A transformação digital em Portugal tem sido um processo contínuo e dinâmico, impulsionado pelos setores público e privado. Com o avanço tecnológico e a crescente digitalização dos serviços, aumentaram também os ataques cibernéticos, o phishing e o ransomware, como revelou o Relatório Anual de Segurança 2024 da Check Point Software Technologies.
A cibersegurança tornou-se num foco central e num desafio para indivíduos, empresas e organizações que querem garantir a proteção de dados e a integridade dos sistemas informáticos. Portugal tem desenvolvido uma cultura de cibersegurança robusta, com o objetivo de proteger infraestruturas críticas e dados sensíveis contra ameaças digitais, sendo a implementação de políticas e práticas de segurança cibernética uma prioridade nacional. A banca, as infraestruturas digitais e os prestadores de serviços de Internet são os setores que apresentam maior risco de segurança de informação, conforme indicado pelos incidentes registados pelo CERT.PT.
O governo português tem levado a cabo diversas iniciativas e políticas para promover a cibersegurança no país, incluindo programas de sensibilização e investimentos em tecnologia, através da colaboração entre os setores público e privado. Contudo, há ainda muito trabalho a realizar no âmbito do enquadramento estratégico para a cibersegurança nas organizações.
As organizações têm um papel central na cibersegurança de um país: são responsáveis pelo funcionamento de serviços essenciais e críticos, e têm influência direta sobre os seus colaboradores na adoção de boas práticas de cibersegurança, que se podem repercutir na sociedade. A educação e a formação em cibersegurança são cruciais para aumentar a confiança digital das empresas portuguesas e é importante que todos estejam conscientes dos riscos cibernéticos e saibam proteger-se. Relatórios recentes destacam um aumento significativo de ciberataques com elevado impacto social e nas infraestruturas e serviços essenciais do país. Em 2022 aumentou o número de empresas em Portugal com adoção de políticas de Segurança das Tecnologias de Informação e comunicação (TIC). No entanto, o relatório de 2023 sobre Cibersegurança em Portugal, do Observatório de Cibersegurança do Centro Nacional de Cibersegurança, revelou que menos de metade das empresas tinha documentação deste tipo. De um modo transversal, a ausência de Políticas e Estratégias de Segurança de Informação em algumas organizações revela uma falta de prevenção e uma insuficiente resposta a incidentes.
A necessidade de fortalecer as competências de cibersegurança é premente, envolvendo pessoas, processos e tecnologia para tornar as organizações mais resilientes a nível cibernético. É, por isso, de extrema importância que as organizações implementem um conjunto de boas práticas e ferramentas de cibersegurança, para assegurarem a continuidade das suas atividades. Um exemplo é a norma internacional ISO/IEC 27001 – Sistema de gestão da segurança da informação, cibersegurança e proteção da privacidade, que estabelece requisitos para as organizações lidarem com informação, consolidando um conjunto das melhores práticas da gestão de segurança da informação. Este sistema de gestão preserva a confidencialidade, a integridade e a disponibilidade da informação aplicando um processo de gestão de riscos, e dando confiança às partes interessadas que estes são geridos adequadamente. A norma ISO/IEC 27001 especifica requisitos para os controlos de segurança, cibersegurança e de privacidade dos dados a serem implementados de acordo com as necessidades da organização e promove uma abordagem holística à segurança da informação, considerando pessoas, políticas e tecnologia, e dessa forma ajudando a identificar e abordar proativamente as vulnerabilidades e os riscos de segurança.
Os principais benefícios da implementação da ISO/IEC 27001 e posterior certificação são vários. Destacamos a identificação proativa das ameaças e vulnerabilidades, a garantia da continuidade de negócio, a definição de um plano de recuperação de desastres considerando os procedimentos existentes para reativação dos serviços e infraestruturas críticas, a garantia de proteção dos sistemas em todo o ciclo de desenvolvimento, a elevada confidencialidade e integridade da informação, e a criação de uma cultura de segurança da informação, através da divulgação de políticas e de linhas de orientação e monitorização contínua das infraestruturas que suportam os sistemas.
A manutenção da certificação requer uma abordagem proativa e um compromisso contínuo com a melhoria do Sistema de Gestão da Segurança da Informação. As organizações devem realizar auditorias internas regulares e rever os seus sistemas para garantir que continuam em conformidade com os requisitos da ISO/IEC 27001 e adaptados às novas ameaças e desafios. A certificação ISO/IEC 27001 oferece um caminho estruturado para alcançar excelência na gestão da segurança da informação, ajudando as empresas a mitigar riscos e proteger seus ativos mais valiosos em um mundo digital cada vez mais complexo.
Em Portugal, a certificação ISO/IEC 27001 emerge como um padrão de excelência, e está presente em diversos setores da economia portuguesa, existindo atualmente mais de 1000 empresas certificadas. Os setores com maior número de empresas certificadas são: Tecnologias da Informação e Comunicação, Serviços Financeiros, Saúde, Administração Pública e Indústria. A certificação demonstra o compromisso das organizações com a segurança da informação e a proteção de dados, o que pode ser um importante diferencial competitivo.
A implementação de um sistema de gestão de segurança da informação é uma escolha estratégica para organizações, fortalecendo sua resiliência contra ameaças cibernéticas. O panorama da cibersegurança em Portugal apresenta desafios, mas também oportunidades promissoras. À medida que tecnologias emergentes avançam e os ataques cibernéticos se tornam mais sofisticados, é crucial que Portugal continue a investir em capacidades de segurança cibernética e promova uma cultura de segurança digital em toda a sociedade. A segurança cibernética é um elemento-chave para o crescimento da economia digital portuguesa, garantindo a confiança necessária para que as empresas prosperem globalmente, atraiam investimentos e clientes, e mantenham a sua competitividade.
A APCER dispõe de uma unidade de negócio especializada na área das tecnologias de informação, IT Security, que centra a sua atividade na proteção da informação e do conhecimento do negócio dos clientes, acompanhando a tendência digital, definindo boas práticas de controlo e gestão dos riscos associados, e prestando serviços na área da certificação e formação, nomeadamente nas áreas de segurança de informação, cibersegurança e privacidade dos dados.
Enfrentar os desafios da cibersegurança requer esforços conjuntos. Ao colaborarmos, podemos estabelecer um ambiente digital mais seguro e confiável para as empresas portuguesas, as quais, ao investirem em cibersegurança, protegem seus negócios, ampliam sua competitividade e contribuem para o desenvolvimento contínuo da economia digital do país.
Joana Lobo
IT Security Unit Leader, APCER