Como a definição estratégica ajuda no operacional

O facto de estarem mais expostas ao exterior também as posiciona como alvos mais “apetecíveis” a ataques maliciosos e a ameaças cibernéticas. Ameaças, estas, que têm evoluído de forma significativa em sofisticação e “inteligência”, potenciadas pelo uso de IA, afetando empresas independentemente da sua tipologia ou área geográfica, com custos mundiais, estimados de $10.5 triliões de dólares, com o cibercrime já em 2025 (fonte: Cibersecurity Ventures).

É neste contexto, e face ao risco de disrupção, que o reforço de uma visão global e uma aposta num compromisso transfronteiriço em cibersegurança é um pilar determinante. O risco de uma disrupção da atividade devido a um ataque que provoque uma paragem abrupta da empresa ou, em casos mais graves, mesmo a sua extinção, por falta de capacidade para recuperar e dar continuidade ao negócio, é um indicador manifesto da necessidade de investir em (ciber)segurança e em resiliência operacional.

Cabe a cada empresa determinar a estratégia para implementar um programa de cibersegurança, podendo adotar uma abordagem proativa ou obrigatória. No segundo caso, empresas abrangidas pela NIS2 enfrentam danos reputacionais e coimas elevadas por incumprimento, sem garantirem atempadamente a implementação de um programa de cibersegurança alinhado com os seus requisitos, em toda a organização. É de realçar que a tónica e responsabilidade não são apenas do departamento de IT e sim de todos, sendo o impacto e o risco partilhado por todos os que constituem a organização. Principalmente, cabe a nível estratégico à gestão de topo (administração/direção) a maior responsabilização pela conformidade e adequação, assegurando num plano de alto nível que englobe:

• Definição de uma estratégia de cibersegurança;
• Identificação do enquadramento da empresa conforme os requisitos da NIS2;
• Disponibilização de recursos e competências necessárias;
• Conhecimento das atividades críticas da empresa e os riscos de cibersegurança;
• Determinação de metas e objetivos estratégicos;
• Definição de um plano de formação continuada;
• Avaliação da opção por uma certificação que mature e dê visibilidade à conformidade (ex.: ISO/IEC 27001).​

Uma vez definida a visão estratégica, a equipa designada deve avançar com a sua operacionalização. Durante este processo, pode contar com o apoio de especialistas externos, como a Redshift, a dar-se a formação interna ou competências requeridas, serem inadequadas ou incompatíveis com os objetivos.

Na primeira fase, a empresa deve realizar uma análise no sentido de averiguar a distância entre as necessidades de conformidade e os procedimentos e mecanismos existentes. Esta análise, deve ter em conta os riscos e no resultado destes, estabelecer prioridades.

Já numa segunda fase, a empresa deve adequar os requisitos a seguir à sua realidade, considerando:

• Governança em cibersegurança e gestão de riscos: estruturação da liderança de segurança, políticas e gestão de riscos;
• Inventário de ativos: identificação e gestão dos ativos críticos;
• Configuração segura de sistemas: segurança de sistemas operacionais e dispositivos;
• Gestão de contas e controlo de acessos: gestão de identidades e controlo de acessos;
• Segurança da rede: implementação de controlos de segurança e prevenção de malware;
• Análise de registos: recolha e manutenção de registos de segurança;
• Acesso remoto: criação de mecanismos de proteção para acessos externos;
• Criptografia e MFA: reforço de encriptação e autenticação segura;
• Riscos na cadeia de abastecimento: auditorias a fornecedores e prestadores de serviço;
• Gestão de vulnerabilidades: deteção e resolução de vulnerabilidades;
• Avaliações de segurança: testes e exercícios de segurança regulares;
• Segurança física: proteção de equipamentos e infraestruturas;
• Gestão de incidentes: prevenção, deteção e resposta a ciber-incidentes;
• Resiliência e continuidade de negócios: implementação de mecanismos de continuidade e recuperação;
• Reporting e relatórios: implementação de momentos de reporting à entidade nacional de cibersegurança.

​Dada a complexidade da adequação à conformidade NIS2, tanto para grandes empresas como para PME’s, a Redshift disponibiliza serviços transversais de consultoria, incluindo gestão de vulnerabilidades, gestão de riscos, sistemas SOC, CISO as a Service, Pentesting e auditorias, no sentido de reforçar as equipas internas das empresas.

Conteúdo co-produzido pela MediaNext e pela Redshift