www.cesce.pt

Têm sido divulgadas, com uma regularidade assustadora, inúmeras notícias que revelam uma realidade em que os ciber-riscos passaram a fazer parte do quotidiano de qualquer pessoa ou organização.

A forma como todos nós passámos a comunicar, através de dispositivos electrónicos e múltiplas plataformas na net, conduziu a uma nova dimensão de ciber-riscos que se colocam diariamente a nível pessoal, sob a forma de roubo de identidade, por exemplo, a nível empresarial através da violação de dados essenciais para o negócio (carteira de clientes ou informações financeiras) e ainda a nível governativo, com a potencial violação de dados sensíveis. Com todos estes riscos bem patentes no nosso dia-a-dia, as medidas preventivas parecem ganhar um claro ascendente face às estratégias de punição existentes, que apesar de se revelarem inibidoras, não impedem os danos causados.

Todos os players de mercado compreendem as enormes mais-valias potenciadas por uma abordagem de gestão de risco, e não desconsideram a relevância da implementação de soluções tecnológicas que possam dinamizar o negócio. A negligência atribuída a esta matéria durante anos deu lugar a uma preocupação com a prevenção do risco, mas a possibilidade de recorrer a estratégias de proteção tem sido um assunto de ordem do dia, com maior enfoque em determinados sectores de actividade.

Em Portugal, os ataques a websites ou infra-estruturas tecnológicas ligadas ao governo ou a organismos do estado, como a Procuradoria-Geral da República ou a Polícia Judiciária, para além das constantes ameaças a instituições financeiras, é assunto que mina a credibilidade das instituições, faz retrair a confiança dos clientes dos bancos ou dos cidadãos e testa a capacidade das instituições conseguirem resistir aos constantes ataques às suas operações/negócios e à robustez das soluções de cibersegurança e de gestão de riscos.

Por esse motivo, a implementação de medidas de cibersegurança semelhantes às implementadas pelo Cyber Essentials Scheme em Inglaterra ou pela Critical Infrastructure Cybersecurity Framework nos E.U.A., aliadas a exigentes programas de certificação em contratos de procurement em órgãos governamentais (onde seja essencial), parece ser o caminho imperativo a seguir. No caso inglês, a solução baseia-se em elementos da ISO 27001, que estabelecem os procedimentos essenciais de boas práticas de segurança de informação de forma a resistir às ameaças cibernéticas.

Neste sentido, os players de alguma forma envolvidos com essa entidade – clientes, fornecedores ou outros – conseguem percepcionar se existem níveis aceitáveis de proteção e de imunidade contra potenciais ciber-riscos, criando assim, vantagens competitivas para as entidades que apresentam níveis de cumprimento em detrimento de outras que não o fazem. O modelo inglês estabelece linhas orientadoras em áreas como a configuração de equipamentos, o controlo de acessos, a protecção contra malware ou a implementação de controlos tecnológicos.

Além de criar um ecossistema que prevê a certificação de segurança, este modelo permite a criação de standards que podem mesmo ser usados para determinar níveis de negligência, quando necessário. As perdas que poderiam ser prevenidas com a adoção destas medidas e standards poderão, num futuro breve, não ter cobertura por parte das seguradoras.

Para além disso, o papel das seguradoras poderá ser determinante no que respeita a ciber-riscos. Se a tendência de criação de ciber-seguros específicos se mantiver, é natural que as seguradoras venham a impor standards e medidas essenciais para que os seguros possam ser subscritos.

Se os próximos tempos mostrarem de forma indiscutível que é para esse cenário que caminhamos, então a criação de um modelo de ciber-proteção, bem definido, certificado e com níveis comprovados de eficácia será um cenário incontornável.

Neste contexto, a CESCE SI / Grupo SIA está preparada para assumir uma relação de parceria com os seus clientes no sentido de os apoiar a enfrentar os ciber-riscos com robustas soluções que envolvem três pilares essenciais, e diferenciadores, na abordagem a esta sensível temática: a consultoria, as infraestruturas e a gestão.

A análise de risco, a definição de controlos, as políticas de segurança e a definição de um adequado sistema de gestão de segurança de informação são componentes de consultoria essenciais para determinar as reais necessidades dos clientes nesta área, antes de proceder à implementação de soluções de gestão de risco, com motores de correlação e painéis de controlo que previnam a fuga de informação, que permitam detetar sistemas fraudulentos e protejam devidamente o acesso à informação.

Para além de serviços tecnológicos e de implementação, a CESCE SI disponibiliza serviços de suporte e de manutenção (hardware e software).

Em suma, a CESCE SI / Grupo SIA permite dotar uma organização com o conhecimento necessário para combater os actuais riscos, definir um plano de acção para reduzir o risco ao nível adequado da organização face à sua dimensão, actividade e objectivos definidos pela própria gestão. Toda a actividade da CESCE SI está suportada numa equipa com elevado nível de conhecimento em segurança de informação e que possui as certificações de referência - PCI QSA, CISA, CISSP, C|CISO, CISM, CRISC, ITIL, CEH,…, para além da própria organização, sendo que a CESCE SI / GRUPO SIA possui as certificações ISO 27001, PCI DSS QSA, ISO 22301 e ISO 9001.

António Dias
Consultor de Soluções de Segurança
CESCE SI

Mais informação: dci@cesce.pt