Ainda há muito trabalho para ser feito ao nível da segurança informática e da cibersegurança em geral. E este trabalho tem de ser feito o quanto antes, seja por parte das entidades públicas, das empresas privadas ou até das universidades. Foi neste ponto que convergiram as opiniões dos quatro oradores que discutiram o estado atual da cibersegurança em Portugal, no evento CyberSec Congress e do qual o Ntech.news é media partner.
Um dos aspetos que foi salientado é que a segurança informática agrega em si muitos aspetos – não está apenas ligado à proteção de equipamentos, está também ligado à proteção dos dados privados.
Um dos primeiros alertas dados esteve justamente relacionado com a criação da figura do data privacy officer (DPO), a pessoa que vai ficar responsável pela gestão da privacidade dos dados e que vai ajudar a integrar nas organizações o novo Regulamento Geral sobre a Proteção de Dados.
O inspetor-chefe da Polícia Judiciária, Rogério Bravo, salientou que uma das características do DPO “é ser independente”. “Não podem comparar-se com os diretores de segurança informática (CISO) e os diretores de segurança (CSO) que vão começar a surgir. Porque ainda não perceberam que falar de segurança não é o mesmo que falar de segurança informática”.
O porta-voz da PJ quis salientar a ideia de que a existência destas diferentes posições dentro das organizações acontece porque existem de factos diferentes necessidades que precisam de ser endereçadas. Mas ao contrário do que seria desejável, acaba por assistir-se à convergência destes papéis e esta é uma situação que pode causar algum défice na correta resposta aos diferentes desafios da cibersegurança.
A opinião foi partilhada por Maria de Lurdes Gonçalves, da sociedade de advogados Vieira de Almeida e Associados. “A lei segrega e define muito bem qual é o papel do data privacy officer, é um papel de independência, de zelar pela segurança. Não deve ceder às naturais influências de outros departamentos dentro das organizações”, defendeu.
Numa perspetiva mais positiva, a advogada sente que há uma maior preocupação com as matérias da segurança e dos dados pessoais nas organizações, ainda que este caminho só esteja agora a dar verdadeiramente os seus primeiros passos. “Ainda há um longo caminho a fazer para criar uma cultura web nas organizações e de ter cultura da privacidade na criação dos produtos”.
Apostar nos mais pequenos
É justamente no aspeto da cultura e da sensibilização que a Guarda Nacional Republicana tem apostado. “Para combater o cibercrime temos de apostar na criação de uma rede de confiança”, começou por dizer um dos elementos do grupo de trabalho de cibersegurança da GNR, o Capitão Jorge Cardoso.
 “A Guarda Nacional Republicana tenta, nas coisas mais pequenas, viradas mais para os nossos alunos e crianças, tentar abrir-lhes a mentalidade e ver que só a trabalhar em rede vamos conseguir combater o cibercrime”, acrescentou.
Além de ajudar os mais novos – ou os adultos do futuro – a perceberem as questões relacionadas com a segurança informática, Jorge Cardoso disse que muitas vezes as crianças são também a forma de passar a mensagem aos mais velhos.
A GNR tem diversos protocolos e programas ativos de sensibilização junto das escolas, sendo um dos mais conhecidos o da Internet Segura que está a funcionar desde 2014.
O representante da publicação Hackers Portugal, Rui Cruz, também é da opinião que é necessário “prevenir antes para não acontecer depois”. A criação de consciencialização em torno do tema da segurança informática é justamente um dos objetivos do site Hackers Portugal.
Por exemplo, Rui Cruz acredita que ao noticiar um incidente de segurança informática numa determinada empresa, estará a passar a mensagem para outras entidades de que é necessária uma proteção mais eficaz.
Outras dimensões de resposta
Se ninguém duvida que sensibilizar ajuda de facto os utilizadores e os decisores de negócio a terem outra postura relativamente ao tema da segurança informática, também é verdade que educar sobre o tema não ajuda a prevenir todos os cenários. É aqui que entra em ação a legislação, para dar uma maior sentido e uma maior força às regras que precisam de ser cumpridas.
“À velocidade com que nos deparamos com novas ameaças, novos tipos de ataques, a legislação visa criar um enquadramento que permita reforçar a segurança do tratamento de dados pessoais”, salientou Maria de Lurdes Gonçalves. “A cultura de privacidade tem de vir de cima para baixo dentro das organizações”, acrescentou.
O desfasamento de cultura que existe nas empresas foi justamente outro dos pontos destacados por Rogério Bravo. O inspetor da PJ diz que entre as chefias e as pessoas que estão mais ligadas à produção existe um grande diferencial sobre quais são os elementos mais valiosos da empresa e que devem ser protegidos.
Serão as informações relativas a fornecedores? Serão as bases de dados? Serão as informações sobre os clientes ou os dados da parte financeira? Podem até ser os moldes de produção de um determinado produto – o importante é que cada empresa saiba definir as suas prioridades, para melhor proteger os seus ativos.
Dentro do universo dos problemas, o ransomware, o malware bancário e a espionagem são neste momento algumas das principais preocupações e prioridades da Polícia Judiciária no que diz respeito à segurança informática. Uma luta que a PJ sabe que não poderá ser feita de forma isolada.
“É impossível falarmos disto sem falarmos do alinhamento de informações com a Interpol e a Europol”. Rogério Bravo gostava de ver também um alinhamento a nível nacional para que a questão da segurança informática tivesse uma resposta à altura.
“O problema mais urgente é juntar a investigação, os negócios e a prevenção. Se queremos ganhar tempo e dinheiro com isto, é apostar num programa para fazer bem, improvisos já chegam”, disse durante o CyberSec Congress.