IT Security Conference 2023: “Há pouca atenção das organizações para as competências básicas”

Depois do sucesso de 2022, a IT Security Conference regressou para mais um dia de palestras e mesas-redondas onde a voz dos CISO e a cibersegurança das organizações foram os temas centrais.

Com 40 oradores e para mais de 350 participantes, a conferência – que se realizou n’O Clube Monsanto Secret Spot, em Lisboa – contou na abertura com Lino Santos, Coordenador do Centro Nacional de Cibersegurança.

Na sua apresentação – intitulada “Cibersegurança: o bom, o mau e o vilão” – Lino Santos fez um ponto de situação da cibersegurança em Portugal, apontando os aspetos positivos, os aspetos críticos e as ameaças.

O bom

O Coordenador do Centro Nacional de Cibersegurança partilhou que, entre os aspetos positivos da postura de cibersegurança de Portugal, se encontra a melhor gestão dos dados pessoais online por parte dos cidadãos, onde 71% dos cidadãos afirmaram, em 2021, gerir o acesso aos seus dados de algum modo, mais três pontos percentuais do que em 2020. Ao mesmo tempo, existem, agora, mais cursos superiores – 25 – de cibersegurança no país e mais alunos inscritos nestes mesmos cursos. No ano letivo 2021/2022, por exemplo, eram 916.

Atualmente, há mais medidas de cibersegurança na Administração Pública onde 79% da Administração Pública central afirma que registou logs em 2021, mais quatro pontos percentuais do que em 2020, com uma tendência significativa para reportar os incidentes por parte das PME; em 2021, 81% das que sofreram incidentes afirmaram reportar a alguma autoridade, valor superior à média da União Europeia (54%).

Também existe mais cooperação através de ISAC, existindo seis consolidadas em 2023, e uma maior atenção da União Europeia à cibersegurança através de regulamentações como o NIS 2 e a Regulamentação de IA.

O mau

Apesar do aumento de cursos e alunos de cibersegurança, a falta de recursos especializados no mercado e o elevado custo dos mesmos continua a ser um problema. Em 2021, na Administração Pública portuguesa, existiam 69 entidades com elevada capacidade de competências em cibersegurança.

“Todos vocês sabem, lideram equipas, há uma grande rotatividade de pessoas nesta área e isso torna difícil a nossa tarefa, que é tornar as redes e os sistemas mais seguros”, afirma Lino Santos. “Temos de especializar as pessoas”.

Ao mesmo tempo, existem poucas mulheres a exercer profissões ligadas à cibersegurança e a serem formadas na área, até porque, segundo os dados disponíveis, 84% dos profissionais da área são homens.

Também a inovação em cibersegurança está a diminuir. Segundo dados partilhados por Lino Santos, há apenas uma patente em cibersegurança por 94 publicações científicas em Portugal entre 2017 e 2021, um número muito abaixo da média da União Europeia, onde uma em cada 27 publicações científicas está ligada à cibersegurança.

Outro ponto menos positivo é a pouca presença de disciplinas de cibersegurança nos cursos superiores de Ciências Informáticas; em 2022, apenas 44% destes cursos superiores contava com disciplinas relacionadas com a área.

“Há pouca atenção das organizações para as competências básicas”, refere o Coordenador do Centro Nacional de Cibersegurança, que diz, no entanto, que as grandes empresas se focam no tema e procuram aumentar as competências digitais e de cibersegurança dos seus colaboradores.

O vilão

Lino Santos partilhou que há mais incidentes de cibersegurança e cibercrimes registados pelo CERT.PT e pelas autoridades. Em 2022, o CERT.PT registou mais 14% de incidentes e, no mesmo ano, as autoridades registaram mais 48% de crimes informáticos.

Para além do número de incidentes em si, aumentou, também, o número de incidentes com muito impacto onde o ransomware é, diz, “o maior vilão para as organizações”. O CERT.PT registou, em 2022, 69 incidentes de ransomware, quase o dobro dos que foram registados em 2021 (35).

Assim, o ransomware foi a origem principal de violações de dados pessoais reportados à CNPD em 2022, com 110 casos (mais 57% do que em 2021). Também no ano passado, a Polícia Judiciária abriu 162 inquéritos ligados a casos de ransomware com impacto (mais 29% do que em 2021) e o ransomware foi considerado a ciberameaça mais relevante em 2022 e 2023 por especialistas num inquérito do Centro Nacional de Cibersegurança.

O desafio

O Coordenador do Centro Nacional de Cibersegurança partilhou, ainda, que o desafio atual das organizações passa pela sensibilização e pelo treino dos seus colaboradores, pelo desenvolvimento das capacidades, pela regulação e supervisão e pela resposta a incidentes.

A resposta passa pelo Quadro Nacional de Referência para a Cibersegurança – que orienta as organizações na adoção das melhores práticas de cibersegurança –, pelo guião para a gestão de riscos – que ajuda as organizações a realizarem análises de riscos de cibersegurança –, pelos MOOC – cursos no formato e-learning que permitem, de forma gratuita, a aquisição de competências de ciberhigiene –, pelo serviço Panorama – destinado a operadores de serviços essenciais, de infraestruturas críticas e organismos da Administração Pública que informa, em tempo real, sobre a existência de ameaças –, pela transposição da nova diretiva da União Europeia para a Cibersegurança, a NIS 2, e, por fim, pela Estratégia Nacional de Segurança do Ciberespaço 3.0 revista e atualizada.

A IT Security Conference, que já se encontra esgotada há três semanas, tem o apoio da Palo Alto Networks, da HPE Aruba Networking, da Sophos, da Arcserve, da Cato Networks, da Claranet, da IBM, da Logicalis, da RedShift, da S21sec, da A10, da Cisco, da Cloudflare, da Cybersafe, da Dell Technologies, da Lenovo, da Fortinet, da Oramix, da SealPath, da Varonis, da VisionWare, da WatchGuard, da Balwurk, da Divultec, da HP, da LG, da ManageEngine, da Veeam, da V-Valley, da Westcon, da Arrow, da Ingecom e da Pal Consulting, assim como o apoio institucional do Centro Nacional de Cibersegurança e da CIIWA.

Leia a reportagem completa da IT Security Conference na edição 15 (dezembro) da IT Security