Fator Humano

De acordo com o relatório da IBM* sobre o custo de uma violação de dados, cerca de 20% das ameaças são internas. Estas ameaças podem ocorrer de forma acidental, como no envio de informações confidenciais para destinatários errados, ou a exposição a ataques de phishing via e-mail. Por outro lado, existem as ameaças internas maliciosas que envolvem ações intencionais, como o roubo de dados ou a concessão de acessos não autorizados.

A mitigação destes riscos requer a formação contínua dos colaboradores em boas práticas de segurança, a monitorização de comportamentos suspeitos e a promoção de uma cultura organizacional centrada na responsabilidade e no cumprimento de normas de segurança. O fator humano continua a ser um dos elos mais fracos da segurança cibernética, sendo crucial abordá-lo com seriedade.

*(https://www.ibm.com/reports/data-breach)

Ransomware como Serviço (RaaS)

O ransomware mantém-se como uma das maiores ameaças à segurança digital. Grupos criminosos oferecem ferramentas de "ransomware como serviço" (RaaS), permitindo que, até mesmo indivíduos com poucos conhecimentos técnicos possam realizar ataques. Estes grupos funcionam como empresas estruturadas, dispondo de "departamento de apoio ao cliente" para os cibercriminosos (“cliente”) que alugam as suas infraestruturas, facilitando a extorsão em larga escala.

De acordo com o relatório The State of Ransomware in Healthcare 2024 da Sophos*, 67% das instituições de saúde em todo o mundo foram afetadas por ransomware este ano, um aumento em relação aos 60% do ano anterior. Os tempos de resposta pioraram, dada a natureza dos ataques, podendo uma recuperação global das operações pode levar meses.

Um mito muito comum no caso de ciberataques, é que tudo fica resolvido assim que as operações regressam à normalidade. No entanto, análises forenses detalhadas devem ser consideradas, pois são extremamente importantes para identificar e mitigar as vulnerabilidades exploradas.

*(https://www.sophos.com/en-us/whitepaper/state-of-ransomware-in-healthcare)

A Sensação de Segurança com a Entrada em Vigor da NIS2

A diretiva NIS2 da União Europeia visa estabelecer um padrão mais elevado de cibersegurança, promovendo melhores práticas entre as organizações. Contudo, a implementação destas normas, diretivas e frameworks exige investimentos em tecnologia, formação de colaboradores e gestão de topo, e adaptação de processos internos.

Encontrar um equilíbrio entre conformidade, processos e investimento, é um desafio. Um equilíbrio adequado, permitirá às empresas de menor dimensão cumprir com todos os requisitos legais, sem comprometer sua capacidade de crescimento e inovação. Ainda assim, a implementação das normas de segurança deve ser encarada como um investimento estratégico a longo prazo e não como um custo operacional. É fundamental que as empresas não se sintam tentadas a adotar uma abordagem minimalista em relação à cibersegurança, limitando o investimento a apenas o estritamente necessário. Tal postura, poderá deixá-las vulneráveis a ameaças cada vez mais sofisticadas e complexas. A chave para uma abordagem eficaz reside num modelo de investimento sustentável, mas ao mesmo tempo, robusto, capaz de mitigar riscos de forma eficiente, protegendo a organização sem comprometer a sua saúde financeira.

Embora a NIS2 não seja uma solução definitiva para todos os desafios da cibersegurança, representa um avanço significativo na criação de um ambiente empresarial mais seguro. Setores com maior exposição continuam a ser alvos prioritários para cibercriminosos. No entanto, a uniformização das práticas de segurança cria uma base mais sólida para mitigar riscos e fortalecer o ecossistema empresarial.

A cibersegurança é, assim, um campo em constante evolução, onde a preparação e a resiliência são as melhores defesas contra ameaças cada vez mais sofisticadas e acessíveis.