As ciberameaças são, segundo o World Economic Forum, a terceira causa de perigo mundial, logo a seguir às catástrofes naturais e ao terrorismo, com uma relevância de que muitos ainda não se aperceberam. Os impactos de uma falha de segurança podem ser gigantescos e afetar empresas, organizações do Estado, economia, política, etc. Não se trata apenas da perda de informação e dos custos financeiros diretos, mas de danos que vão muito além de valores quantificáveis. A reputação, por exemplo, é um ativo intangível que pode ser gravemente afetado, quer por um ciberataque perpetrado por hackers profissionais quer por falhas de segurança que partem do interior da organização.
Segundo o estudo “Cost of Cybercrime”, da consultora Accenture, mais do que temer os grandes ataques organizados à escala mundial, os CEO devem olhar para dentro das suas organizações e procurar implementar políticas de segurança que evitem falhas internas. Não será coincidência o mesmo relatório concluir que 81% das quebras de segurança nas empresas resultam de roubo de credenciais, na maioria dos casos resultantes da má conduta dos seus colaboradores. Coisas tão simples como deixar o computador ligado enquanto se ausenta do lugar, dar a password aos colegas, escrever os dados de acesso em locais visíveis, ou usar o mesmo código para as aplicações profissionais e pessoais podem comprometer o negócio e a segurança de uma organização.
As ameaças internas são, por vezes, também as mais difíceis de resolver. Com as novas formas de trabalho há cada vez mais fornecedores externos, freelancers e colaboradores temporários a aceder à informação das empresas, o que dificulta a deteção de falhas e a sua resolução. Em 2013, o FBI estimava que uma quebra de segurança interna podia custar 412 mil dólares (€332 mil) por cada incidente. Um valor que, cinco anos depois, é bastante mais elevado.
Trancar a porta e educar a equipa
Em Portugal, os riscos de segurança para as organizações não são diferentes dos que afetam o resto do mundo. Nas grandes empresas, os desafios são maiores, e o investimento que a gestão da segurança e da privacidade dos dados obriga é também muito mais elevado do que nas PME. Isto não significa, contudo, que as organizações de menor dimensão não devam acautelar situações de risco e introduzir políticas de recursos humanos que evitem este tipo de problemas. Aliás, o sentimento comum a um conjunto de gestores de topo, presentes na primeira Powertalk do projeto Ativar o Futuro, organizada pelo Expresso em conjunto com a Microsoft, esta semana, é de que, independentemente da dimensão de uma organização, a segurança começa em cada colaborador. “A literacia digital é cada vez mais essencial para garantir a segurança das empresas e organizações”, acredita Isabel Vaz, CEO da Luz Saúde, e uma das intervenientes neste debate. “Questões como a segurança e a privacidade dos dados são custos que pesam cada vez mais nas contas das empresas e, por isso, a equipa tem que estar bem preparada para lidar com o tema”, acrescenta.
António Gameiro Marques, diretor-geral do Gabinete Nacional de Segurança, corrobora totalmente esta ideia. “O elo mais fraco somos todos nós, devido aos comportamentos que adotamos.” Uma realidade que o organismo que representa procura ajudar a mudar de forma didática. A estratégia nacional de segurança no ciberespaço está a ser preparada por este gabinete — será lançada ainda este ano — e, segundo o diretor, contará com um capítulo inteiramente dedicado à educação. “Não podemos esquecer o impacto que uma falha de segurança pode ter ao nível reputacional, económico, político, social, entre outros”, reforça.
Não obstante as políticas internas de cada organização na preparação dos seus recursos para enfrentar os riscos de segurança, a educação deve ser ampla e abranger todos os cidadãos, a começar nas escolas, como acredita Sebastião Lancastre, CEO da Easypay, instituição de pagamentos eletrónicos que reúne diferentes meios de pagamento numa plataforma única. “Exigem-se campanhas de proteção digital, de âmbito nacional, para que as pessoas aprendam a lidar com estas situações no dia a dia.” Internamente, na empresa que gere, Sebastião Lancastre não descura a prevenção. Todos os colaboradores assinam um contrato que inclui políticas de segurança, não são utilizadas pens na empresa e não há redes wifi internas. Todo e qualquer acesso via web, através de dispositivos pessoais portáteis, não passa pelos sistemas e redes da organização, mitigando todo e qualquer risco de quebra de segurança.
Segurança como utilitie
Não obstante os elevados investimentos que as organizações fazem em sistemas de segurança — a nível global este valor chegava aos 75 mil milhões de dólares (€60,4 mil milhões) em 2015 e, segundo a consultora Gartner, ascenderá aos 170 mil milhões (cerca de €137 mil milhões) em 2020 —, muitas delas continuam a depender de processos operados por pessoas, o que incrementa os riscos. É o caso da EPAL, empresa que distribui água a sensivelmente 30% da população nacional e que cobre percentagem idêntica do território. Sérgio Trindade, diretor de sistemas de informação da empresa, acredita, contudo, que a formação dos recursos e a perceção da importância do tema para a segurança de todos é parte da solução. “A segurança tem que ser vista como uma utilitie”, salienta. No negócio das águas há muita telemetria e telegestão que, se falhar, afeta toda a distribuição e consumo. “E estes sistemas não funcionam sem intervenção humana.”
Já na banca, como assume João Leite, COO do Banco Santander Totta, o nível de segurança exigido é muitíssimo elevado e, por isso, a infraestrutura tem que estar sempre protegida. “Estamos a aumentar cada vez mais os procedimentos de segurança, muito por força das diretivas do sector, e a prevenir toda e qualquer falha interna resultante de comportamentos por parte das equipas”, reforça. A lição parece bem estudada por alguns gestores nacionais. No entanto, e de acordo com o Information Security Survey da Microsoft, apesar da existência de equipas de cibersegurança dentro das organizações ser considerada uma boa prática empresarial, 63% dos inquiridos neste estudo confessam tentar apenas acompanhar as tendências. Do total de gestores entrevistados, 28% acreditam estar à frente das ameaças, enquanto 9% sentem que estão a ficar para trás.
A verdade é que, quer em Portugal como no resto do mundo, há a este nível um longo caminho a percorrer e muito para aprender. No entanto, regras básicas como não partilhar passwords são os primeiros comportamentos a alterar. Afinal, como diz João Leite, “uma password é como a escova de dentes. Não se partilha e todos sabemos disso”. E devemos mudá-las regularmente.
Ciberespaço é o novo campo de batalha
Uma das grandes guerras atuais trava-se online. A segurança e a privacidade dos dados são desafios globais com impacto económico, político e reputacional, que envolve empresas, governos e cidadãos de todo o mundo. Os custos com a cibersegurança também não param de aumentar, com um crescimento anual na ordem dos 22,7%, segundo revela o estudo “O custo do cibercrime”, realizado pela consultora Accenture. De acordo com o mesmo estudo, as falhas de segurança anuais são, em média, 130 por cada empresa, e custam cerca de 3,6 milhões de dólares a nível mundial. A sua deteção não é, no entanto, fácil. A Accenture estima que as organizações levem, em média, 99 dias a detetar as ameaças. A solução para este problema não é simples, nem sequer linear. Contudo, aumentar o custo para os atacantes é uma das formas, apontadas pela consultora, de evitar prejuízos avultados.
81%
das falhas de segurança
são causadas por roubo
de credenciais como,
por exemplo, passwords
73%
das passwords são duplicadas.
Ou seja, os utilizadores repetem-nas para diferentes utilizações
85%
das organizações mantêm informação sensível na cloud
para evitar falhas de segurança
58%
dos colaboradores
das organizações já
partilharam informação
sensível com a pessoa errada
3,6
milhões de dólares
é o custo médio global
de um data breach
23
dias é o tempo médio
de resolução de um ataque
de ransomware
Três perguntas a:
Isabel Vaz
CEO da Luz Saúde
Quais são os maiores
desafios, no sector da saúde,
na área da segurança?
O principal desafio, tal como em todas as indústrias, é estarmos preparados para uma realidade que é podermos ser atacados. Essa é uma preocupação ao nível da comissão executiva, ou seja, é uma das áreas que mais nos preocupa e uma das grandes vertentes de investimento, ou de custo... Na área da saúde, os dados críticos são aqueles que podem parar a organização. Ao mesmo tempo que são extremamente sensíveis. Se os processos clínicos forem atacados, médicos e enfermeiros não conseguem trabalhar. O pior pesadelo seria os dados desaparecerem ou serem revelados. Este é um assunto que vemos com muita responsabilidade, onde investimos muito dinheiro, e que nos custa muito garantir. Não são apenas as infraestruturas técnicas para garantir essa segurança, mas também os cuidados que todos temos que ter enquanto cidadãos. É tão importante perceber o que temos que fazer para termos um país ciberseguro, como é a nossa educação na prevenção da saúde.
E as oportunidades,
quais são?
Hoje vivemos no mundo dos dados. E os dados constituem oportunidades extraordinárias em todas as indústrias, na saúde em particular, por tudo aquilo que nos permitem como, por exemplo, analisar a quantidade de dados que um hospital gera por dia e utilizar isso para salvar vidas. É o que já fazemos hoje, com algumas tentativas de utilização desses dados em Data Science e em análises preditivas para fazer forecasting e, com isso, prever situações adversas e evitá-las. Mas as análises prescritivas também são fundamentais. Ou seja, usar grandes volumes de informação para, com inteligência automática, sabermos o que fazer. Isso é hoje um mundo que se abre e, no sector da saúde, é magnífico. Por isso, para nós os dados e a forma como vamos trabalhar do ponto de vista da sua investigação são uma prioridade e uma vertente na qual queremos basear a nossa diferenciação competitiva no futuro.
De que forma
garantem a educação interna
na Luz Saúde?
Temos um Data Privacy Officer, ou seja, alguém que se preocupa em escrever toda a política interna relativamente aos colaboradores, e fazemos muitas ações de formação. Estamos a intensificar essas ações para que as pessoas percebam a importância que o tema tem. Os profissionais de saúde, por definição, têm as questões de privacidade presentes no seu código deontológico, mas o que procuramos é educar tecnologicamente porque isso é que é novo. Somos muito exigentes, e duros, do ponto de vista da política de recursos humanos e na forma como são tratadas estas situações porque não há outra maneira. Fazemos um grande esforço educativo, em primeiro lugar, mas tem que haver consequências. A minha luta é que as pessoas vejam este tema com a seriedade que merece. E esse é também um grande desafio.
Estudo revela o que vai na cabeça dos gestores
Segurança & Privacidade e Mobilidade & Produtividade são os temas que mais preocupam os gestores das PME nacionais, e são também os que mais espaço ocupam nas suas agendas. A conclusão é do estudo realizado pela Gfk para o Expresso, que demonstra que 60% preferem canalizar os investimentos para estas áreas, em detrimento de outras como Inteligência de Dados & Conhecimento, Talento & Recrutamento, ou Cliente Inteligente & Omnipresente, as três menos valorizadas pelos inquiridos. Já a Gestão & Performance das organizações surge em 3º lugar nas preocupações dos gestores. Para este inquérito foi considerado um universo de 1000 PME, segundo o ranking Informa DB, e inquiridos cerca de 200 gestores. Conclusões apresentadas em pormenor na edição da próxima semana.
O que é “Ativar o Futuro”
O projeto
No primeiro semestre de 2018,
o Expresso e a Microsoft lançam o projeto “Ativar o Futuro”, que pretende discutir os principais desafios tecnológicos que as grandes empresas e as PME enfrentam hoje.
Seis temas, seis eventos
Serão debatidos seis temas em outros tantos eventos. Cada uma das mesas-redondas será liderada por seis gestores/CEO, representantes de sectores como Saúde, Educação, Retalho, Banca, Indústria
e Administração Pública.
Segurança & Privacidade
O primeiro tema para o qual olhámos — principais conclusões do evento nestas páginas — procurou responder a duas questões centrais: já foi alvo de ataques informáticos? Quais são os dados que considera mais críticos e que devem ser protegidos?
Mobilidade & Produtividade
Trabalhar à distância é uma tendência em rápido crescimento. Com que regularidade faz reuniões online? Qual é a flexibilidade para trabalhar à distância?
Inteligência de Dados
& Conhecimento
Com que frequência os resultados das empresas são medidos e compilados? E como são integrados na gestão do dia a dia? Que dados recebe do consumidor? Respostas que queremos dar no terceiro tema.
Talento & Recrutamento
Três questões marcarão o quarto debate: que tipo de pessoas está a recrutar? Com que valências? O que podem fazer as empresas para reter talento?
Gestão & Performance
Na penúltima mesa-redonda, duas perguntas pertinentes: como são geridos os fluxos de tesouraria nas empresas? E quais são os principais desafios a nível dos pagamentos, cobrança e pagamento de impostos?
Cliente Inteligente
& Omnipresente
No sexto e último debate o foco não deixará de lado duas questões centrais: o que procuram os consumidores? Através de que canais?
Textos originalmente publicados no Expresso de 27 de janeiro de 2018