Angola está envolvida na onda actual de digitalização que decorre em empresas de todo o Mundo. Porém, este processo de digitalização acarreta riscos associados à protecção dos sistemas utilizados com recurso à ligação cibernética e, por conseguinte, existe a necessidade premente de garantir a segurança da informação de utilizadores ou empresas. Neste contexto, ataques informáticos tornam-se cada vez mais iminentes, podendo causar paralisações nos serviços dos quais grande parte da população depende todos os dias, como seja o pagamento de bens e serviços, a incapacidade das redes telefónicas ou mesmo cortes na rede eléctrica.

No caso de um ataque cibernético, o impacto pode ser sentido principalmente em três níveis: financeiro; operacional ou reputacional.

Financeiramente, o impacto pode ser catastrófico, dependendo do tamanho da empresa. Em 2017, o vírus intitulado ‘Wannacry’ infectou mais de 400 mil dispositivos e uma perda de cerca de quatro mil milhões de dólares. Operacionalmente, a recuperação após um ataque cibernético pode afectar a produtividade das organizações. O vírus ‘Wannacry’ obrigou à ‘imobilização’ de estruturas importantes para a sociedade, como bancos, hospitais e agências governamentais. Reputacionalmente, pode dar-se a deterioração da relação entre as empresas afectadas e os seus ‘stakeholders’, desde os investidores, agências reguladoras, até aos clientes finais, com a perda de confiança numa marca/empresa/organização, especialmente aquelas que guardam os dados dos cidadãos ou utilizadores. A título de exemplo, a revelação de que os dados de um elevado número de utilizadores do Facebook foram partilhados com outras entidades levou a que 44% dos utilizadores entre os 18-29 anos apagassem a aplicação dos telefones.

Como pode então uma organização fortalecer-se contra ataques cibernéticos ou mitigar os referidos riscos?

A resiliência deve começar na priorização da criação, actualização e constante monitorização de procedimentos de segurança, em todos os processos da organização que envolvam sistemas de informação, assim como assegurar que existem controlos implementados para mitigar os riscos previamente referidos. Iniciativas de formação do pessoal ou criação de planos de recuperação de desastre são alguns exemplos de controlos que podem ser implementados no curto prazo e que incutem maior segurança informática às empresas. A questão não é SE vai acontecer, mas sim QUANDO vai acontecer!

Pedro Figueira, Senior Consultant EY, Advisory

Pedro Novo, Executive Director EY, Advisory