Montar o puzzle regulamentar da cibersegurança

As organizações europeias estão a experimentar um período rigoroso no que concerne à regulamentação em matéria de cibersegurança. É inegável que a NIS2 procura assegurar o cumprimento dos requisitos por ela emanados dotando os Estados-Membros de capacidades de supervisão e execução das atividades de fiscalização, auditoria e acompanhamento. São também definidas sanções que incluem instruções vinculativas que findam, ou deviam findar, com o estigma da falta de efetividade destes regulamentos em Portugal.

Todavia, este tipo de diplomas não é novo, principalmente para setores bastante regulados como a banca, seguros ou telecomunicações. Ainda assim, para pequenas e médias empresas, que são a esmagadora maioria em Portugal, é um fator de ansiedade e disrupção financeira provocada pela escassez de conhecimento, fraco aconselhamento e inexistência de um plano estratégico para montar o difícil puzzle da cibersegurança.

Felizmente, opiniões alicerçadas na ideia de adquirir mais tecnologia para garantir conformidade com os regulamentos estão a desvanecer, emergindo no seu lugar o conceito de governo de cibersegurança baseado na gestão de risco.

Desta forma, a primeira peça do puzzle consiste em identificar as boas práticas que devem guiar a melhoria continua. Cada organização deve escolher quais os referenciais pelos quais irá alinhar a cibersegurança e realizar uma análise de maturidade ao seu estado atual para viabilizar a elaboração do seu plano estratégico onde deve identificar esforço e custo de cada ação necessária. Neste capítulo, o QNRCS é um importante compêndio que permite às organizações reduzir o risco associado às ciberameaças, disponibilizando as bases para o cumprimento dos requisitos mínimos de segurança das redes e sistemas de informação.

A segunda peça tem impressa a temática de gestão de risco. É essencial inventariar todos os ativos, identificando os essenciais à atividade de cada organização. Aqui, para além dos ativos tecnológicos de software e hardware, aconselha-se o alargamento às pessoas, instalações e fornecedores. Com este inventário e uma metodologia de gestão de risco previamente aprovada é possível identificar os principais riscos aos quais cada organização está sujeita para atribuir os recursos adequados à sua mitigação com vista a uma melhoria sustentável a longo prazo.

A terceira peça do puzzle vem alicerçada à necessidade de obter compromisso e viabilizar a cultura de cibersegurança. A forma mais eficaz de o fazer é a definição documental por via de políticas, normas e procedimentos que devem refletir os controlos implementados e ser do conhecimento de todos os colaboradores por forma a facilitar a compreensão e diminuir a resistência interna à mudança.

As seguintes peças mapeiam com a implementação das ações dispostas no plano estratégico e dos riscos identificados para aumentar a maturidade e mitigar risco acima do apetite da organização, sempre com base nos requisitos documentados. Estes ainda podem ainda ser transferidos para outras entidades. Aqui, uma das soluções, é o mercado segurador que poderá configurar uma salvaguarda vital para as organizações com menos capacidade financeira para resistir ciberataques.

Para concluir, quando confrontadas com este tipo de desafios, algumas organizações consideram-nos adversidades enquanto outras veem oportunidades. Quem optar pela primeira opção claramente entrou no comboio errado e sentirá dificuldades tanto ao nível tecnológico como de negócio. A NIS2 deve ser vista como uma oportunidade de rever e corrigir as falhas de cibersegurança e preparar o futuro incorporando práticas e rotinas robustas, inclusive na cadeira de fornecimento, considerando sempre a partilha e a cooperação em comunidade.

Conteúdo co-produzido pela MediaNext e pela LAYER8