Com a digitalização de serviços e a normalização do trabalho remoto, a exposição a ciber ataques aumentou, sendo crucial evoluir a abordagem ao conceito de Continuidade de Negócio para Ciber Resiliência.
Angola terá uma adopção da Internet que deverá rondar 1/3 da sua população, o que tem impulsionado a procura por serviços e produtos online como internet banking, comércio electrónico, aplicativos de mobilidade urbana, redes sociais e serviços públicos digitais. Além do investimento na infra-estrutura de telecomunicações nacional, a pandemia Covid-19 contribuiu para uma aceleração da adopção de serviços digitais, forçando uma adaptação de modelos de negócio e dos formatos de trabalho. Nesta senda, o Executivo lançou em 2022 a iniciativa Smart Angola que visa tornar o país numa economia digital.
A ciber resiliência é a capacidade de uma entidade resistir, adaptar-se e continuar a fornecer os serviços e resultados pretendidos, independentemente dos cenários provocados por ciberataques e/ou incidentes de segurança da informação. Conscientes desta noção, têm sido implementadas iniciativas como a definição da Estratégia Nacional de Cibersegurança e, a criação da Agência Nacional de Cibersegurança e da Agência Nacional de Protecção de Dados. Em paralelo, foi lançada legislação e regulamentação especifica como o Aviso nº 08/2020 e a Lei nº 23/11, focados na protecção das infra-estruturas críticas nos sectores de energia, telecomunicações e serviços financeiros. A ciber resiliência passou a ser um tópico prioritário para a administração pública, para os negócios, sociedade civil e, a segurança nacional. É esperada uma exigência e transparência crescente no reporte de incidentes e maior foco na mitigação de riscos e compliance da legislação, regulação e políticas vigentes.
O crescimento da digitalização dos negócios também tem induzido uma maior predisposição para soluções cloud mas, a (ainda) reduzida literacia digital dos utilizadores, induz um crescente risco de ataques cibernéticos. O relatório da Check Point Research indica que os ataques cibernéticos em Angola aumentaram 58% em 2021 face ao ano anterior e tiveram como principal alvo o sector financeiro. A Kaspersky considera que a maioria dos incidentes de Segurança da Informação é consequência de erro humano, seja por meio de ataques, exploração de aplicativos acessíveis ao público, e-mails maliciosos (phishing), exploração de sites utilizados pelos usuários, drives portáteis ou insiders. Um relatório recente da IBM indica que incidentes desta natureza podem ter um impacto na ordem dos milhões de dólares em organizações de grande dimensão e, que a sua incidência tem aumentado a um ritmo de 5% ao ano.
Identificamos três desafios-chave a nível de ciber resiliência no mercado nacional:
- Reduzida relevância estratégica: pouco empowerment ou secundarização da Função de Segurança de Informação, o que condiciona o investimento e despesa na infra-estrutura e ferramentas de cibersegurança – muitos decisores acabam por não entender os riscos associados às debilidades de segurança até sofrerem um ataque disruptivo com prejuízos económicos e operacionais para a organização;
- Rápida evolução tecnológica: a aposta na evolução tecnológica e digital por parte das organizações, seja no modelo de negócio e relação com clientes, como na melhoria da eficiência e eficácia dos processos, exige o devido acompanhamento de segurança;
- Consciencialização dos utilizadores: crítico capacitar a 1ª linha de defesa – os utilizadores – portanto implementar programas de sensibilização e formação dos diferentes stakeholders permite fomentar uma cultura de segurança, num movimento similar ao verificado no passado com o tema da segurança do trabalho, que se reflectiu numa redução expressiva do número de incidentes e acidentes.
Para abordar a ciber resiliência será importante clarificar os objectivos e políticas aplicáveis, caracterizar ameaças e, mapear a arquitectura aplicacional e identificar as vulnerabilidades. Depois analisam-se soluções possíveis, define-se os investimentos e custos associados e, estima-se o custo potencial de disrupções parciais ou totais dos serviços em caso de incidentes. Na EY adoptamos frameworks como a NIST, que considera a avaliação de riscos, o planeamento da resposta, o backup e recuperação de dados, a formação dos utilizadores e, a gestão do risco de terceiros. Focamo-nos em capacitar as organizações face ao contexto do seu sector, realizando-se uma avaliação da maturidade e definindo-se medidas para uma evolução sustentável.
Temos colaborado com empresas de referência no mercado, realizamos surveys sobre cybersegurança cujos resultados são partilhados publicamente, participamos em vários eventos e, continuamos a investir na nossa equipa e no estabelecimento de parcerias que permitam aumentar a capacidade de resposta. Fazemos questão de contribuir para um melhor mundo de negócios, seja na perspectiva estratégica, táctica, técnica ou operacional e, por via da gestão da mudança e adopção de comportamentos que promovam uma maior e melhor resiliência digital.