A KPMG apresentou na semana passada em Angola os resultados do primeiro Outlook de Cibersegurança para a região de África. Este estudo, tendo por base a auscultação de cerca de 300 pessoas, incluindo organizações Angolanas, teve como objectivo principal compreender e medir o estado da arte em África em matéria de cibersegurança.

O estudo procurou demonstrar o nível da capacidade de investimento das organizações africanas para endereçar as ameaças cibernéticas, resultantes de um ambiente cada vez mais dinâmico e digital que se vive nas diferentes regiões de África. De facto, não obstante os desafios sentidos de forma vincada em muitos países de África, várias economias da região têm vindo a crescer, demonstrando uma rápida recuperação pós-pandémica, com aumento do consumo e adopção de tecnologias emergentes.

A principal conclusão que se retira do Outlook de Cibersegurança é que cerca de 75% dos inquiridos reportaram possuir uma estratégia de cibersegurança desenvolvida em função do perfil de risco da organização. Naturalmente que estas organizações estão assim mais capacitadas para prevenir a ocorrência de incidentes de cibersegurança de maiores proporções, uma vez que possuem uma abordagem holística à cibersegurança alicerçada em Pessoas, Processos e Tecnologia.

Outro indicador positivo identificado pelo estudo refere-se a 61% dos inquiridos indicarem que possuem estratégias claras de protecção e governo dos dados, e à indicação de 80% dos inquiridos que têm frameworks internos para mitigar e gerir o risco da cibersegurança e da privacidade dos dados. Estes dois indicadores demonstram o compromisso dos órgãos de gestão em proteger os activos de informação em contextos de expansão digital. De facto, à medida que as organizações encetam processos de transformação digital, é crucial que considerem a protecção de dados e a privacidade como componentes estratégicas-chave, o que representa sem dúvida uma mudança do paradigma face ao que se vinha verificando num passado relativamente recente no continente africano.

Um outro indicador interessante do estudo indica que as organizações que têm uma presença global, e não apenas em África, usufruem de uma direcção estratégica para a cibersegurança mais clara e madura do que aquelas que operam somente em África. De igual forma, foi possível identificar que aquelas que operam em vários países de África estão mais bem apetrechadas em termos de mecanismos de cibersegurança, em comparação com as organizações com presença em apenas um país. Estes dois indicadores demonstram assim que existe uma visão clara por parte das empresas de maior dimensão para garantir a privacidade e protecção dos seus dados, com o intuito de assegurar a confiança de clientes, accionistas e parceiros de negócio.

Por forma a estarem mais bem preparadas para evitar a ocorrência de ataques de cibersegurança, as empresas precisam não só de implementar controlos tecnológicos robustos, como também possuir efectivos programas de sensibilização, direccionados para aumentar a consciência e capacidade de uma componente muito relevante na cadeia de valor de cibersegurança - As Pessoas.

Os actores do ciber crime da era digital têm vindo a mudar as tácticas de ataque contra as empresas, mudando o foco da exploração de vulnerabilidades tecnológicas, para se concentrarem na fragilidade do ser humano, utilizando técnicas, mais ou menos complexas, de engenharia social, como por exemplo o phishing. A prova disso é o volume significativo de incidentes que têm ocorrido, tendo como resultado a exfiltração de grandes volumes de dados corporativos confidenciais, como também dados pessoais de colaboradores e clientes das empresas atacadas. É assim fundamental não só as empresas empreenderem estratégias continuadas de comunicação aos seus colaboradores sobre boas práticas de cibersegurança, como também procederem de forma sistemática à realização de testes simulados de engenharia social, para conseguirem medir o nível de preparação das suas Pessoas em detectar e reagir contra cenários reais de ataque sustentados em engenharia social.

O Outlook de Cibersegurança permitiu também mostrar que apenas 47% dos inquiridos estão parcialmente confiantes na sua capacidade em lidar com ameaças cibernéticas. Por forma a endereçar esta desconfiança, as empresas devem testar regularmente a sua capacidade de resiliência a ataques cibernéticos severos, através da realização de testes Red Team que visem identificar pontos de entrada nas suas infra-estruturas desconhecidas. Complementarmente, as empresas devem testar a sua capacidade em gerir situações de crise provocadas por incidentes severos, mediante a realização de exercícios Table-Top com a presença, não só das áreas técnicas, como também das áreas de negócio e dos órgãos de gestão.

(Leia o artigo integral na edição 717 do Expansão, desta sexta-feira, dia 24 de Março de 2023, em papel ou versão digital com pagamento em kwanzas. Saiba mais aqui)