Banner A sustentabilidade o consumo e as empresas rivalidade ou simbiose

Na roda da Cibersegurança, todos, sem exceção, têm um importante papel e missão a cumprir. Um sistema adequado de gestão do risco acompanhado de boas práticas, formação e sensibilização das pessoas ajudará, decerto, a refletir e interiorizar a cultura da Cibersegurança a praticar nas empresas.

A Resolução do Conselho de Ministros (RCM) n.º 108/2019, de 5 de junho, aprovou a Estratégia Nacional de Segurança do Ciberespaço 2019-2023. (ENSC) Nela, define-se a Cibersegurança como o conjunto de “medidas e ações de prevenção, monitorização, deteção, reação, análise e correção que visam manter o estado de segurança desejado e garantir a confidencialidade, integridade, disponibilidade e não repúdio da informação, das redes e sistemas de informação no ciberespaço, e das pessoas que nele interagem”.

Com relação aos Direitos Humanos a ENSC expressamente refere: “. A Estratégia assenta (…) na estrita observância da Convenção Europeia dos Direitos do Homem e das Liberdades Fundamentais do Conselho da Europa, da Carta dos Direitos Fundamentais da União Europeia, da proteção dos direitos fundamentais, a liberdade de expressão, os dados pessoais e a privacidade”.

Consequentemente a implementação, como se verá, de uma Cultura para a Cibersegurança nas empresas com vista a garantir o triângulo dos objetivos da segurança que são a confidencialidade, integridade e disponibilidade da informação são importantes para a salvaguarda daqueles Direitos [1].O princípio da due diligence na implementação dos Direitos Humanos pelas empresas, irá, decerto, enriquecer e influenciar a própria cultura para a Cibersegurança.De acordo com o adágio popular “mais vale prevenir do que remediar”, os estudos da segurança têm, cada vez mais, apostado na prevenção. Percebe-se, por isso, que a ENSC tenha elegido como um dos eixos de intervenção (eixo 2) “a prevenção, educação e sensibilização” para a Cibersegurança. Assim, a dependência, em maior ou menor grau, do exercício das atividades empresarias no e para além do ciberespaço dita que a prevenção passe a ser, também para as empresas, um fator primordial.

Associada à prevenção anda o risco, mais concretamente, a sua identificação, análise, avaliação e controlo. Assim, para prevenir a ocorrência de um risco, importa conhecer, por um lado, a probabilidade de ocorrência de um fenómeno perigoso - a ameaça – e, por outro lado, a gravidade dos danos para a empresa que tal fenómeno, mais concretamente, o ciberataque ou a ciberexploração (exploitation), pode causar [2]. Feita a identificação dos diferentes tipos de risco, importa analisá-los de acordo com a metodologia definida, para, depois, avaliá-los.

É que os riscos não são todos iguais. Eles podem ter probabilidades de ocorrência e gravidades diferentes, devendo, por isso, serem avaliados (valorados) para, em passo subsequente, serem escolhidas, pelos responsáveis da empresa, as medidas preventivas adequadas [3]. Riscos distintos requerem, por isso, um tratamento diferente. Quanto maior for o risco, mais exigente será, decerto, a medida preventiva a implementar.

Percebe-se, assim, que cada empresa é única e, por isso, corre os seus próprios riscos. Contudo, podem ser elencados alguns fatores que terão, decerto, impacto no controlo e na gestão dos riscos. Nesse sentido, notamos, sem pretensão de exaustão, a exposição digital da empresa, a ligação à Internet, as compras e vendas online, os sistemas de interação automática/autónoma com clientes e fornecedores, a adoção de sistemas de alojamento remoto, o trabalho à distância [4], a informação e formação das pessoas, o investimento em Cibersegurança e a própria cultura empresarial para a Cibersegurança e para os Direitos Humanos.

De acordo com o World Economic Forum, os ciberataques mais temidos, pelas organizações que lidam com as questões da Cibersegurança, são o Ransomware, a Engenharia Social e ameaça interna maliciosa [5]. Para melhor percetibilidade, convém explicar, em termos simples, em que é que cada uma delas consiste.

O Rasomware “representa um tipo de malware que infeta os sistemas dos utilizadores e manipula o sistema de forma que a vítima não consiga utilizar, parcial ou totalmente, os dados que estão armazenados. A vítima geralmente recebe um aviso de chantagem por pop-up, pressionando a vítima a pagar um resgate para recuperar o acesso total ao sistema e aos arquivos” [6]. Já a engenharia social caracteriza-se pela manipulação psicológica das pessoas, pelos invasores, que levam as vítimas à execução de certas ações que lhes são prejudiciais ou à divulgação de informações confidenciais. Trata-se de técnicas de subterfúgio, com as devidas adaptações, muito parecidas com as burlas. Por último, a ameaça interna maliciosa caracteriza-se por alguém que teve ou tem ligações à empresa (exemplo, funcionários ou ex-funcionários, certos prestadores de serviços), com acesso à rede, sistema ou dados, utilizando a informação obtida para atividades maliciosas.

Principalmente, com relação à engenharia social e à ameaça interna maliciosa, verifica-se a importância do comportamento humano (erro ou má índole), para a concretização do risco. Na Cibersegurança, é de uso referir-se que mais do que as ameaças direcionadas para as máquinas, programas, rede, equipamentos, sistemas, importa não descurar os comportamentos humanos. Ciente dessa realidade, a ENSC acoplou, e bem, à prevenção, a educação e a sensibilização das pessoas.

Os procedimentos técnicos da segurança, acompanhados das soluções de engenharia informática e investimentos, têm como destinatários todas as pessoas que lidam, pelos mais diferentes motivos, com esta realidade. É por isso importante que comunguem de uma cultura para a Cibersegurança. Com efeito, a partilha e a interiorização de valores e normas, por uma determinada “comunidade empresarial”, são importantes para garantir um ambiente de informação seguro e contribui para o sucesso empresarial. Como toda a cultura leva tempo, aprende com os seus próprios erros e, por isso, está sempre sujeita à melhoria contínua, mas é fundamental.

A aposta na informação e na formação das pessoas é um importante investimento. Ela contribui para que sejam evitados graves prejuízos, tais como os danos nos sistemas e/ou a sua interrupção temporária e que impedem cumprimento das obrigações junto aos Clientes e terceiros, as perdas de informação, os danos de imagem (reputação) e, no caso do ransomware, o pagamento do resgate usualmente por criptomoedas [7].

Um sistema adequado de gestão do risco, acompanhado de boas práticas, formação e sensibilização das pessoas, ajudará, decerto, a refletir e a interiorizar a cultura da Cibersegurança a praticar nas empresas.

É que na roda da Cibersegurança, todos, sem exceção, têm um importante papel e missão a cumprir.

 

Autora: Anabela Paula Brízido, Doutoranda em Direito e Assistente Convidada da NOVA School of Law, Investigadora Associada do NOVA Centre on Business, Human Rights and the Environment (NOVA BHRE) e membro associado do Centro de Investigação da Academia Militar (CINAMIL). E.mail: anabela.brizido@novalaw.unl.pt 

 

nova school of law v2 

[1] Conhecido pela CIA triad: Conifdentiality; Integrity e Availabiltiy. Maymí, Fernando, Harris, Shon, CISSP Exam Guide; (2019); 9ª ed.,New York, Mc Graw Hill.

[2] Noção adaptada de Roxo, Manuel M., (2006), Segurança e Saúde do Trabalho: Avaliação e controlo de riscos, Coimbra, Almedina.

[3] Para maiores desenvolvimentos: Centro Nacional de Cibersegurança (CNCS) Portugal, Guia para Gestão de Riscos em matérias de Segurança da Informação e Cibersegurança, V. 1.0, (s/data), disponível em https://www.cncs.gov.pt/docs/guia-de-gestao-dos-riscos.pdf; acedido em 21.02.2023.

[4] CNCS, Relatório Cibersegurança em Portugal, Economia, maio 2022, CNCS.

[5] World Economic Forum, (2022), Global Cybesecurity Outlook 2022, Insight Report, World Economic Forum.

[6] Noção constante no glossário do CNCS, disponível em https://www.cncs.gov.pt/pt/glossario/#linhasobservacao.

[7] CNCS, Relatório Cibersegurança em Portugal, Economia, maio 2022, CNCS.

Saiba como fazer parte da rede da Câmara de Comércio

 

Torne-se nosso associado