30 CIBERSEGURANÇA No entanto, muitos dos dispositivos legados “estão congelados no tempo, executando sistemas operativos antigos, não podendo receber patches ou atualizações. Outros são incapazes de executar software de segurança e até há equipamentos soldados para evitar que alguém lhes faça alterações”, diz John Shier, senior security advisor da Sophos. Além disso, as empresas têm de estar emconformidade como Regulamento Geral de Proteção de Dados (RGPD) e devem começar a “adaptar as suas metodologias, políticas e sistemas de gestão interna e externa de ciber-risco para estar em linha com as obrigações da Diretiva NIS2 [Diretiva (UE) 2022/2555 do Parlamento Europeu e do Conselho]”, em vigor desde janeiro, e que deverá ser transposta para o ordenamento jurídico nacional nos próximos 21 meses, alerta a advogada Inês Antas de Barros, sócia da Vieira de Almeida. As normas serão apertadas e haverá multas por incumprimento. COMO DEFENDER-SE DAS CIBERAMEAÇAS O combate às ciberameaças neste ambiente com várias camadas de tecnologias distintas integradas num só sistema tem de começar tão cedo quando possível, independentemente de a empresa já ter sido atacada ou não. É apenas uma questão de tempo até ser vítima. A posição privilegiada da indústria transformadora na cadeia de abastecimento, acompanhada de infraestruturas desatualizada e sem segurança, é motivo de atenção dos cibercriminosos que aproveitam as falhas para entrar nos sistemas. Gabriel Coimbra explica que é importante interiorizar que os riscos de cibersegurança se encontram em qualquer etapa da jornada da IIoT e que os criminosos aproveitam a menor vulnerabilidade. “A segurança em IoT deve estender- -se além do perímetro tradicional da empresa”, explica o analista. “Deve existir uma plataforma integrada e automatizada para melhorar a eficiência operacional, reduzir os custos e maximizar a segurança”, acrescenta. É necessária a atualização da segurança da rede, a encriptação, a criação de uma camada adicional de monitorização da rede e o aumento o controlo de acesso especificamente para novos dispositivos IIoT. Para o ajudar a fazer estes planos, o Centro Nacional de Cibersegurança (CNCS) concebeu emantématualizado o Quadro de Referência Nacional de Segurança Cibernética (EC QNRCS). Este quadro permite às organizações implementar corretamente as suas práticas de cibersegurança organizacional, processual, tecnológica e humana. Através desta análise de risco é possível “identificar o que tem de se proteger, quais os processos associados, quais as tecnologias que suportam os processos, fazendo- -se em seguida o plano de mitigação”, descreve António Gameiro Marques, diretor geral do Gabinete Nacional de Segurança Portugal (GNS) e do CNCS. Esteja ainda atento aos desafios jurídicos e operacionais. É exigida “uma abordagem holística das várias vertentes”, assinala Inês Antas de Barros. A dimensão jurídica é incontornável nas perspetivas preventiva e de resposta a incidentes, detalha a advogada da Vieira de Almeida. Lembre-se ainda daquele que é normalmente referido como o elo mais fraco da cibersegurança: as pessoas. É fundamental envolver os colaboradores no plano de mitigação de risco, com planos de formação focados nas atitudes, nos comportamentos, na sensibilização e educação. O fator humano será a ignição de mais de metade dos incidentes de cibersegurança significativos em 2025. E nem sempre inadvertidamente. “Cerca de 74% dos empregados dizem que estariam dispostos a ignorar regras de cibersegurança se tal os ajudasse ou à sua equipa a atingir um objetivo de negócio”, revela um estudo de 2022, do Gartner. Acompanhe também o desenvolvimento do Cibersecutiry Act da UE que irá certificar processos de cibersegurança, procure selos de maturidade digital e lembre-se que pode complementar o seu plano de mitigação de riscos com seguros de cibersegurança, partilhando o risco comas seguradoras. O QUE FAZER EM CASO DE INCIDENTE OU INCUMPRIMENTO No caso de ser vítima de ataque, por exemplo por ransomware, ponha em marcha o plano de recuperação de desastres e continuidade de negócio e decida se paga ou não o resgate. A transparência é fundamental. Deve manter os seus colaboradores, forne-
RkJQdWJsaXNoZXIy Njg1MjYx