A gestão do risco humano impulsiona o cumprimento da NIS2

Com a recente entrada em vigor da Diretiva NIS2 na União Europeia, as organizações deverão implementar medidas de cibersegurança que, até agora, têm vindo a adiar. De todos os pontos contemplados na normativa, há duas novidades que obrigam as empresas a agir: uma delas é a responsabilidade que os órgãos de direção terão na área da segurança da sua empresa, algo que antes recaía quase exclusivamente no CISO, e a outra é a necessária formação em cibersegurança dos colaboradores.

O aumento dos ciberataques às organizações soma-se agora à sofisticação dos mesmos, uma vez que as novas tecnologias, com a IA à frente, são também ferramentas utilizadas pelos cibercriminosos; de forma que reforçar a formação dos colaboradores em matéria de segurança se tornou algo urgente e, após a normativa NIS2, também imperativo.

A urgência adquire maior importância à medida que descemos na pirâmide empresarial. As grandes corporações são suscetíveis de ser atacadas, mas são também as que mais investem em cibersegurança e na formação dos seus colaboradores, o que as torna as mais seguras, pelo menos sobre o papel.

O grande desafio da indústria para se adequar à Diretiva NIS2 e, especialmente, para formar os seus colaboradores, não está no topo nem na zona média da pirâmide, mas sim na sua base, neste grosso tecido industrial que é composto pelas pequenas empresas que, na sua imensa maioria, carecem da figura do CISO; enquanto apenas um número reduzido delas conta com um responsável informático que atua como “faz-tudo” em assuntos tecnológicos e, a maior parte delas, não dispõe de nenhuma figura com a formação adequada para implementar as medidas exigidas pela normativa. Em contrapartida, quase todas estas empresas, independentemente do seu tamanho ou setor, utilizam o correio eletrónico no seu dia a dia, têm um site e usam o telemóvel para gerir o seu negócio, ou seja, são suscetíveis de sofrer ciberataques.

A Supply Chain, o novo elo mais fraco

Ainda assim, as organizações mais fortes e com maior investimento em cibersegurança também não poderão relaxar, porque a entrada dos ciberataques já não é o portão do castelo, mas sim a porta de acesso da Supply Chain.

De que vale contar com uma cibersegurança interna adequada se os fornecedores com os quais trabalhamos não são tão rigorosos e estão infetados com malware, ransomware ou qualquer outro vírus e não implementam medidas? Este problema adquire uma maior dimensão quando uma empresa contrata um fornecedor que, por sua vez, trabalha com terceiros. A Supply Chain pode ser mais longa do que pensamos e não temos visibilidade nem controlo sobre ela. O facto é que, em caso de um ataque num elo desta cadeia, a empresa cliente, pode ser afetada.

A gestão do risco humano terá, portanto, um papel cada vez mais relevante nas organizações. Antes falava-se de consciencialização do utilizador face às ameaças existentes; agora, o termo utilizado é gestão do risco, mas o fundo é o mesmo: é necessário potenciar a formação em matéria de cibersegurança entre os utilizadores e não de uma forma pontual, mas com garantias de continuidade ao longo do tempo. E, mais importante ainda, não se deve ficar com uma segurança que chega apenas à porta de entrada, mas sim alargar o seu campo de ação à Supply Chain.

O utilizador deve ser a primeira linha de defesa

A gestão do risco humano tornou-se uma componente crítica da cibersegurança moderna. O utilizador, visto no mundo da segurança como o elo mais fraco da cadeia, deve tornar-se na primeira linha de defesa contra os ciberataques.

A Ingecom posiciona-se neste âmbito como um distribuidor de valor acrescentado líder em soluções de cibersegurança e ciberinteligência, com um enfoque especial na gestão do risco humano e, face à Diretiva NIS2, reforça o seu compromisso de fornecer às organizações ferramentas inovadoras para fortalecer a sua postura de segurança e cumprir com as novas regulamentações.

A nossa proposta é dupla. Por um lado, apostamos em transformar o comportamento dos utilizadores e, por outro, fortalecer as suas habilidades técnicas. Para isso, propomos a formação de colaboradores com o Cyber Guru e a proposta do Hackrocks.

Conteúdo co-produzido pela MediaNext e pela Ingecom