Digital Inside

24 jun 2025 08:14

Opinião

Destaques de Digital Inside

Digital Inside · Tecnologia · 24 jun 2025 18:30

Blue Screen celebra 25 anos com 2 milhões de euros em exportações
Digital Inside · Tecnologia · 24 jun 2025 18:30

Bright Pixel co-lidera ronda de 8 milhões de dólares na norte-americana Brij
Digital Inside · Tecnologia · 24 jun 2025 18:30

HAVI TechHUB alia-se à AmCham Portugal para reforçar liderança transatlântica em inovação

Ver mais notícias

Porque não devemos ter medo dos reguladores

É importante ter presente que a terceirização não absolve as organizações das suas responsabilidades. As empresas devem realizar uma devida diligência minuciosa ao selecionar fornecedores e monitorizar continuamente as suas medidas de segurança.

As regulamentações ao nível da cibersegurança são vistas, frequentemente, pelas organizações, como fardos pesados que exigem recursos significativos para garantir a sua conformidade. No entanto, tudo é uma questão de perspetiva e mudança de paradigma em relação às regulamentações, que podem representar uma oportunidade estratégica para fortalecer a resiliência e operacionalidade das organizações.

Tudo começa com a importância das organizações criarem uma política de colaboração, transparência e comunicação no atual panorama regulamentar. Urge mudar a perceção das regulamentações como um conjunto de obstáculos para uma realidade necessária, só desta forma será possível às organizações descobrirem novas oportunidades para melhorar a sua postura de cibersegurança, gerir riscos de forma mais eficiente e construir parcerias mais fortes com os órgãos reguladores.

Regulamentações como o Digital Operational Resilience Act (DORA) da União Europeia e a NIS2 visam criar um ecossistema digital mais seguro e resiliente. Jorge compara este propósito à construção de uma “imunidade de grupo” contra ciberameaças, capaz de garantir que todas as organizações atinjam um padrão mínimo de segurança e assim prevenir incidentes em cascata que podem desestabilizar setores por inteiro. O mesmo explicou que o objetivo de regulamentações como o DORA é prevenir incidentes sistémicos, assegurando que cada organização alcance um padrão mínimo de ciberresiliência. Semelhante a uma vacinação, as regulamentações protegem entidades individuais e salvaguardam toda a rede de negócios.

Um dos principais aspetos do DORA é o foco na gestão de riscos de terceiros. Os ambientes digitais atuais dependem frequentemente de fornecedores de serviços externos, desde plataformas de cloud como AWS e Azure até pequenos fornecedores de TI. Embora esses terceiros sejam essenciais para as operações, eles também podem introduzir vulnerabilidades. Jorge observa que um banco pode ter uma excelente cibersegurança, mas se as suas bases de dados ou aplicações estiverem hospedadas numa plataforma de terceiros, isso pode tornar-se um ponto de entrada para os agentes de ameaças. Sob o DORA, fornecedores críticos de TI serão sujeitos a um controlo ao nível da UE, garantindo que respondem a requisitos de segurança rigorosos.

No entanto, é importante ter presente que a terceirização não absolve as organizações das suas responsabilidades. As empresas devem realizar uma devida diligência minuciosa ao selecionar fornecedores e monitorizar continuamente as suas medidas de segurança. Trata-se de responsabilidade partilhada, onde não se está apenas a delegar operações, mas também a garantir que os parceiros estejam alinhados com os seus padrões de segurança.

Outro elemento crítico da regulamentação é a promoção de redes de comunicação entre organizações e os órgãos reguladores. Por exemplo, se um país detetar um ciberataque direcionado a um fornecedor de serviços partilhado, as atuais regulamentações exigem avisos oportunos para outras regiões para prevenir a propagação da ameaça.

Para que tudo isto funcione, a transparência e a comunicação aberta com os reguladores são fundamentais para continuarmos a evoluir. Entre os muitos conselhos destaca-se a importância de se dialogar com os reguladores, esta mentalidade proativa pode transformar o processo de conformidade de um exercício reativo para um esforço colaborativo. Nesse sentido, as organizações são aconselhadas a partilhar os seus planos com as entidades reguladoras e solicitar o seu aconselhamento sobre estratégias de implementação.

A transparência é especialmente crítica após um ciberataque. O ataque à SolarWinds, por exemplo, demonstrou os perigos de ocultar informações dos reguladores. Quando as organizações tentam esconder incidentes, isso não apenas prejudica a confiança, mas também impede que outras aprendam e se protejam contra ameaças semelhantes.

Em conclusão, todos os agentes devem adotar uma perspetiva que olha para a regulamentação de cibersegurança como um veículo facilitador, em vez de obstáculos, desta forma as organizações vão ser capazes de fortalecer a sua resiliência, gerir riscos de forma mais eficaz e fomentar relacionamentos mais fortes com os reguladores. A colaboração, transparência e comunicação aberta são fundamentais para navegar com sucesso no panorama regulatório em constante mudança.

Alain Sanchez é EMEA Field CISO, Fortinet