Cibersegurança: da tecnologia à legislação

A cibersegurança tem feito a sua longa marcha. Os primeiros documentos sobre o tema aparecem nos anos 60 do século passado, pelo menos em dois contextos. Por um lado, a cibersegurança surgiu nos meios militares americanos, que começaram a ter a preocupação de separar ou controlar o acesso à informação que era armazenada e processada em computadores com vários utilizadores. Apareceu também nos meios científicos, com a investigação sobre problemas como o isolamento entre programas, de modo que se algum fosse comprometido não pudesse afetar os restantes. Nessa altura a preocupação era, portanto, com a tecnologia. 

Com o passar do tempo e a difusão da internet surgiram ciberataques dignos desse nome. Os atacantes eram os assim chamados hackers, a que em português poderíamos chamar "engenhocas", que entre conhecimentos técnicos e a partilha de receitas de ataques, começaram a aceder a diferentes sistemas informáticos, normalmente com poucas consequências. 

Entretanto passaram algumas décadas e a cibersegurança profissionalizou-se, tanto no bom como no mau sentido. Hoje o cibercrime é uma actividade pujante, com inúmeros gangues que atuam com o mero objetivo de obter lucro, inclusive em Portugal, como se vê frequentemente nas notícias. Também a cibersegurança se profissionalizou e surgiu um grande ecossistema de empresas que desenvolvem produtos, agências governamentais, centros de investigação, universidades, fornecedores de serviços, etc. O Instituto Superior Técnico, com os seus cursos, professores e alunos da área, são parte desse ecossistema.

Na última década e meia o risco de segurança em informática passou a ser tratado como mais um risco da nossa sociedade e os sistemas judicial e dos seguros começaram a ter um papel importante. 

Em relação ao aspecto jurídico, é notório o aparecimento de nova legislação, nomeadamente a nível europeu. Duas peças recentes são particularmente relevantes. Por um lado, está a entrar em vigor a diretiva "relativa às medidas destinadas a assegurar um elevado nível comum de cibersegurança em toda a União Europeia", mais conhecida por NIS2 (Diretiva 2022/2555). Depois da experiência da diretiva NIS de 2016, esta nova diretiva procura ser mais eficaz e chegar a mais organizações cuja cibersegurança é relevante para a nossa sociedade. Esta diretiva vai ter um forte impacto em muitas empresas e organizações.

Outro exemplo é a ainda mais recente diretiva sobre a "responsabilidade decorrente dos produtos defeituosos" (Diretiva 2024/2853). Esta diretiva revoga a anterior Diretiva 85/374/CEE e estende os direitos dos consumidores relativos a produtos defeituosos ao software. Os produtos de software eram conhecidos pelas cláusulas contratuais que isentavam o produtor de responsabilidades. Ficou famosa a expressão "as is". O software era fornecido como estava; se alguma coisa corresse mal, a culpa morria solteira. A nova diretiva vem contrariar essa prática e responsabilizar as empresas que produzem o software.

Como se vê, o mundo da cibersegurança tem mudado e continuará certamente a mudar. É necessário ter formação na área e manter-se atualizado.

Invista no seu conhecimento e na segurança da sua organização!

A gestão eficaz da segurança da informação exige conhecimento atualizado e uma abordagem estratégica. O Curso de Especialização em Segurança da Informação e Proteção de Dados para Profissionais Tecnológicos aborda as mais recentes tendências na área, preparando profissionais não-técnicos para compreenderem e responderem aos desafios de segurança digital.

📢 Garanta a segurança digital dentro da sua empresa! Inscreva-se no Curso de Especialização em Segurança da Informação e Proteção de Dados para Profissionais Tecnológicos e fortaleça a sua capacidade de proteção digital.