ITS Conf

Lino Santos: “O vilão não é o número de incidentes, é o impacto decorrente desses incidentes” (com vídeo)

A 2.ª edição da IT Security Conference estreou-se com o keynote de Lino Santos, Coordenador do CNCS, que identificou o bom, o mau e o vilão da cibersegurança em Portugal

Por Rita Sousa e Silva . 17/10/2023

Lino Santos: “O vilão não é o número de incidentes, é o impacto decorrente desses incidentes” (com vídeo)

A segunda edição da IT Security Conference, que decorreu no passado dia 12 de setembro, n’O Clube - Monsanto Secret Spot, arrancou com a subida ao palco de Lino Santos, Coordenador do Centro Nacional de Cibersegurança (CNCS), que apresentou o panorama da cibersegurança em Portugal, em três diferentes segmentos: o bom (aspetos positivos), o mau (aspetos críticos) e o vilão (ameaças).

"A base para nós conseguirmos definir o que é que está a correr bem e o que é que está a correr mal não é de todo uma perceção", começa Lino Santos. Todos os anos, o CNCS produz um conjunto de relatórios que mede os mesmos indicadores, o que permite compreender a sua "evolução ou a não evolução" ao longo do tempo, possibilitando "orientar os nossos instrumentos" e "desenvolver as políticas públicas de uma forma mais focada".

 

O bom

"Temos uma melhor perceção dos utilizadores e a atenção relativamente ao tratamento dos seus dados pessoais", aponta o Coordenador do CNCS. Em 2021, 71% dos utilizadores afirmaram gerir o acesso aos seus dados de algum modo, representando um aumento de 3% comparativamente a 2020.

Atualmente, existe uma maior oferta de formação especializada na área de cibersegurança, com um total de 25 cursos superiores, sendo que, em 2022, registaram-se mais três cursos em relação a 2021. A procura tem acompanhado a oferta, verificando-se um aumento no número de alunos inscritos nestes mesmos cursos.

Ao longo do tempo, a Administração Pública (AP) tem vindo a adotar cada vez mais medidas de cibersegurança. "Diria que aqui há um reflexo bastante importante daquilo que é o investimento que as várias áreas governativas estão a fazer na sua transição digital, com recurso a financiamentos europeus", constata Lino Santos.

O "crescimento da cultura de cibersegurança para um report dos incidentes" pelas PME é outro ponto positivo do panorama português, refere. Das empresas que sofrem incidentes, 81% afirmaram reportar a alguma autoridade em 2021, tendo em conta que a média da União Europeia (UE) é de 54%. "Isso ajuda-nos a trabalhar, ajuda-nos a identificar problemas e ajuda-nos a ajudar outras organizações", sublinha o profissional do CNCS.

Observou-se também uma melhoria da cooperação através de Centros de Análise e Partilha de Informação (ISAC), existindo seis consoladas em 2023. "São instrumentos que nos permite, por um lado, fazer alerta rápido às organizações e, por outro, com este efeito de rede, melhorar as competências e maturidade das organizações menos experientes quando estão num grupo onde existem organizações mais experientes", explica.

Por fim, Lino Santos destaca a crescente atenção da UE à cibersegurança, que tem "liderado esta senda regulatória das novas tecnologias e da segurança da informação de uma forma que é exemplar para o resto do mundo", com o desenvolvimento da NIS 2 e da lei da IA, por exemplo.

O mau

No que aos aspetos críticos diz respeito, Lino Santos começou por identificar a falta de recursos especializados no mercado, assim como o elevado custo associado, e a "grande" rotatividade dentro das organizações. "Apesar do aumento do número de inscritos em cursos relacionados com cibersegurança, a demanda por parte das organizações, sejam públicas ou privadas, continua a ser muito elevada e o caudal que as universidades disponibilizam não é de todo suficiente", alerta. "Temos que apostar na requalificação de pessoas".

A esmagadora maioria dos profissionais da área de cibersegurança (84%) são homens, existindo poucas mulheres no setor. 

Além disto, existe "uma insipiente inovação na área da cibersegurança seja dentro das organizações, seja na criação de novos produtos ou até da própria indústria de cibersegurança, que não está ao nível dos nossos congêneres europeus". Neste sentido, é notável uma falta de investimento do desenvolvimento de produtos e serviços em cibersegurança, existindo somente uma patente por 94 publicações científicas em Portugal entre 2017 e 2021.

Cursos superiores especializados à parte, o CNCS verificou uma pouca presença de disciplinas de cibersegurança nos cursos superiores de Ciências Informáticos, sendo que esta temática foi explorada em apenas 44% dos cursos em 2022. Lino Santos defende que "criar uma cultura de cibersegurança no nosso país significa introduzir o tema em todas as áreas do saber e significa introduzir o tema desde os graus de ensino mais baixos, ou seja, desde o ensino básico".

"Há uma pouca atenção das organizações para as competências básicas de cibersegurança", refere o Coordenador do CNCS, considerando insuficientes as ações de sensibilização obrigatórias. "Do número de incidentes que nós tratamos, 53% - mais de metade dos incidentes - o que é explorado não é o sistema informático. O que é explorado é o fator humano", completa, reforçando a importância do investimento nas competências digitais dos funcionários.

O vilão

O vilão da cibersegurança – tanto em Portugal como no mundo – é claro: "o vilão não é o número de incidentes; o vilão é o impacto decorrente desses incidentes que têm tendência a aumentar". Para Lino Santos, o caminho para combater os incidentes passa pelo foco "mais na prevenção e menos na reação".

O Coordenador do CNCS destaca que os incidentes têm tendência a aumentar "por causa do ransomware e por causa dos ataques de negação de serviço". O impacto sentido nas organizações decorrente de ataques de ransomware é "traumático", reforça. "Todas as semanas temos uma ou duas PME, um ou dois municípios que param completamente" durante uma semana e, em alguns casos, até um mês até à recuperação de serviços essenciais.

O desafio

Lino Santos termina o seu keynote com uma mensagem positiva. "Nós estamos a viver um momento muito importante da cibersegurança em Portugal", indicando iniciativas como NIS 2, QNRCS, Guião para a Gestão de Riscos, MOOC, Panorama e ENSC 3.0.

No mês passado, o CNCS viu "duplicado o nosso quadro de pessoal", revela o Coordenador. "Temos as condições para fazer mais e melhor", finaliza.

 

A IT Security Conference volta a 10 de outubro de 2024!


NOTÍCIAS RELACIONADAS

RECOMENDADO PELOS LEITORES

REVISTA DIGITAL

IT SECURITY Nº20 Outubro 2024

IT SECURITY Nº20 Outubro 2024

NEWSLETTER

Receba todas as novidades na sua caixa de correio!

O nosso website usa cookies para garantir uma melhor experiência de utilização.