O programa “Cibersegurança para Empresas”, da CATÓLICA-LISBON | Executive Education em parceria com o Técnico+, prepara decisores e gestores para enfrentar ameaças digitais.
Num contexto em que os ataques informáticos se multiplicam e ameaçam empresas de todos os sectores, a cibersegurança deixou de ser uma questão apenas técnica para se tornar num desafio estratégico de gestão. Paulo Amaral, professor da CATÓLICA-LISBON e coordenador do programa “Cibersegurança para Empresas”, desenvolvido em parceria com o Técnico+, falou com a Marketeer sobre as fragilidades das organizações portuguesas, a importância do factor humano na protecção de dados e as tendências que vão moldar o futuro da segurança digital.
Como avalia a preparação das empresas portuguesas em termos de cibersegurança?
É sempre difícil falar sobre o interior das empresas, até por razões de segurança. Só podemos analisar com base na informação pública e nas percepções que as próprias empresas declaram – e isso já é um problema, porque quem gere pode não ter a noção exacta do que se passa. Os ataques que têm vindo a público mostram que ainda há muito trabalho a fazer. O Gabinete Nacional de Segurança tem feito um excelente trabalho, mas as abordagens de ataque evoluem constantemente e a preparação tem de ser contínua. Mesmo que hoje estejamos prontos, amanhã surgem novos métodos. A velocidade da inovação tecnológica obriga a uma vigilância permanente.
Muitos gestores desconhecem fragilidades básicas. Basta um pequeno dispositivo junto a uma linha ou ponto de acesso para obter dados. Existem vulnerabilidades físicas: limpeza, portarias, visitantes, computadores esquecidos. Uma vez dentro da rede, tudo se complica. E com o teletrabalho e os dispositivos IoT, os pontos de entrada multiplicam-se exponencialmente. São camadas sobre camadas – basta uma falhar para comprometer o sistema. Estes exemplos mostram que a prevenção não é apenas tecnológica, mas envolve procedimentos e atenção aos detalhes mais simples de segurança física.
O factor humano continua a ser a porta de entrada mais fácil. Como mitigar esse risco?
A segurança deve ser uma competência integrada nas funções das pessoas. Tal como aprendemos a usar redes sociais, também devemos aplicar práticas básicas de cibersegurança. Isso faz-se com formação, sensibilização e repetição de procedimentos. Não basta treinar uma vez: é preciso manter políticas contínuas que tornem os comportamentos automáticos. Só assim se reduz o erro e se protege a empresa de ameaças internas.
O programa “Cibersegurança para Empresas” da CATÓLICA- LISBON | Executive Education, em parceria com o Técnico+, aborda vulnerabilidades técnicas e humanas. Como é transmitida essa abordagem aos formandos?
O curso, com 21 horas, junta especialistas de várias áreas e visa compreender de onde vêm os problemas e como preparar respostas. A gestão envolve componentes técnicas e humanas: a tecnologia é suporte, a mudança faz-se pelas pessoas. Por isso, o curso combina conteúdos técnicos com metodologias de liderança, ajudando a identificar riscos e a orientar formações específicas para as equipas no terreno. O objectivo é que os formandos compreendam a interdependência entre tecnologia e pessoas e saibam aplicar políticas de prevenção e reacção de forma prática.
Qual é o perfil dos formandos?
O público vai do topo às camadas intermédias e inclui quem está na implementação e gestão. Todos os decisores deviam ter esta formação – é curta, mas suficiente para perceber do que se trata, as áreas críticas e o que pedir às equipas técnicas. Depois, identificam necessidades específicas e activam a formação dirigida ao pessoal operacional. Ou seja, a formação inicial dá ferramentas para avaliação estratégica, e a operacional foca-se na aplicação prática no terreno. Muitas vezes, a formação também ajuda a sensibilizar equipas para comportamentos correctos no dia-a-dia.
A cibersegurança é uma questão de gestão?
Sem dúvida. A tecnologia é suporte, não motor. A mudança tem de ser liderada onde acontece. Quando é transversal, tem de vir do topo: é uma questão estratégica. O investimento em liderança e cultura de segurança é tão ou mais importante que o investimento em tecnologia. Os líderes têm de estar envolvidos e comprometidos, não podem delegar completamente estas responsabilidades nas equipas técnicas. A cibersegurança tem de fazer parte da agenda do conselho de administração.
Entre os módulos – como o plano de cibersegurança ou a gestão de crises –, quais são os mais relevantes para quem enfrenta ataques reais?
Ambos. É como na saúde: jogamos na prevenção, mas temos de saber tratar a doença quando aparece. A prevenção aumenta a resiliência, mas o ataque vai acontecer, e é vital saber gerir a crise. Se não estivermos preparados, o tempo de decisão pode ser incompatível com a sobrevivência da empresa. É preciso decidir rápido: falar com autoridades, reguladores, clientes, colaboradores e activar planos de continuidade. Sem treino, as equipas paralisam. É fundamental ter procedimentos claros e testados.
Os simulacros são essenciais. Ao colocar os formandos em cenários de ataque que evoluem em fases, testamos reacções sob pressão. Como nos incêndios, o treino cria reflexos automáticos. A gestão de crises é liderança e preparação prática, não apenas um plano no papel. Os exercícios permitem perceber impactos operacionais e reputacionais, ajudando a equilibrar decisões rápidas com protecção do negócio.
Nos exercícios do curso, os formandos tomam decisões em tempo real?
Sim – e reagem bem. Os exercícios em três fases revelam como cada um reage sob pressão e obrigam a decisões de compromisso. É fundamental medir todos os impactos: parar operações tem custos, mas a perda de dados tem também um preço reputacional e operacional. Sem preparação, o risco de decisões erradas é grande. Os exercícios ajudam a criar reflexos e competências que não surgem apenas com teoria. A experiência prática é insubstituível na formação de líderes preparados para gerir crises reais.
Como justificar o investimento em cibersegurança, quando a prevenção é invisível?
É difícil vender segurança porque só se nota quando falha. A solução é calcular riscos: avaliar impacto reputacional e de negócio, cruzar com a probabilidade de ataque e decidir o investimento adequado. Nem todas as empresas podem ser o Pentágono; o essencial é garantir um nível mínimo de resiliência.
A continuidade de negócio é crítica: os backups devem estar protegidos e, de preferência, offline. Já houve casos em que os atacantes chegaram aos backups online. Se houver cópias seguras e um plano de continuidade, é possível recuperar; caso contrário, o impacto pode ser devastador. O investimento é, portanto, uma forma de gerir o risco e proteger a sustentabilidade da empresa. Esta abordagem ajuda gestores a justificar custos junto da administração e a demonstrar o valor estratégico.
Como se cria uma cultura de cibersegurança dentro da empresa?
A cultura é parte do processo de mudança. Somos animais de hábitos: alterar comportamentos exige esforço e liderança. No curso definimos que hábitos mudar e criamos condições para que os novos se instalem. Sem isso, saber a teoria não basta. A mudança cultural leva tempo e tem de ser conduzida de cima para baixo. A consistência e o exemplo dos líderes são determinantes para que os novos comportamentos se tornem automáticos. A formação prática reforça estes comportamentos no dia-a-dia. É preciso persistência e não desistir aos primeiros obstáculos. A cultura de segurança constrói-se com pequenos passos consistentes ao longo do tempo.
Quais as tendências de segurança a acompanhar nos próximos anos, especialmente com a IA?
A inteligência artificial está a acelerar a vulgarização dos ataques. Antes era preciso um especialista; hoje há ferramentas que permitem a qualquer pessoa agir como tal, aumentando capacidade e inovação dos atacantes. A barreira de entrada baixou drasticamente. Depois, há cada vez mais dispositivos ligados, o que alarga o perímetro de risco de forma exponencial. É preciso assumir que qualquer dispositivo pode ser hostil e desenhar defesas internas – firewalls, verificações dinâmicas, certificados temporários. A arquitectura de segurança tem de ser repensada para este novo paradigma.
A evolução da criptografia e a chegada da computação quântica mudaram a forma como protegemos dados. Surgem sistemas resistentes à computação quântica e mecanismos baseados em Web3. A adopção de wallets criptográficas vai crescer, exigindo novas formas de comunicação e autenticação. Tudo isto implica mudanças metodológicas e culturais profundas. A cibersegurança criptográfica será mais eficaz se soubermos usá-la bem – e as empresas ainda estão a dar os primeiros passos. Nos próximos anos veremos transformações significativas na forma como comunicamos e gerimos identidades digitais. A preparação tem de começar agora.
Entrevista ao professor Paulo Cardoso do Amaral, Diretor de Programa na CATÓLICA-LISBON | Executive Education