Empresas enfrentam riscos acrescidos de cibersegurança
Para Rui Shantilal, a falta de preparação poderá colocar muitas empresas em situações de risco significativo em 2025.
A digitalização está a aumentar a vulnerabilidade das empresas. “As tendências recentes indicam que os ataques continuarão a ser mais frequentes e sofisticados” – considera Rui Shantilal. Em entrevista à “Vida Económica”, o managing partner da Devoteam Cyber Trust afirma que os cibercriminosos estão a tornar-se mais organizados, funcionando como verdadeiras operações empresariais, o que lhes permite planear e executar ataques com maior eficiência e escala.
Vida Económica - 2025 será melhor ou pior do que 2024 em termos de ataques cibernéticos?
Rui Shantilal - Infelizmente perspectivo que a tendência de crescimento se mantenha, resultando em que o ano de 2025 seja ainda mais desafiante do que 2024 em termos de cibersegurança. O aumento da digitalização e a complexidade das infraestruturas tecnológicas continuarão a expandir a superfície de ataque, criando mais oportunidades para os cibercriminosos. Além disso, o panorama mostra que os grupos de cibercriminosos estão a tornar-se mais organizados, funcionando como verdadeiras operações empresariais, o que lhes permite planear e executar ataques com maior eficiência e escala.
As tendências recentes indicam que os ataques continuarão a ser mais frequentes e sofisticados, com a inteligência artificial (IA) a desempenhar um papel cada vez maior, permitindo que os atacantes incrementem a eficácia das suas ações, automatizem e personalizem os seus métodos. A expansão das cadeias de fornecimento digitais e a crescente conectividade das infraestruturas críticas também colocam mais organizações em risco, tornando os ataques mais difíceis de prevenir.
VE - Que tipo de ataques são mais frequentes e que empresas e setores poderão ser mais afetados?
RS - Os ataques de ransomware continuarão a ser os mais frequentes e destrutivos, com técnicas mais sofisticadas, como extorsão múltipla e encriptação parcial para maximizar impacto e ganhos financeiros. Além disso, espera-se um aumento nos ataques baseados em APIs, phishing altamente direcionado e exploração de vulnerabilidades em sistemas de identidade e autenticação.
Os dados mostram-nos uma grande dispersão de setores quando analisamos o histórico de ataques, pelo que atualmente todas as indústrias estão de uma forma geral no âmbito, no entanto, setores críticos como saúde, finanças, energia e transporte são os mais visados, devido à sua importância estratégica e ao impacto que uma interrupção nos seus serviços pode causar.
As pequenas e médias empresas (PMEs) que fazem parte de cadeias de fornecimento de grandes organizações também estão sob risco crescente, sendo muitas vezes alvos fáceis devido à sua menor capacidade de investimento em cibersegurança.
VE - Que prejuízos podem causar esses ataques?
RS - Os ataques cibernéticos podem gerar prejuízos imediatos e de longo prazo, afetando não apenas as finanças, mas também a reputação e a operação das empresas. No curto prazo, as organizações enfrentam custos elevados com a investigação forense para identificar a origem do ataque, despesas legais e obrigatoriedade de notificação a clientes e reguladores, especialmente em setores onde os dados pessoais são comprometidos. Além disso, interrupções nos sistemas críticos podem paralisar a operação, gerando perda de receita imediata, enquanto os custos de extorsão, como resgates exigidos em ataques de ransomware, aumentam ainda mais a pressão financeira.
Os impactos, porém, não terminam com a contenção inicial do incidente. A longo prazo, as empresas lidam com danos reputacionais que podem resultar em perda de confiança por parte dos clientes, levando à diminuição de receita. O impacto financeiro pode ser agravado por multas regulatórias pesadas, como as previstas na NIS 2, caso as organizações sejam consideradas não conformes. Para empresas cotadas, a credibilidade afetada pode refletir-se na queda do valor das ações. Além disso, processos judiciais movidos por clientes ou parceiros afetados aumentam os custos, enquanto a gestão é desviada de iniciativas estratégicas para lidar com os efeitos prolongados do incidente.
VE - Como se podem proteger as empresas destes ataques?
RS - A proteção contra ciberataques começa com uma abordagem estratégica e estruturada, centrada na gestão de riscos e na resiliência organizacional. Antes de mais, é essencial realizar uma análise de risco contínua, que permita identificar vulnerabilidades, avaliar o impacto potencial de incidentes e priorizar investimentos de forma eficiente. Com base nesta avaliação, as empresas podem alinhar as suas medidas de segurança com os ativos mais críticos e com os objetivos estratégicos do negócio.
A adoção de normas reconhecidas, como a ISO 27001, é uma ferramenta fundamental para criar uma estrutura robusta de gestão de segurança da informação. Esta norma garante que os riscos são tratados de forma sistemática e auditável, enquanto a ISO 22301, focada na continuidade de negócios, ajuda a assegurar que as operações essenciais podem ser mantidas mesmo durante um ciberataque severo. Estas normas não apenas melhoram a proteção, mas também aumentam a confiança de clientes e parceiros.
Adicionalmente, é crucial integrar a cibersegurança na estratégia global da organização, com o envolvimento direto da gestão de topo. Estabelecer papéis claros, como o de um Chief Information Security Officer (CISO), permite que a cibersegurança seja vista como uma prioridade transversal, e não apenas uma responsabilidade técnica. Esta integração deve ser complementada com processos bem definidos e comunicação eficaz entre equipas.
Outro pilar essencial é a cultura organizacional. Investir na formação contínua dos colaboradores ajuda a criar uma “primeira linha de defesa” mais resiliente contra ameaças como phishing e engenharia social. Ao mesmo tempo, é necessário adotar práticas rigorosas de gestão de riscos na cadeia de fornecimento, especialmente face às exigências da NIS 2, que sublinha a necessidade de monitorizar a segurança de fornecedores e parceiros.
Neste contexto de ameaças crescentes e cada vez mais sofisticadas, é também essencial que as empresas se mantenham tecnologicamente atualizadas, tirando partido de inovações como a inteligência artificial (IA) para reforçar a sua capacidade de deteção e resposta a ataques. Ferramentas baseadas em IA permitem monitorizar grandes volumes de dados em tempo real, identificar padrões anómalos e antecipar potenciais riscos com maior precisão.
VE - Qual é o ponto de situação relativamente à Diretiva NIS 2 da EU?
RS - A Diretiva NIS 2, introduzida pela União Europeia para fortalecer a resiliência cibernética, já está a gerar impactos significativos em Portugal. Com o prazo para transposição para a legislação nacional oficialmente encerrado em outubro de 2024, o foco agora está na implementação prática dos seus requisitos pelas organizações abrangidas. Este processo está a movimentar o panorama nacional, com empresas, associações e o Centro Nacional de Cibersegurança (CNCS) a desempenharem papéis ativos para assegurar a conformidade.
É importante notar que muitas grandes empresas, especialmente aquelas que já adotavam frameworks como a ISO 27001, estão relativamente bem preparadas para cumprir as exigências da NIS 2. Estas organizações já possuíam estruturas robustas de gestão de cibersegurança e processos de notificação de incidentes em linha com os requisitos da diretiva. Por outro lado, algumas empresas, particularmente as pequenas e médias, ou aquelas que atuam em setores agora abrangidos pela NIS2, enfrentam desafios maiores devido a lacunas em processos e recursos.
O cenário em Portugal reflete um equilíbrio interessante: enquanto algumas organizações já estavam alinhadas com as melhores práticas e encontram-se em posição favorável, outras estão a trabalhar intensivamente para fechar os gaps. Esta movimentação tem gerado discussões, iniciativas de formação e uma maior consciencialização sobre a cibersegurança. Este aumento de atividade é, por si só, um sinal positivo, indicando que as empresas estão a encarar a NIS 2 como uma oportunidade para melhorar a sua postura de segurança e resiliência.
A nível prático, os requisitos mais relevantes da NIS 2 incluem a gestão de riscos de cibersegurança, a notificação obrigatória de incidentes em prazos curtos, e a monitorização da segurança na cadeia de fornecimento. O envolvimento do CNCS e de outros organismos tem sido fundamental para fornecer diretrizes e apoiar a capacitação das organizações, assegurando que Portugal cumpre as exigências da diretiva.
VE - Qual o orçamento recomendado para cibersegurança? Deve ser encarado como custo ou investimento?
RS - O orçamento recomendado para cibersegurança varia dependendo da dimensão da organização, do setor em que opera e do nível de maturidade em cibersegurança já existente. Em geral, recomenda-se que as empresas aloquem entre 5% a 15% do orçamento total de TI para iniciativas de cibersegurança. Para organizações em setores críticos ou que estejam a adotar regulamentações como a NIS2, este número pode ser ainda mais elevado, refletindo a necessidade de uma postura mais robusta e alinhada com os riscos crescentes.
Rui Shantilal - Infelizmente perspectivo que a tendência de crescimento se mantenha, resultando em que o ano de 2025 seja ainda mais desafiante do que 2024 em termos de cibersegurança. O aumento da digitalização e a complexidade das infraestruturas tecnológicas continuarão a expandir a superfície de ataque, criando mais oportunidades para os cibercriminosos. Além disso, o panorama mostra que os grupos de cibercriminosos estão a tornar-se mais organizados, funcionando como verdadeiras operações empresariais, o que lhes permite planear e executar ataques com maior eficiência e escala.
As tendências recentes indicam que os ataques continuarão a ser mais frequentes e sofisticados, com a inteligência artificial (IA) a desempenhar um papel cada vez maior, permitindo que os atacantes incrementem a eficácia das suas ações, automatizem e personalizem os seus métodos. A expansão das cadeias de fornecimento digitais e a crescente conectividade das infraestruturas críticas também colocam mais organizações em risco, tornando os ataques mais difíceis de prevenir.
VE - Que tipo de ataques são mais frequentes e que empresas e setores poderão ser mais afetados?
RS - Os ataques de ransomware continuarão a ser os mais frequentes e destrutivos, com técnicas mais sofisticadas, como extorsão múltipla e encriptação parcial para maximizar impacto e ganhos financeiros. Além disso, espera-se um aumento nos ataques baseados em APIs, phishing altamente direcionado e exploração de vulnerabilidades em sistemas de identidade e autenticação.
Os dados mostram-nos uma grande dispersão de setores quando analisamos o histórico de ataques, pelo que atualmente todas as indústrias estão de uma forma geral no âmbito, no entanto, setores críticos como saúde, finanças, energia e transporte são os mais visados, devido à sua importância estratégica e ao impacto que uma interrupção nos seus serviços pode causar.
As pequenas e médias empresas (PMEs) que fazem parte de cadeias de fornecimento de grandes organizações também estão sob risco crescente, sendo muitas vezes alvos fáceis devido à sua menor capacidade de investimento em cibersegurança.
VE - Que prejuízos podem causar esses ataques?
RS - Os ataques cibernéticos podem gerar prejuízos imediatos e de longo prazo, afetando não apenas as finanças, mas também a reputação e a operação das empresas. No curto prazo, as organizações enfrentam custos elevados com a investigação forense para identificar a origem do ataque, despesas legais e obrigatoriedade de notificação a clientes e reguladores, especialmente em setores onde os dados pessoais são comprometidos. Além disso, interrupções nos sistemas críticos podem paralisar a operação, gerando perda de receita imediata, enquanto os custos de extorsão, como resgates exigidos em ataques de ransomware, aumentam ainda mais a pressão financeira.
Os impactos, porém, não terminam com a contenção inicial do incidente. A longo prazo, as empresas lidam com danos reputacionais que podem resultar em perda de confiança por parte dos clientes, levando à diminuição de receita. O impacto financeiro pode ser agravado por multas regulatórias pesadas, como as previstas na NIS 2, caso as organizações sejam consideradas não conformes. Para empresas cotadas, a credibilidade afetada pode refletir-se na queda do valor das ações. Além disso, processos judiciais movidos por clientes ou parceiros afetados aumentam os custos, enquanto a gestão é desviada de iniciativas estratégicas para lidar com os efeitos prolongados do incidente.
VE - Como se podem proteger as empresas destes ataques?
RS - A proteção contra ciberataques começa com uma abordagem estratégica e estruturada, centrada na gestão de riscos e na resiliência organizacional. Antes de mais, é essencial realizar uma análise de risco contínua, que permita identificar vulnerabilidades, avaliar o impacto potencial de incidentes e priorizar investimentos de forma eficiente. Com base nesta avaliação, as empresas podem alinhar as suas medidas de segurança com os ativos mais críticos e com os objetivos estratégicos do negócio.
A adoção de normas reconhecidas, como a ISO 27001, é uma ferramenta fundamental para criar uma estrutura robusta de gestão de segurança da informação. Esta norma garante que os riscos são tratados de forma sistemática e auditável, enquanto a ISO 22301, focada na continuidade de negócios, ajuda a assegurar que as operações essenciais podem ser mantidas mesmo durante um ciberataque severo. Estas normas não apenas melhoram a proteção, mas também aumentam a confiança de clientes e parceiros.
Adicionalmente, é crucial integrar a cibersegurança na estratégia global da organização, com o envolvimento direto da gestão de topo. Estabelecer papéis claros, como o de um Chief Information Security Officer (CISO), permite que a cibersegurança seja vista como uma prioridade transversal, e não apenas uma responsabilidade técnica. Esta integração deve ser complementada com processos bem definidos e comunicação eficaz entre equipas.
Outro pilar essencial é a cultura organizacional. Investir na formação contínua dos colaboradores ajuda a criar uma “primeira linha de defesa” mais resiliente contra ameaças como phishing e engenharia social. Ao mesmo tempo, é necessário adotar práticas rigorosas de gestão de riscos na cadeia de fornecimento, especialmente face às exigências da NIS 2, que sublinha a necessidade de monitorizar a segurança de fornecedores e parceiros.
Neste contexto de ameaças crescentes e cada vez mais sofisticadas, é também essencial que as empresas se mantenham tecnologicamente atualizadas, tirando partido de inovações como a inteligência artificial (IA) para reforçar a sua capacidade de deteção e resposta a ataques. Ferramentas baseadas em IA permitem monitorizar grandes volumes de dados em tempo real, identificar padrões anómalos e antecipar potenciais riscos com maior precisão.
VE - Qual é o ponto de situação relativamente à Diretiva NIS 2 da EU?
RS - A Diretiva NIS 2, introduzida pela União Europeia para fortalecer a resiliência cibernética, já está a gerar impactos significativos em Portugal. Com o prazo para transposição para a legislação nacional oficialmente encerrado em outubro de 2024, o foco agora está na implementação prática dos seus requisitos pelas organizações abrangidas. Este processo está a movimentar o panorama nacional, com empresas, associações e o Centro Nacional de Cibersegurança (CNCS) a desempenharem papéis ativos para assegurar a conformidade.
É importante notar que muitas grandes empresas, especialmente aquelas que já adotavam frameworks como a ISO 27001, estão relativamente bem preparadas para cumprir as exigências da NIS 2. Estas organizações já possuíam estruturas robustas de gestão de cibersegurança e processos de notificação de incidentes em linha com os requisitos da diretiva. Por outro lado, algumas empresas, particularmente as pequenas e médias, ou aquelas que atuam em setores agora abrangidos pela NIS2, enfrentam desafios maiores devido a lacunas em processos e recursos.
O cenário em Portugal reflete um equilíbrio interessante: enquanto algumas organizações já estavam alinhadas com as melhores práticas e encontram-se em posição favorável, outras estão a trabalhar intensivamente para fechar os gaps. Esta movimentação tem gerado discussões, iniciativas de formação e uma maior consciencialização sobre a cibersegurança. Este aumento de atividade é, por si só, um sinal positivo, indicando que as empresas estão a encarar a NIS 2 como uma oportunidade para melhorar a sua postura de segurança e resiliência.
A nível prático, os requisitos mais relevantes da NIS 2 incluem a gestão de riscos de cibersegurança, a notificação obrigatória de incidentes em prazos curtos, e a monitorização da segurança na cadeia de fornecimento. O envolvimento do CNCS e de outros organismos tem sido fundamental para fornecer diretrizes e apoiar a capacitação das organizações, assegurando que Portugal cumpre as exigências da diretiva.
VE - Qual o orçamento recomendado para cibersegurança? Deve ser encarado como custo ou investimento?
RS - O orçamento recomendado para cibersegurança varia dependendo da dimensão da organização, do setor em que opera e do nível de maturidade em cibersegurança já existente. Em geral, recomenda-se que as empresas aloquem entre 5% a 15% do orçamento total de TI para iniciativas de cibersegurança. Para organizações em setores críticos ou que estejam a adotar regulamentações como a NIS2, este número pode ser ainda mais elevado, refletindo a necessidade de uma postura mais robusta e alinhada com os riscos crescentes.
Partilhar
Comentários 0
- Inicie sessão para publicar comentários