensino e trabalho remoto de forma rápida, mas brusca e nem sempre com os melhores resultados ou adotando as melhores práticas. Foi um esforço notável das instituições e dos seus alunos, professores, investigadores e funcionários. Mas foi sobretudo um desafio para os especialistas TI que para além dos aspetos operacionais são cada vez mais confrontados com riscos de segurança e vulnerabilidades ao nível dos utilizadores, das infraestruturas e dos sistemas e aplicações. Assim, a Academia deve estar preparada para um próximo futuro de maior segurança e privacidade. Os desafios de segurança de curto prazo deste “novo normal” são as preocupações de ontem e representam uma grande oportunidade. E mais do que nunca, os três Cs são indispensáveis:

Consciencialização, Compromisso e Colaboração como forma de assegurar um quarto C: a Confiança . . . dos utilizadores, nos sistemas, nas infraestruturas, nos serviços!