Os riscos de cibersegurança são considerados um dos principais desafios para a economia global. As empresas devem proteger-se combinando análise, proatividade e capacidade de resposta.
Os riscos de cibersegurança são considerados um dos principais desafios que a economia mundial enfrenta. A crise da COVID-19 conduziu a um aumento exponencial dos ciberataques, colocando os sistemas informáticos perante níveis de riscos cibernéticos sem precedentes. As consequências variam desde a perda de dados até ao encerramento de linhas de produção, mas geralmente acarretam custos significativos. As empresas têm de proteger os seus ativos, incluindo os dados sensíveis e a imagem de marca. Atualmente, a cibersegurança diz respeito a todas as funções empresariais, e a função de aquisição não é exceção.
O Institute of Risk Management descreve o risco cibernético como “qualquer risco de perda financeira, perturbação ou dano à reputação de uma organização devido a algum tipo de falha dos seus sistemas de tecnologia da informação”.
Estes riscos resultam normalmente de ataques cibernéticos orquestrados por atores maliciosos. Isto conduz a falhas que comprometem a confidencialidade, a integridade e a disponibilidade dos dados e dos sistemas de informação das empresas.
Nos últimos anos, o aumento do trabalho remoto combinado com o crescimento das atividades online (como as redes sociais) multiplicou o tráfego na Web. Este facto levou à proliferação e profissionalização dos ciberataques, independentemente da sua natureza (cibercrime, desestabilização, sabotagem ou mesmo espionagem).
As consequências podem ser devastadoras:
Atualmente, muitos riscos de cibersegurança podem comprometer a segurança dos sistemas de informação das empresas. Quanto mais as organizações compreenderem os diferentes tipos de ameaças, mais capazes estarão de prevenir, preparar e reagir eficazmente quando ocorrerem incidentes.
O software malicioso, ou malware, envolve código de software escrito para prejudicar um sistema informático ou os seus utilizadores. Pode tornar os sistemas infectados inutilizáveis, destruir ou roubar dados, etc. Esta categoria inclui o famoso ransomware. Estes programas informáticos têm como objetivo encriptar dados e depois exigem dinheiro ao proprietário em troca da chave de desencriptação.
Esta técnica consiste em manipular os alvos para que comprometam a sua própria segurança da informação ou a da sua organização. O phishing está particularmente difundido neste domínio. Estes ataques de engenharia social assumem a forma de e-mails, mensagens SMS ou chamadas fraudulentas que se fazem passar por terceiros de confiança para incentivar as pessoas a partilharem informações pessoais ou mesmo credenciais bancárias.
Esta técnica visa sobrecarregar um website, aplicação ou sistema para o tornar mais lento ou completamente indisponível para os utilizadores. Neste caso, os cibercriminosos exploram vulnerabilidades de software ou hardware ou esgotam recursos específicos do sistema de informação.
Este tipo de ataque concentra-se em modificar a aparência ou o conteúdo de um website, comprometendo assim a integridade da sua página. Os autores das ameaças exploram normalmente as vulnerabilidades do sítio alvo.
Esta é apenas uma visão geral dos principais ataques cibernéticos, mas existem dezenas de outros: Ataques com palavras-passe, spear phishing, descarregamentos automáticos, etc. A chave é compreender a sua existência e os mecanismos para os combater eficazmente.
As empresas devem garantir a cibersegurança ao longo de todo o ciclo de vida do risco cibernético. Para tal, é necessário combinar a análise, a proatividade e a capacidade de resposta através da implementação das melhores práticas.
Inicialmente, a empresa deve identificar todas as ameaças e vulnerabilidades que possam afectá-la direta ou indiretamente. Para tal, é necessário examinar minuciosamente todo o seu ambiente e identificar as atividades “significativas”.
Esta avaliação de risco pode envolver objetivos estratégicos, proteção de dados, conformidade regulamentar, etc. Cada vulnerabilidade recebe uma descrição pormenorizada (consequências, probabilidades, pessoas envolvidas…) antes de ser avaliada pelas equipas de cibersegurança para tomar uma decisão.
De seguida, a empresa toma medidas adaptadas a esta análise. Pode decidir aceitar um risco cibernético, reduzir o seu impacto potencial, eliminá-lo ou optar por um seguro, por exemplo.
Muitas vezes, a prevenção é a palavra de ordem. Antecipar o risco cibernético antes que ele ocorra implica a utilização de software de segurança eficaz, como programas antivírus, firewalls, etc. A empresa pode também implementar políticas de segurança para proteger dados sensíveis, por exemplo, utilizando palavras-passe complexas ou encriptando dados.
Na gestão dos riscos de cibersegurança, a comunicação é essencial, tanto a nível interno como externo. Isto inclui a designação de responsabilidades individuais, a informação dos quadros superiores, o apoio aos parceiros nesta abordagem e, fundamentalmente, a sensibilização dos funcionários.
Este último ponto é vital, uma vez que os funcionários estão frequentemente na linha da frente dos ataques informáticos. De acordo com a IBM, 90% das violações de cibersegurança e de dados são atribuíveis a erros humanos. É por isso que a formação regular das equipas em segurança informática é essencial, garantindo que compreendem o que está em jogo e adoptam as políticas internas.
Conselhos de François-Gérard Bouy, Diretor de Operações da Labrador, uma empresa de consultoria em relações públicas e comunicação
“Como diretor financeiro, considero-me um alvo prioritário, uma vez que tenho as chaves do cofre. Sou muito cuidadoso e faço uma abordagem pedagógica com as minhas equipas para as sensibilizar, dizendo-lhes simplesmente, por exemplo, para nunca fazerem uma transferência, mas se eu pedir uma, para me ligarem e obterem confirmação. São pequenos gestos que podem salvar uma empresa, porque algumas empresas foram à falência devido a ataques”.
Por último, as medidas de segurança devem ser continuamente monitorizadas para gerir e atenuar os riscos. Isto é especialmente importante à medida que as empresas evoluem: Novos ativos, novas atividades, novos riscos, novas ameaças, etc. Por conseguinte, é importante enquadrar a gestão dos riscos cibernéticos na melhoria contínua. Isto implica actualizações e adaptações das medidas de segurança com base nestes novos parâmetros.
Os departamentos de aprovisionamento estão particularmente preocupados com os riscos cibernéticos, uma vez que estão no centro do ecossistema da empresa. Devem assegurar o controlo do risco cibernético no seu departamento e estendê-lo aos seus fornecedores. De acordo com um inquérito recente da PwC, 90% dos decisores afirmam estar preocupados com as ciberameaças. Mais importante ainda: 27% dizem já ter sido vítimas de uma violação.
Esta situação coloca dois grandes desafios aos departamentos de compras no que respeita à produtividade e à competitividade.
Os departamentos de compras utilizam cada vez mais soluções digitais para as suas operações diárias (encomendas a fornecedores, assinaturas electrónicas, etc.). Se ficarem temporariamente privados delas, isso terá inevitavelmente impacto nas atividades da empresa e dos seus parceiros.
A função de aquisição utiliza vários tipos de dados que os cibercriminosos podem cobiçar (planos, preços, dados de contacto…). Se estes dados se perderem ou forem corrompidos, isso conduz a uma perda de valor.
Nas empresas, somos todos responsáveis pela segurança dos dados e dos sistemas. É por isso que a prevenção dos riscos cibernéticos é necessária a todos os níveis da organização, em todas as funções. Como já compreendeu, isto diz respeito às equipas de IT e a outros departamentos, bem como aos parceiros.