A importância crescente da Ciber Resiliência no mercado nacional
De acordo com uma publicação recente, Angola terá mais de 9,5 milhões de subscritores de Internet, o que deverá aumentar no futuro próximo. Com a digitalização de serviços e a normalização do trabalho remoto, a exposição a ciber ataques aumentou, sendo crucial evoluir a abordagem ao conceito de Continuidade de Negócio para Ciber Resiliência.
No passado recente foram reportados alguns exemplos de ataques cibernéticos no mercado nacional, dos quais resultaram paralisações de serviços e comprometimento de informação com consequentes danos financeiros e reputacionais para as empresas impactadas.
É necessário assumir uma abordagem assente em frameworks e regulamentação de referência para analisar as fragilidades e riscos e definir um plano acção pragmático, assumindo um papel de parceiro nesta jornada de evolução da maturidade das organizações.
Angola terá uma adopção da Internet que deverá rondar 1/3 da sua população, o que tem impulsionado a procura por serviços e produtos online como internet banking, comércio electrónico, aplicativos de mobilidade urbana, redes sociais e serviços públicos digitais. Além do investimento na infra-estrutura de telecomunicações nacional, a pandemia Covid-19 contribuiu para uma aceleração da adopção de serviços digitais, forçando uma adaptação de modelos de negócio e dos formatos de trabalho. Nesta senda, o Executivo lançou em 2022 a iniciativa Smart Angola que visa tornar o País numa economia digital.
A ciber resiliência é a capacidade de uma entidade resistir, adaptar-se e continuar a fornecer os serviços e resultados pretendidos, independentemente dos cenários provocados por ciberataques e/ou incidentes de segurança da informação. Conscientes desta noção, têm sido implementadas iniciativas como a definição da Estratégia Nacional de Cibersegurança e, a criação da Agência Nacional de Cibersegurança e da Agência Nacional de Protecção de Dados. Em paralelo, foi lançada legislação e regulamentação específica como o Aviso nº 08/2020 e a Lei nº 23/11, focados na protecção das infra-estruturas críticas nos sectores de energia, telecomunicações e serviços financeiros. A ciber resiliência passou a ser um tópico prioritário para a administração pública, para os negócios, sociedade civil e, a segurança nacional. É esperada uma exigência e transparência crescente no reporte de incidentes e maior foco na mitigação de riscos e compliance da legislação, regulação e políticas vigentes.
O crescimento da digitalização dos negócios também tem induzido uma maior predisposição para soluções cloud mas, a (ainda) reduzida literacia digital dos utilizadores, induz um crescente risco de ataques cibernéticos. O relatório da Check Point Research indica que os ataques cibernéticos em Angola aumentaram 58% em 2021, face ao ano anterior, e tiveram como principal alvo o sector financeiro. A Kaspersky considera que a maioria dos incidentes de Segurança da Informação é consequência de erro humano, seja por meio de ataques, exploração de aplicativos acessíveis ao público, e-mails maliciosos (phishing), exploração de sites utilizados pelos usuários, drives portáteis ou insiders. Um relatório recente da IBM indica que incidentes desta natureza podem ter um impacto na ordem dos milhões de dólares em organizações de grande dimensão e, que a sua incidência tem aumentado a um ritmo de 5% ao ano.
Identificamos três desafios-chave a nível de ciber resiliência no mercado nacional:
1.Reduzida relevância estratégica: pouco empowerment ou secundarização da Função de Segurança de Informação, o que condiciona o investimento e despesa na infra-estrutura e ferramentas de cibersegurança – muitos decisores acabam por não entender os riscos associados às debilidades de segurança até sofrerem um ataque disruptivo com prejuízos económicos e operacionais para a organização;
2.Rápida evolução tecnológica: a aposta na evolução tecnológica e digital por parte das organizações, seja no modelo de negócio e relação com clientes, como na melhoria da eficiência e eficácia dos processos, exige o devido acompanhamento de segurança;
3.Consciencialização dos utilizadores: crítico capacitar a 1ª linha de defesa – os utilizadores –, portanto, implementar programas de sensibilização e formação dos diferentes stakeholders permite fomentar uma cultura de segurança, num movimento similar ao verificado no passado com o tema da segurança do trabalho, que se reflectiu numa redução expressiva do número de incidentes e acidentes.
Para abordar a ciber resiliência será importante clarificar os objectivos e políticas aplicáveis, caracterizar ameaças e, mapear a arquitectura aplicacional e identificar as vulnerabilidades. Depois analisam-se soluções possíveis, definem-se os investimentos e custos associados e, estima-se o custo potencial de disrupções parciais ou totais dos serviços em caso de incidentes. É recomendável a adopção de frameworks como a NIST, que considera a avaliação de riscos, o planeamento da resposta, o backup e recuperação de dados, a formação dos utilizadores e, a gestão do risco de terceiros, focando-nos em capacitar as organizações face ao contexto do seu sector, realizando uma avaliação da maturidade e definindo medidas para uma evolução sustentável.
Seja na perspectiva estratégica, táctica, técnica ou operacional e, por via da gestão da mudança e adopção de comportamentos que promovam uma maior e melhor resiliência digital, é possível contribuir para um melhor mundo de negócios.
JLo do lado errado da história