“As pessoas são sempre o 'elo mais frágil' na cibersegurança”

As obrigações na área da responsabilidade civil das empresas e dos seus administradores e gerentes, tem sido alvo de um alargamento, trazendo às empresas novas preocupações, de que o Regime Geral da Protecção de Dados (RGPD), a Prevenção do Branqueamento de Capitais, o Financiamento do Terrorismo, a Responsabilidade Ambiental ou riscos de cibersegurança, são apenas alguns exemplos.

Hoje, no edifício-sede da Nerlei – Associação Empresarial da Região de Leiria, foi esse o assunto debatido na conferência “A responsabilidade civil das empresas e dos administradores” onde os empresários presentes foram sensibilizados para a necessidade de criarem mecanismos para reagir nalgumas destas situações.

“As organizações terão de ser capazes de proteger eficazmente os seus activos, sempre que a sua confidencialidade, integridade ou disponibilidade, sejam ameaçadas, assegurando a continuidade do negócio e a reparação por perdas e danos”, explica o presidente da Comissão Executiva da Melior – Corretora de Seguros, organizadora desta iniciativa que teve o apoio da Nerlei, da RSA – Sociedade de Advogados e da revista Vida Económica. 

Fernando Gomes de Amorim sublinha que a maior responsabilidade está ligada aos actos de gestão e que o leque de responsabilidades das empresas é, cada vez, maior, num domínio da gestão Environmental, Social, and Corporate Governance, que aborda os interesses financeiros e corporativos de uma organização e cujo foco são os impactos éticos e de sustentabilidade.

Questões como a privacidade, o tratamento dos dados, as políticas de assédio, a observância da gestão de riscos ou os denunciantes, têm sido, nos últimos anos, alvo de uma grande produção de regulamentação legal, pelo que há muitas novas obrigações para as empresas.

“As dúvidas dos empresários e administradores são muitas, mas a primeira costuma ser se são obrigados a ter políticas de responsabilidade civil. De facto, são, pois decorrem do plano legislativo e as empresas têm de as incorporar nas suas estruturas orgânicas. Não o fazendo, incorrem em risco e em mecanismos de sancionamento legal e punitivo, pois há matérias que caem no âmbito do Código Penal.”

Cibersegurança “não é tema da moda”
A conferência abordou ainda os riscos de cibersegurança e o impacto que um ataque pode ter nas organizações. “Não é um tema da ‘moda’. 
Fernando Gomes de Amorim revela que há indicadores que mostram que o tecido empresarial está a ser, cada vez mais, alvo de ciberataques e que há
“impactos directos na continuidade do negócio e geração de prejuízos directos e indirectos.”

O responsável sublinha que é importante que as empresas façam o trabalho de casa e se preparem ou evitem o risco, de preferência acolhendo nas suas estruturas mecanismos seguradores para que, em caso de incidente, possa haver ressarcimento e apoio para que se possa retomar a actividade, “tal como acontece num incêndio”.

“No triunvirato constituído por Pessoas, Processos e Tecnologia, as pessoas são sempre o 'elo mais frágil' em termos de cibersegurança. É por isso que reforçámos a necessidade de formação e de capacitação das pessoas nas empresas, para que elas não sejam uma vulnerabilidade.”

O risco na cibersegurança é multiplicado pelo número de colaboradores que possam aceder a um computador ou telefone inteligente e que, inadvertidamente, abram um email de correio indesejado.

“É preciso evoluir nas camadas de segurança destes três vectores. É preciso perceber se os fornecedores e os agentes com quem se interage têm capacidade de evitar intrusão. Ou, se do lado dos processos, devemos continuar a comunicar por ferramentas como o email ou se é necessária dupla autenticação. E, finalmente, as pessoas. Aí, a maior necessidade é a formação. Temos de dotar as nossas pessoas de capacidade para que sejam um elo de defesa e não uma vulnerabilidade para a organização. Os hackers mais bem sucedidos não atacam os sistemas, atacam as pessoas.”

O presidente da Comissão Executiva da Melior recordou testemunhos de empresários, vítimas de ciberataques, onde ordens de pagamento de grandes encomendas foram sonegadas e executadas em benefício de piratas informáticos. 

“A denegação de serviço dos sistemas de empresas e o ransomware são cada vez mais comuns. É necessária a existência de instrumentos seguradores que permitam que, em caso de incidente, a perda patrimonial ou de exploração possa ter um mecanismo de reembolso. O mercado nacional começa a oferecer soluções, mas ainda é embrionário, face à maturidade exigida pelo risco e pela forma de resolução”, remata o responsável.