Cibersegurança: políticas públicas para uma cultura de cibersegurança nas empresas

Abstract

A história mostra que as revoluções industriais introduziram alterações profundas a todos os níveis: social, económico e político. Concomitantemente, a globalização potencia processos de transformação digital tornando pessoas e organizações cada vez mais dependentes das TIC, em especial do Ciberespaço e da Internet. Verifica-se um aumento na implementação de políticas públicas, nacionais e europeias, que visam incentivar a transformação digital das economias, destacando os seus benefícios económicos, independentemente da dificuldade verificada na medição do seu impacto nos PIB nacionais e globais. Mas se se aceita que estes processos podem acrescentar benefícios às empresas e à economia em geral, eles podem também revelar riscos muitas vezes ignorados. Iniciámos o nosso estudo tentando perceber a ação das empresas, em especial das PME, face ao risco de segurança digital, mas depressa nos vimos confrontados com a inexistência de dados que nos pudessem orientar no desenho de um panorama nacional. Na análise do quadro de políticas públicas, nacional e europeu, para identificar instrumentos ao dispor das organizações para lidar com os riscos de cibersegurança, percecionámos que a adoção pelas organizações, em Portugal, de culturas de cibersegurança ainda é incipiente. Considerando que em matéria de cibersegurança parece existir alguma insatisfação com a ação do Estado, o nosso trabalho tenta consolidar um conjunto de relações das organizações com a transformação digital e o risco de segurança digital, sintetiza práticas passiveis de serem adotadas pelas organizações, e apresenta ainda uma proposta sobre o papel do Estado em matéria de políticas públicas na área da cibersegurança em Portugal.

History shows that industrial revolutions brought about deep shifts at all levels: social, economic and political. At the same time, globalisation fosters digital transformation processes, making people and organisations increasingly dependent on ICT, especially of the cyberspace and the Internet. There is an increase implementation of public policies, both national and European, aimed at stimulating the digital transformation of economies by arguing their economic benefits, regardless of the difficulty in measuring its impact on national and global GDP. However, if one considers that these processes can generate benefits to companies and the economy in general, they may also cause risks that are often ignored. We started our study trying to perceive the action of companies, especially SMEs, in the face of the risk of digital security, but we were soon confronted with the lack of data that could guide us in the design of a national framework. In analysing the national and European public policy framework to identify instruments available to organisations to deal with cybersecurity risks, we realized that the adoption of cybersecurity cultures by organisations in Portugal is still incipient. Considering that there seems to be some dissatisfaction with the action of the State in cybersecurity, our work tries to consolidate a set of relationships between organizations with digital transformation and digital security risks, synthesizes practices that can be adopted by organisations, and submits a proposal on the role of the State regarding cybersecurity public policies in Portugal.