A transformação digital, que acontecia lentamente, foi acelerada em 2020 fruto da pandemia de Covid-19. O lockdown e a necessidade de distanciamento social obrigaram as organizações a adaptarem-se rapidamente ao trabalho remoto e a acelerarem a digitalização dos seus processos para se manterem ativas e sobreviverem. A vulnerabilidade dos sistemas de informação, muitas vezes por falta de conhecimento por parte das organizações e da sociedade, contribuiu para o aumento da taxa de sucesso do crime cibernético. Tornou-se, assim, pertinente a implementação de ferramentas e boas práticas de cibersegurança.
Todos os dias temos conhecimento de ataques informáticos a organizações espalhadas pelo mundo e a previsão é que estes ataques se tornem cada vez mais frequentes e sofisticados. É, por isso, de extrema importância que as organizações implementem um conjunto de boas práticas e ferramentas de cibersegurança, para assegurarem a continuidade das suas atividades e assim garantirem a disponibilidade, integridade e confidencialidade dos dados que gerem.
Exemplo de uma ferramenta capaz de dar resposta a estas vulnerabilidades e transmitir confiança a todas as partes interessadas é a certificação Selo Digital de Cibersegurança, que pertence à Iniciativa do Selo Digital Nacional, inserida no projeto de Transição Digital iniciado pela Presidência Portuguesa da União Europeia. Esta iniciativa tem como objetivo incentivar o aumento da maturidade digital das pequenas e médias empresas, estando disponível uma verba de 30 milhões de euros no âmbito do Plano de Recuperação e Resiliência (PRR) para apoiar as primeiras 15 mil certificações de empresas em Portugal.
A Iniciativa do Selo Digital Nacional inclui quatro dimensões distintas:
• Cibersegurança
• Privacidade e Proteção de Dados Pessoais
• Sustentabilidade
• Acessibilidade
Para cada uma das dimensões será elaborada uma especificação técnica pela Comissão Técnica de Normalização ad hoc CTA 041 "Selos digitais", cuja coordenação é assegurada pelo Organismo Nacional de Normalização, Instituto Português da Qualidade (ONN/IPQ).
A certificação da dimensão Selo Digital de Cibersegurança já se encontra disponível através da especificação técnica DNP TS 4577-1:2021 – Maturidade digital – Selo digital. Parte 1: Cibersegurança. Requisitos, cujos requisitos foram selecionados a partir de referenciais nacionais, como o Quadro Nacional de Referência para a Cibersegurança (QNRCS), o Roteiro para as Capacidades Mínimas de Cibersegurança e o Quadro de Avaliação de Capacidades de Cibersegurança.
Com a certificação Selo Digital de Cibersegurança pretende-se não só mitigar muitos dos riscos de cibersegurança a que as organizações estão expostas, mas também contribuir para a prevenção contra os ataques cibernéticos e proteção da informação sensível dos seus negócios.
Esta certificação é aplicável a todas as organizações, independentemente do sector de atividade, tipologia e dimensão, tendo especial foco nas micro, pequenas e médias empresas que pretendam demonstrar a sua conformidade no pilar da cibersegurança.
Níveis de certificação
Para a obtenção deste selo, as organizações devem cumprir os requisitos definidos na especificação técnica DNP TS 4577- 1:2021, implementando-os em todos os locais e processos da organização onde há recurso a tecnologias de informação e comunicação (TIC).
Está disponível em três níveis de certificação – Bronze, Prata e Ouro –, que contribuem de forma complementar e distinta para o aumento da segurança, da complexidade dos requisitos e da metodologia de verificação durante a auditoria.
A organização deve selecionar o nível de certificação que mais se adequa à sua dimensão, estrutura organizacional, missão e ambição, podendo melhorar continuamente e ascender para o nível de certificação superior.
No nível Bronze encontram-se as medidas de simples adoção, que aumentam a proteção da organização face aos riscos de cibersegurança mais comuns e prejudiciais. É recomendado para organizações mais pequenas, com menor preparação ou com poucos recursos humanos e técnicos para enfrentar os riscos de cibersegurança, ou para organizações com menor necessidade de cibersegurança.
Do nível Prata fazem parte medidas de complexidade intermédia, sendo necessário evidenciar o cumprimento dos requisitos deste nível e do nível anterior (Bronze).
Aplica-se a organizações com capacidades de cibersegurança para além das elementares, com média dimensão, ou com mais necessidades de cibersegurança em virtude de uma maior dependência desta para o sucesso da sua atividade.
Finalmente, o nível Ouro é direcionado a organizações mais capacitadas em cibersegurança e em recursos técnicos e humanos, com grande necessidade de proteção das redes e da sua informação, para as quais a cibersegurança é essencial nas suas funções e atividades críticas, ou para aquelas em que um incidente de cibersegurança poderá pôr em causa a própria organização. É necessário evidenciar o cumprimento dos requisitos deste nível e dos níveis anteriores (Bronze e Prata).
Benefícios da certificação
Destacam-se como principais benefícios da implementação dos requisitos da especifica¬ção técnica DNP TS 4577-1:2021 e posterior certificação, os seguintes:
• Aumento contínuo da segurança da informação e prevenção contra os ataques nas redes informáticas e de negócio, garantindo a sua confidencialidade, integridade e disponibilidade, reduzindo assim a exposição ao risco de ameaça cibernética;
• Proteção da integridade da marca, garantindo uma maior notoriedade e melhorando a sua imagem perante o mercado e a sociedade, através da utilização do Selo Digital com a respetiva escala de maturidade;
• Aumento da diferenciação, credibilidade e competitividade das organizações;
• Melhoria da confiança das organizações nas suas relações B2B ou B2C.
São ainda poucas as entidades certificadoras acreditadas pelo Instituto Português de Acre-ditação (IPAC) para a realização da avaliação do cumprimento dos requisitos por parte das organizações e consequente obtenção do Selo Digital de Cibersegurança, cuja conformidade de implementação dará origem a um certificado e ao uso da marca.
Pode aceder a mais informação aqui.
Francisco Pimenta
IT Security Business Developer APCER
Este endereço de email está protegido contra piratas. Necessita ativar o JavaScript para o visualizar.