De acordo com o analista sénior, Varela da Silva, adoptar a cibersegurança não se resume em implementar ferramentas e formar colaborador sobre como a ferramenta funciona, é necessário compor um sistema de gestão de segurança através de dispositivo de controlo e gestão como Análise de risco, Politica de Segurança, Controle de acesso físico e Lógico, Treinamento e Conscientização para Segurança de Informação, Plano de Contingência ou Continuidade de Negócio, devendo ser adequada a sua implementação a medida de cada organização.

“Isso pode ser facilitado se a corporação tem devidamente definido o que deve ser protegido, contra o que será necessário proteger, como será feito a protecção?” Elucida. “Definir níveis de segurança é a forma mais adequada para qualquer organização, uma abordagem que facilita um bom enquadramento é saber como avaliar o custo-benefício, ter a certeza que o custo de implementação de qualquer sistema de segurança adquirido justifica os benefícios obtidos com a protecção de activos a serem tidos em conta”.

Considera ser necessário pensar que Segurança de Informação para qualquer instituição, sendo da banca e não só, garante que as exposições aos riscos, se encontram diminuídas nos mais variados ambientes e permite poder estender a segurança a todos os seus produtos e serviços, resultando em satisfação garantida dos clientes.

Dessa forma a redução dos riscos contra a fuga de informações confidenciais e/ou sigilosas, redução da probabilidade de fraudes, diminuição de erros devido a tratamento e mudança de comportamento, manuseio correcto de informações confidenciais, mostram a importância de se enquadrar Segurança nos negócios.

Alerta que para o risco de aquisição de tecnologia inadequada a necessidade corporativa, fazendo com que falhas organizacionais de pessoas e processos sejam uma brecha ainda maior que o parque tecnológico. A abordagem correcta de implementação de cibersegurança começa por cobrir com tecnologia adequada a empresa, garantir que se cumpram os processos com as melhores práticas possíveis, e cobrir a organização e pessoas com a expertise certa a fim de se manusear todo este campo.

Por sua vez, o analista sénior de Cibersegurança, Ricardo Martins Ramos, refere que é preciso saber qual o objectivo da maturidade actual de cibersegurança; avaliar os projectos em curso de cibersegurança; e qual o orçamento que pode ser alocado para protecção de toda a empresa. “Com isso se poderá definir melhor as iniciativas necessárias para implementar melhores estratégias; melhorar a organização, processos e compliance; o roadmap terá as prioridades melhores definidas; e o orçamento poderá ser destinado para as necessidades e capacidades prioritárias”, diz Ricardo Martins Ramos, numa alusão de que “é preciso ter a certeza do que é inexistente, ad-hoc, reactivo, organizado, integrado para ser mais optimizado”.

Assim, explica Ricardo Martins Ramos, o processo de criar introspecção através de governar, identificar, proteger, detectar, responder e recuperar é feito de modo claro e suscito.

Camadas de defesa

Ricardo Martins Ramos entende que é possível criar estratégias de defesa que chamou de “camadas de defesa1ª, 2ª e 3ª”, tendo uma equipa de reacção a incidentes para monitorar, prevenir fraudes e investir sempre de modo gradual em conhecimento crítico e profundo da equipa.

Para este analista sénior de Cibersegurança, uma educação e conscientização cibernética é uma mais-valia para qualquer instituição que queira proteger-se ao máximo de ataques futuros, pois “está patente, ninguém está salvo de um ataque”. “O ideal é estar preparado ao ponto de quando ocorrer, o dano seja o menor possível”, alerta o especialista.

Contudo, Varela da Silva, corrobora com a opinião de Ricardo Martins Ramos ao afirmar que olhando para o nosso sector financeiro é preciso compreender que o custo humano e económico de funcionários mal treinados é muito alto, sendo que o dano reputacional se torna maior a cada dia, tornando-se no calcanhar de Aquiles de muitas instituições que ainda não adoptaram no mínimo a conscientização cibernética dos seus funcionários. “Os riscos económicos já não estão só ligados a instabilidades de preços, choque da variação das commodities, e as altas crises por causa das dívidas, inerentes a conflitos ou quebras de relações geopolíticas, existe actualmente um factor muito mais preocupante que tornou-se presente em muitos debates nacionais e internacionais, que causa interesse a todos os níveis sobre os ataques cibernéticos a volta de todo o globo”, ressalta.

Por isso, insiste, todos os anos a relatório do Fórum Economico Mundial que alerta sobre a crescente cadeia de preocupações acerca de estabilidade de qualquer economia, de instituição ou país.

O que tudo isso nos diz?

A dada altura, Ricardo Martins Ramos ressalta que com a inclusão do trabalho remoto para a banca e fraca/lenta adopção de muitas instituições financeiras para conscientização cibernética “abre uma brecha para que ataques de ransoware se intensifiquem”. “Afinal são os mais rentáveis; Botnets que ganham músculos nas infecções dentro das organizações sendo eficazes e de certo modo lucrativos; Deepfakes através de engenharia social está a garantir manipular colaboradores/indivíduos seja uma porta cada vez mais útil para roubo de informações e engendrar ataques cada vez mais sofisticados, por isso o policiamento interno das actividades organizacionais deve aumentar”, adianta.

Este analista refere ainda que, deve-se elevar o grau de implementação de políticas de privacidade e ferramentas no acesso a tudo que é crítico.

Dessa forma, explica, os bancos estão cada vez mais expostos a ataques, e com a visibilidade por causa da inovação o risco ao ritmo actual dos negócios se torna alto, tornando a prevenção um processo cada dia mais difícil. “Com a conectividade a chegar por todos os lados, as vulnerabilidades se tornam a grande dor de cabeça para a cibersegurança, pois elas estão nas câmeras, sensores, teclados digitais para acessos e outros aparelhos ligados a infra-estrutura”, observa Ricardo Martins Ramos.

Este é igualmente o pensamento de Varela da Silva que considera que com o aumento de ataques sofisticados é preciso muitas vezes terceirizar os serviços de cibersegurança, fruto da falta de mão-de-obra qualificada no mercado, o que chama atenção sobre os comportamentos, acessos, procedimentos e equipamentos. “Se faltar controlo acarreta uma facilidade para ataques, pois a superfície é maior e mais complexa para cobrir”, frisa.

Para Varela da Silva, os bancos precisam entrar na transformação digital e, para isso, é necessário ter apps viradas para smartphones e tablets, sites responsivos, serviços em cloud, tendo ironizado que “ter todo este serviço digital sem segurança cibernética é como entregar valores monetários altos a uma criança e lhe pedir para andar pelo bairro mais perigoso da cidade”.

Em 2018, sustenta, a Commonwealth Bank teve uma perda de registos bancários de cerca de 200 milhões USD por falta de cibersegurança e gestão de risco bem definidos, dessa forma podemos perceber a importância dos bancos implementarem cibersegurança. “A que se ter em conta que bancos pequenos também precisam pensar em ter cibersegurança, muitas percas foram em bancos pequenos, por pensarem que custa muito caro reservar orçamento para cibersegurança, hoje já existem soluções adequadas a necessidade do cliente a famosa alternância do pay as you grow (pague enquanto cresça).

Inovação e cibersegurança

Na óptica de Ricardo Martins Ramos, os bancos precisam saber que qualquer inovação deve antes de tudo ter o aval da área de cibersegurança para que os riscos e ameaças identificadas sejam corrigidos, para que se possa garantir a operacionalidade do próprio banco. “A cibersegurança não é um desafio tecnológico mas um desafio que precisa ser compreendido como a melhor forma de continuar qualquer negócio que queira ter a continuidade existente”, refere.

Diz ainda que, um ponto interessante é a evolução da identidade digital e o seu gerenciamento que vem se tornando num assunto crítico no processo de transformação digital. “Gerenciar o risco do trabalho remoto tem sido cada vez mais importante, dar suporte ao número de trabalhadores remotos e gerir todas as iniciativas digitais de transformação digital geram uma necessidade de optimizar processos e mais do que nunca de modo seguro a fim de proteger as equipas e durante a sua produtividade, garantindo qualidade e entregas seguras”, disse.

Quanto ao risco, apesar da melhoria do parque tecnológico, Ricardo Martins Ramos avança que os CISOs ajudam muitas vezes os líderes dos negócios a planearem de forma estratégica, para que riscos emergentes estejam previstos e o seu impacto seja mínimo, garantindo-se infraestrutura “mesmo que crítica, tenha soluções que minimizem os impactos”.

Os riscos e a cibersegurança

Os riscos, estes, consistem em financeiro (perda de valores e multas envolvidas), risco catastrófico (perda de comunicação e paralisação de serviços) e o mais temido risco reputacional (perda total/parcial do negócio aliada a falta de confiança gerada nos clientes).

Assim, dentro do panorama dos riscos globais do Fórum Economico Mundial, falhas relacionadas a segurança cibernética representam 39% e desigualdade digital de cerca de 38.3% no quesito a riscos de curto prazo (de 0 a 2 anos), pois estes representam riscos claros e presentes, e quando se falar em efeitos de cadeia- riscos de médio prazo (de 3 a 5 anos) quebra de infraestrutura de TI representam 53%, falha de segurança cibernética 49%, falha de governança tecnológica 48.1%. Contudo, a maior preocupação para países como o nosso, de acordo com os dois especialista prende-se com a concentração de capacidades digitais, o nível de literacia digital nacional ainda é baixo, que faz com que a desigualdade digital se torne num grande aliado em “minar recuperação em casos de catástrofes”. A lacuna digital para países como o nosso onde a literacia digital está abaixo dos 17%, segundo a datareportal.com, vem ajudando o País a ser cada vez mais invadido e explorado para fortalecer Crackers e no fim melhorar os skills destes.

África vulnerável

O continente africano ainda mostra que é bastante vulnerável ao cibercrime, apesar das disparidades na penetração da Internet em África e em outras regiões, refere um relatório da Interpol.

De acordo com a Interpol, as nações africanas estão a perder milhões USD, já que em 2017 as perdas económicas chegaram a USD 3,5 bilhões.

A Nigéria registou perdas de USD 649 milhões, o Quénia foi de USD 210 milhões, enquanto a África do Sul também relatou grandes perdas económicas devido a ataques cibernéticos, qualquer coisa como USD 157 milhões.

Comércio ilícito de minerais

Segundo a Interpol, os crimes cibernéticos em África incluem abuso e exploração sexual infantil, crimes ambientais, tráfico humano, tráfico de armas e drogas e comércio ilícito de minerais, entre outros.

Situação no País

Em Fevereiro de 2017, o Executivo aprovou a Lei de protecção das Redes e Sistemas Informáticos, que inclui o ciberterrorismo, com vista a proteger os cidadãos e as organizações de ciberataques.

A lei possui uma abrangência na qual os crimes cometidos em território nacional por cidadãos angolanos, estrangeiros ou por pessoa colectiva com domicílio no País, mesmo que visem alvos localizados fora de Angola, ou na situação inversa, onde o crime é cometido fora do País mas visando dados localizados em Angola.

Indicadores da União Internacional de Telecomunicações (UIT), aponta que em 2019 cerca de 4,1 mil milhões de pessoas a nível mundial usaram a Internet. Um aumento de 5,3% em relação ao ano anterior.

A UIT estimou que em 2019 nos países menos desenvolvidos, apenas 19% dos indivíduos utilizaram a internet, em comparação com 87% nos países desenvolvidos. Nesta escala, a África obteve a classificação mais baixa, com apenas 28% dos indivíduos utilizaram a Internet, em comparação com a Europa, que obteve a classificação mais elevada, com 83% dos indivíduos que usaram a Internet.

Nesse mesmo ano, o continente africano tinha a maior percentagem de população offline do mundo, e a maioria dos países nesta condição situam-se na África Central, Oriental e Ocidental.

Apesar das disparidades na penetração da Internet em África e em outras regiões, o continente africano ainda mostra que é bastante vulnerável ao cibercrime.

Isso ocorre porque a maioria dos africanos que estão a ser expostos à internet, devido a uma série de factores como ampla cobertura de internet, carecem de conhecimentos técnicos básicos sobre como usá-la, tornando-se alvos fáceis para cibercriminosos transnacionais.

Em 2016, aproximadamente 24 milhões de incidentes de malware atingiram vários países do continente. Em 2017, malware, e-mails de spam e pirataria de softwares, entre outros crimes, foram relatados em muitos países africanos.

Segundo um relatório da Interpol, a inadequação ou a ausência de leis de crimes cibernéticos e a sub-documentação do crime em África estavam a impedir a luta contra o crime cibernético.

UA adopta convenção sobre Cibersegurança

A nível continental, fazendo fé no referido relatório, em 2014, a União Africana (UA) adoptou a convenção sobre Cibersegurança e Protecção de Dados Pessoais.

Contudo, apenas 14 dos 55 países membros da UA assinaram a convenção, e apenas sete a ratificaram, até Janeiro de 2020.

A convenção precisa ser ratificada por pelo menos 15 países membros para entrar em vigor, ou seja, ainda não entrou em vigor. Isso mostra que a segurança cibernética ainda não é percebida como uma necessidade por muitos países africanos, o que agrava ainda mais o problema.