Os recentes ataques de ransomware a empresas europeias demonstram que as ciberameaças são inevitáveis; as organizações devem preparar-se proactivamente em vez de reagirem após a ocorrência de um incidente.

Em 11 de janeiro de 2025, uma empresa tecnológica holandesa especializada no tratamento sustentável de resíduos foi forçada a suspender as operações devido a um ataque de ransomware do grupo BlackBasta, que encriptou mais de 500 GB de dados críticos. No mesmo dia, uma empresa belga de fabrico sofreu um ataque semelhante, perdendo 600 GB de informação sensível. Estes incidentes, embora não tenham afetado diretamente os dados pessoais dos utilizadores individuais, perturbaram as cadeias de abastecimento e causaram danos financeiros e de reputação significativos. Os cibercriminosos estão a visar não só empresas de renome, mas também indústrias críticas. Já não é uma questão de saber se uma organização será atacada, mas sim quando e se está preparada.

Muitas organizações continuam expostas porque a segurança não está totalmente integrada nos seus processos empresariais, o que torna uma estratégia proactiva e abrangente essencial para uma resiliência a longo prazo.

A cibersegurança é um pré-requisito para a continuidade do negócio e deve ser uma prioridade máxima na sala de reuniões, mas muitas empresas permanecem vulneráveis devido à falta de integração da segurança na sua estrutura organizacional e nos seus processos de negócio. Muitas vezes, as medidas são tomadas apenas após a ocorrência de incidentes ou devido a pressões regulamentares. Em contrapartida, as organizações que adoptam uma abordagem proactiva e holística registam menos falhas de segurança. Este artigo explora a importância de uma estratégia integrada de cibersegurança, as deficiências comuns e a forma como as empresas podem criar resiliência a longo prazo. Numa série de artigos de seguimento, definiremos estratégias claras a implementar e medidas práticas a adotar para construir uma base de resiliência e segurança da informação nas organizações.

Exemplo de uma oportunidade perdida: violação de dados devido à falta de uma visão integrada A violação da Equifax em 2017 mostra que as correcções técnicas isoladas - sem uma gestão integrada de correcções, uma análise de riscos e uma propriedade clara - podem conduzir a enormes prejuízos financeiros e de reputação.

Um exemplo notável dos riscos da segurança ad hoc é a violação de dados da Equifax em 2017. Esta agência de crédito americana expôs os dados pessoais de milhões de clientes devido ao facto de não ter corrigido atempadamente uma vulnerabilidade de software conhecida. Apesar de dispor de defesas tecnológicas, como firewalls e sistemas de deteção de intrusões, uma investigação revelou que a gestão de correcções e a análise de riscos não estavam devidamente integradas nos processos empresariais. A organização não tinha visibilidade sobre o local onde os sistemas vulneráveis estavam a funcionar e as responsabilidades não eram claras.

O incidente mostrou que a aplicação de algumas soluções técnicas separadas não oferece garantias se não existir uma política integrada. A falta de propriedade, a fraca comunicação entre departamentos e a visibilidade insuficiente dos dados críticos contribuíram para o impacto desta violação de dados. O custo para a Equifax foi de centenas de milhões de dólares e os danos para a reputação foram enormes.

Pensamento holístico de segurança: mais do que tecnologia

Uma cibersegurança eficaz vai além da tecnologia, exigindo uma sensibilização humana contínua, uma garantia baseada em processos e uma governação sólida para integrar a segurança em todas as facetas da organização.

Uma das principais conclusões destes incidentes é que a cibersegurança exige mais do que apenas ferramentas técnicas como software antivírus, firewalls ou um teste de penetração único. Embora estas tecnologias sejam valiosas, devem ser integradas num sistema em que as pessoas, os processos e as políticas estejam perfeitamente alinhados.

  • O fator humano. Muitos incidentes de segurança resultam de erro humano - um clique desatento numa ligação de phishing, uma má configuração da nuvem ou o acesso não autorizado a contas. A sensibilização e a formação contínua são, por conseguinte, indispensáveis. Isto vai para além de um programa de sensibilização pontual; requer uma cultura em que os empregados se atrevam a comunicar incidentes e quase-incidentes, sem receio de sanções.
  • Garantia baseada em processos. A segurança deve ser um ponto recorrente da agenda: desde o desenvolvimento de produtos e seleção de fornecedores até à utilização diária dos sistemas. Por exemplo, integrar a gestão do risco nos processos de mudança, para que não seja algo que tenha de ser arranjado “depois”.
  • Governação e propriedade. Sem responsabilidades claras e uma divisão clara de tarefas, a cibersegurança fica muitas vezes presa a boas intenções. Por conseguinte, nomeie um CISO ou um gestor de segurança com um mandato e uma estrutura de comunicação claros. Isto garante que os riscos e incidentes recebem atenção a nível da direção.

A integração destes elementos num quadro unificado garante que a segurança não seja uma reflexão tardia, mas uma componente essencial da estratégia e das operações.

O papel das leis e regulamentos Quadros em evolução, como a Lei da Cibersegurança da UE, a Lei da Ciber-resiliência e a NIS2, impõem obrigações e orientações mais rigorosas, sublinhando que as organizações devem ir além da mera conformidade para satisfazer expectativas de segurança mais elevadas.

Na Europa, a atenção jurídica à segurança digital está a aumentar consideravelmente. Alguns desenvolvimentos importantes:

  • Lei da Cibersegurança da UE. Este regulamento introduziu um quadro europeu para a certificação de produtos e serviços TIC. As organizações podem ter as suas soluções avaliadas em termos de segurança, criando um mercado mais transparente.
  • Lei sobre a ciber-resiliência. Esta lei consagra o princípio da “segurança desde a conceção” ao longo de todo o ciclo de vida do hardware e do software. Os fabricantes e fornecedores continuam a ser obrigados a corrigir as vulnerabilidades e a informar os utilizadores sobre as mesmas.
  • NIS2 (Diretiva relativa à segurança das redes e da informação). A Diretiva SRI reforçada alarga o âmbito de aplicação a mais sectores (incluindo o sector da energia, os cuidados de saúde, os transportes e os serviços digitais críticos) e estabelece requisitos mais rigorosos em matéria de comunicação de incidentes e de responsabilidade administrativa, entre outros aspectos.
  • Lei da IA da UE. A Lei da IA da UE estabelece um quadro abrangente para regulamentar a inteligência artificial, definindo normas de transparência, responsabilidade e gestão de riscos. Assegura que os sistemas de IA são desenvolvidos e implantados de forma segura, ética, fiável e baseada no risco, servindo de ponte crucial entre as medidas tradicionais de cibersegurança e os desafios emergentes específicos da IA, com um enfoque adicional na governação e integridade dos dados.

Estes regulamentos impõem obrigações adicionais às organizações, ao mesmo tempo que oferecem orientações mais claras. No entanto, as empresas que se limitam a cumprir as listas de verificação regulamentares descobrirão que a fasquia das expectativas de segurança continua a subir.

IA e dados: a próxima vaga de riscos

A IA introduz novos desafios - desde ataques adversários e envenenamento de modelos a violações da privacidade e preconceitos - que devem ser geridos através de medidas de segurança integradas que se alinham com as estratégias organizacionais globais.

A Inteligência Artificial (IA) está a revolucionar as indústrias, mas também introduz novos desafios de cibersegurança que as organizações não se podem dar ao luxo de ignorar. Os sistemas alimentados por IA processam grandes quantidades de dados sensíveis, tomam decisões críticas e automatizam processos complexos, o que os torna alvos atractivos para os cibercriminosos. Sem uma forte governação e medidas de segurança, a IA pode tornar-se tanto um alvo como uma arma na guerra cibernética.

Viés na IA: uma questão de segurança e governação

Embora o enviesamento da IA seja frequentemente discutido em contextos éticos e sociais, é também um risco para a segurança e a governação. A tomada de decisões com falhas na IA pode introduzir vulnerabilidades ocultas, incluindo

  • Falhas na deteção de fraudes - Se os modelos de IA utilizados para a prevenção de fraudes favorecerem certos padrões e ignorarem outros, os cibercriminosos podem explorar preconceitos para escapar à deteção.
  • Classificação incorrecta das ameaças à segurança - As ferramentas de deteção de ameaças baseadas em IA treinadas em conjuntos de dados tendenciosos podem não reconhecer novas ciberameaças, tornando-as ineficazes contra ataques em evolução.
  • Riscos regulamentares e de conformidade - O aumento da Lei da IA da UE e de outros regulamentos globais significa que as empresas que implementam a IA têm de garantir a transparência, a responsabilidade e a conformidade da segurança. As organizações que não governam e não auditam corretamente os seus modelos de IA podem enfrentar multas, danos à reputação ou responsabilidade legal.

A IA como um risco para a segurança

Os modelos de Inteligência Artificial (IA) são tão fiáveis quanto os dados com que são treinados. Quando os conjuntos de dados de reconhecimento facial consistem principalmente em imagens de determinados grupos populacionais, isso pode levar a um modelo que dificilmente reconhece bem outros grupos. Esta situação não só é prejudicial para as pessoas afectadas, como também pode causar danos à reputação e consequências legais para a organização que utiliza a IA.

  • Deepfakes. Os modelos avançados de IA podem gerar vídeos, áudio e imagens realistas, que fazem com que as pessoas pareçam dizer ou fazer coisas que nunca aconteceram. Este fenómeno pode ser utilizado para fraude, chantagem ou desinformação com motivações políticas. As organizações devem investir em ferramentas de deteção e na formação de sensibilização dos funcionários para ajudar a identificar precocemente os conteúdos deepfake.
  • Ataques adversários. Os atacantes introduzem dados manipulados nos modelos de IA para os enganar. Por exemplo, pequenas perturbações numa imagem podem fazer com que um sistema de vigilância alimentado por IA identifique incorretamente as ameaças. Estes tipos de ataques exigem verificações adicionais dos dados de entrada e validação periódica do modelo.
  • Envenenamento de modelos. Os cibercriminosos injectam dados maliciosos em conjuntos de treino de IA, corrompendo algoritmos e conduzindo a resultados não fiáveis ou perigosos.
  • Privacidade e violações de dados. Muitos modelos de IA dependem de grandes quantidades de dados pessoais e comerciais sensíveis. Se estes forem insuficientemente anonimizados ou armazenados de forma incorrecta, uma pirataria informática ou uma má configuração podem conduzir a graves violações da privacidade. Por conseguinte, a tónica é colocada na classificação dos dados, no controlo rigoroso do acesso e na encriptação.
  • Ciberataques alimentados por IA. Os piratas informáticos estão a utilizar cada vez mais a IA para automatizar ataques, identificar vulnerabilidades mais rapidamente e contornar as medidas de segurança tradicionais. Campanhas de phishing orientadas por IA, fraudes baseadas em deepfake e ferramentas automatizadas de testes de penetração já estão a ser utilizadas na natureza.

Integrar a segurança da IA em estratégias holísticas de cibersegurança Para proteger os sistemas orientados para a IA, as organizações devem integrar a segurança da IA no seu quadro mais vasto de cibersegurança e governação:

  • Governação da IA baseada no risco. Os modelos de IA devem ser continuamente monitorizados quanto a enviesamentos, falhas de segurança e vulnerabilidades adversas.
  • Proteção de dados e controlos de acesso. Os sistemas de IA devem ser construídos com encriptação forte, anonimização de dados e controlos de acesso rigorosos baseados em funções.
  • Testes de cibersegurança específicos para IA. Efetuar simulações de ataques adversários, red teaming e auditorias regulares para garantir que os mecanismos de segurança da IA são resistentes.
  • Equipas de segurança de IA multifuncionais. A segurança da IA não deve ser deixada apenas para a TI. As equipas jurídicas, de conformidade, de segurança e de engenharia devem trabalhar em conjunto para gerir os modelos de IA e aplicar as melhores práticas de segurança.

Uma estrutura sólida de governação de dados é, por conseguinte, essencial: definir que dados recolhe, onde são armazenados, quem tem acesso aos mesmos e que medidas de segurança são necessárias. As organizações que implementam a IA sem adaptarem o seu quadro de segurança arriscam-se a ficar expostas a novos vectores de ataque. A legislação, como a (futura) Lei da IA, também exige transparência, explicabilidade e documentação dos sistemas de IA. Uma visão holística da segurança não é um luxo, mas uma necessidade amarga.

Aprender com os sectores altamente regulamentados Indústrias como a aviação e a farmacêutica ilustram como processos rigorosos e continuamente monitorizados e listas de verificação abrangentes conduzem a uma segurança e fiabilidade superiores, servindo de modelos valiosos para outros sectores.

Nas indústrias em que a segurança é literalmente de importância vital - como a aviação e a indústria farmacêutica - uma abordagem integrada tem sido central durante décadas.

  • Aviação. Desde as listas de verificação pré-voo até à comunicação de incidentes, todos os passos são registados de acordo com os procedimentos. As listas de controlo não são apenas listas de controlo formais, mas instrumentos que tornam visíveis e verificáveis os passos cruciais. Os erros são detectados rapidamente e podem ser tratados de forma sistemática.
  • Farmácia. No sector farmacêutico, existem requisitos de validação rigorosos para equipamentos e processos (“Quality by Design”). Todos os elos da cadeia (da investigação à produção) são documentados e monitorizados. Isto cria uma cultura em que a melhoria contínua e a análise exaustiva dos riscos são evidentes.

Estes sectores mostram que os regulamentos e as listas de controlo rigorosamente regulamentados não são, por definição, obstrutivos. Pelo contrário: se utilizadas corretamente, ajudam a minimizar os riscos e a detetar erros numa fase precoce. O segredo está no facto de as pessoas trabalharem realmente com elas na prática e aprenderem com isso, em vez de se limitarem a cumprir “oficialmente” as regras. Este princípio - integrar a segurança em todos os níveis da organização - também pode ser aplicado no domínio das TI e da segurança da informação.

Da conformidade à segurança intrínseca A transição da conformidade regulamentar básica para uma cultura de segurança intrínseca exige um forte empenho da gestão, abordagens baseadas no risco, utilização eficaz de listas de verificação, eliminação de silos e melhoria contínua.

Como passar de uma “conformidade mínima” para uma cultura de segurança intrínseca? Alguns pontos de atenção:

  1. Compromisso da direção. Se a direção encarar a segurança sobretudo como um elemento de custo ou como uma condição prévia, os trabalhadores sentirão a segurança dessa forma. Só quando a direção deixa claro que a segurança é uma prioridade estratégica e liberta recursos (orçamento, pessoas, tempo) para o efeito, é que a organização tem a possibilidade de tomar medidas reais.
  2. Trabalho baseado no risco. Comece com a pergunta: “Onde estão as nossas verdadeiras jóias da coroa?” Concentre a segurança nos dados, processos e sistemas que causam os maiores danos em caso de perda ou utilização incorrecta. Isto impede-o de investir indiscriminadamente em soluções “aleatórias”.
  3. Utilizar corretamente as listas de verificação. Normas como a ISO 27001, a série ETSI TR 103 305 e enquadramentos como o NIST CSF fornecem uma estrutura sólida e ajudam a não esquecer nada de importante. O essencial é que compreenda por que razão assinala determinados pontos e de que forma isso torna a sua organização mais segura. Pense nas listas de controlo como uma ferramenta e não como um fim em si mesmo.
  4. Eliminar os silos. A cibersegurança vai para além das TI e exige uma abordagem multifuncional. Os aspectos jurídicos (contratos, conformidade), os RH (procedimentos de contratação, formação), as instalações (segurança física) e as aquisições (gestão de fornecedores) desempenham todos um papel importante. Crie um grupo de trabalho multidisciplinar ou um grupo diretor que seja amplamente responsável pela abordagem integrada.
  5. Melhoria contínua. A cibersegurança nunca está “acabada”. Criar um ciclo fixo de monitorização, avaliação, comunicação e ajustamento. Efetuar análises de incidentes e tendências para identificar padrões. Um ciclo estruturado de Planear-Fazer-Verificar-Atuar (PDCA) alinha-se com os métodos de garantia de qualidade, ajudando as organizações a manterem-se à frente das ameaças emergentes e das alterações regulamentares.

Conclusão: o caminho a seguir Uma estratégia holística de cibersegurança, tratada como um processo de melhoria contínua, é essencial para reduzir os riscos e garantir a resiliência organizacional, acabando por transformar a segurança num verdadeiro fator de sucesso.

Muitas organizações têm a intenção de melhorar a sua segurança, mas têm dificuldade em traduzi-la na prática quotidiana. No caso de incidentes - como a violação de dados da Equifax e os exemplos holandês e belga mencionados no parágrafo inicial, ou outros numerosos ataques de ransomware, phishing, negação de serviço e outros - verificamos sempre que faltava uma ou mais facetas cruciais: propriedade, conhecimento dos dados valiosos, disciplina de processos ou sensibilização dos funcionários.

Entretanto, a pressão das leis e regulamentos está a aumentar, mas também dos clientes e parceiros de cooperação que exigem que a confidencialidade e a continuidade sejam garantidas. No entanto, há também um lado positivo: aqueles que optam por uma abordagem integrada e investem em pessoas, processos e tecnologia descobrirão que os requisitos de conformidade são mais fáceis de cumprir. Para além disso, beneficia de uma maior fiabilidade e de uma melhor imagem.

A “cibersegurança holística” pode ser vista como um processo de melhoria contínua, no qual se aprende continuamente com os erros, as novas ameaças e os conhecimentos de todo o sector. Ao olhar para as lições aprendidas, por exemplo, na aviação e na indústria farmacêutica, ou para os riscos adicionais introduzidos pela IA, pode reforçar a espinha dorsal da sua própria organização. Desta forma, evita-se que a segurança seja algo que só se organiza “a posteriori” ou “no papel”, transformando-a num verdadeiro fator de sucesso.