Pandemia acelera procura por responsáveis pela cibersegurança

A procura pela posição de Chief Information Security Officer (CISO), i.e., responsável pela segurança da informação e cibersegurança, estava a crescer em Portugal, à medida que as organizações digitalizavam operações e que a perceção de risco associada aos sistemas também aumentava. A pandemia de Covid-19 veio acelerar esta tendência, ao obrigar a um recurso generalizado ao teletrabalho e à utilização de sistemas de uma forma mais aberta, aumentando o risco associado ao desenvolvimento das operações.

Num ecossistema virtual que inclui cada vez mais o Bring Your Own Device (BYOD), ou seja, em que cada pessoa utiliza os seus próprios equipamentos, e também a Internet das Coisas (IoT), as firewalls tradicionais não garantem total proteção e o risco humano, de quem interage com os sistemas, aumentou.

Se a segurança diz respeito à forma como as organizações protegem os dados, a privacidade é a forma como ela é usada. Dito de outra maneira, a privacidade não é uma questão sobre o que é legítimo fazer. Em vez disso, trata-se do que é eticamente correto, sendo isso cada vez mais definido por consumidores e utilizadores, segundo a consultora Korn Ferry.

O CISO tem como principal função aconselhar a equipa executiva sobre as necessidades da organização em atender aos requisitos de segurança para fazer negócios em determinado sector. Supervisiona uma equipa que, em conjunto, tem uma visão dos riscos que a empresa enfrenta e implementa as tecnologias e processos de segurança necessários para minimizar esses mesmos riscos para toda a organização. Tem autoridade para comunicar os riscos a quem toma decisões e agir de forma independente quando necessário. Também defende investimentos e recursos para garantir que as práticas de segurança recebem a atenção adequada.

Em Portugal, a Opensoft foi uma das primeiras empresas na criação do cargo, indo ao encontro das crescentes preocupações com a cibersegurança. Para Ricardo Anastácio, CISO da Opensoft, é “indispensável a criação de postos e cargos específicos para o efeito”. Depois da União Europeia (UE) ter criado o Regulamento Geral de Proteção de Dados (RGPD), com o intuito de proteger as pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados, foi introduzido um conjunto de novas regras, entre as quais se destaca a obrigação de designar um encarregado para a proteção de dados, regras sobre pseudonimização de dados, alteração das regras sobre obtenção de consentimento, novas regras sobre consentimento de menores, eliminação do sistema de notificações e autorizações, implementação do direito ao esquecimento, criação de obrigações acrescidas para os subcontratados, introdução de coimas de valor muito elevado e obrigações de informação relativas a quebras de segurança.

Neste sentido, Ricardo Anastácio considera que “há uma preocupação crescente, quer por parte das entidades governamentais, quer por parte das empresas, em segurar os seus ativos. Esta preocupação está a ser promovida em parte pelo RGPD e respetiva legislação portuguesa que o acompanha, mas também pelas incessantes notícias de informações expostas que têm impacto de milhões de euros no negócio das empresas.

O CISO da Opensoft sublinha que o número de empresas em Portugal que querem profissionalizar a área da cibersegurança ainda é reduzido, com “muitas empresas ainda em fase de adaptação, que acabam por delegar estas responsabilidades a técnicos internos com alguma apetência para a cibersegurança, ou a contratar empresas especializadas na área para gerir os seus ativos e implementar as medidas de segurança necessárias. Só as grandes ou médias empresas com previsão de crescimento sustentado, como a Opensoft, é que valorizam esta posição, definindo funções específicas que, por norma, estão incluídas na política de segurança de informação da empresa”.

Nas empresas de recursos humanos também se nota a tendência para a necessidade de as organizações empresariais terem nos seus quadros um CISO. A Michael Page, através da sua consultora senior para informação tecnológica Tatiana Leitão da Silva, refere que a procura tem vindo a aumentar gradualmente, sublinhando que, “se há alguns anos não era uma posição que existisse frequentemente em Portugal, hoje em dia, com uma visão diferente em relação a dados e a tecnologia, começa a ser uma posição mais regular. Sobretudo em empresas de maior dimensão ou de sectores que podem representar riscos maiores, como a banca, seguros, indústria, mas não exclusivamente”.

Tatiana Leitão da Silva destaca que, “numa altura em que o processamento de dados e de informação é cada vez maior, o papel do CISO torna-se indispensável de modo a proteger e a mitigar os riscos associados. Sobretudo numa altura em que o trabalho remoto é uma realidade indiscutível, os sistemas podem tornar-se mais vulneráveis a ataques e fugas de informação”.