Como caracteriza o País no que toca à cibersegurança, na medida em que algumas organizações apontam Angola como estando numa posição bastante frágil?

Há vários estudos internacionais feitos por entidades de referência no estrangeiro que avaliam os índices internacionais dos países relativamente à sua posição em termos de cibersegurança. Verifica-se, apesar de haver alguma tendência de melhoria, que Angola ainda está numa posição frágil, comparando com outras geografias. Estamos a falar de o País estar posicionado abaixo dos 50 no índice de cibersegurança comparativamente ao score mundial, e igualmente com o score africano, e há alguns motivos para tal, nomeadamente, o pouco investimento. Esta pontuação avalia várias perspectivas diferentes, ou seja, avalia a posição de cibersegurança dos países e faz um comparativo do contexto nacional em relação à capacidade económica daquele país, o investimento que está a ser feito em tecnologia e o que é posto em proporção.

Qual é a ideia que tem do País neste caso?

A nossa percepção é que Angola tem estado a caminhar no sentido da evolução. Nota-se que tem havido muito trabalho, tanto da parte do Governo como dos próprios reguladores, em fomentar a evolução em termos de cibersegurança. Mas aquilo que notamos, face ao actual contexto económico, é que tem havido alguma dificuldade em alavancar alguns dos projectos. E mais uma vez, sendo um País com uma economia forte e com muito dinheiro (embora esteja a atravessar alguns problemas), que vem também do petróleo, é uma nação que acaba por ser aliciante para os cibercriminosos atacarem, em função da baixa maturidade de cibersegurança.

Fala-se muito da necessidade de as entidades nacionais canalizarem mais investimentos, a fim de o País melhorar as suas capacidades de cibersegurança e segurança da informação. Que investimentos são esses?

Angola está a caminhar no sentido de se aproximar daquilo que são as medidas e a estratégia adoptadas noutras geografias. Mais uma vez, considerando o actual contexto económico, nós estamos a notar um mercado muito conservador em termos de investimentos, porque a moeda flutua bastante e existe muita dependência de parceiros externos. Portanto, com a volatilidade da moeda, os custos dos projectos e dos investimentos também variam muito. A nossa recomendação vai no sentido de as organizações avaliarem bem o core do negócio que querem proteger e fazerem uma avaliação de risco aos quais o core do seu negócio está exposto, nomeadamente as ameaças que podem pôr em causa esta "jóias da coroa" e o que é que deve ser feito para as proteger.

Como devem ser feitos esses investimentos?

Os investimentos devem ser direccionados e aquilo que muitas vezes observamos são as organizações investirem em tecnologia, sem grande planeamento. Às vezes são tecnologias que realmente são boas, mas que não são aplicáveis e que não fazem sentido face aquilo que é o negócio e o perfil de risco da organização. A nossa recomendação seria numa perspectiva de avaliar realmente quais são os investimentos que, face aos custos, trazem maior benefício e mitigam mais os riscos para a organização.

Será possível concretizar essas metas numa altura em que a capacidade financeira para a importação de serviços é extremamente limitada?

Nestas condições será difícil, sem dúvida, e nós, em consultoria, estamos a sentir isto todos os dias, ou seja, estamos a notar um mercado com muitas intenções de desenvolver iniciativas de cibersegurança e que não pode por falta de capacidade económica. Existe ainda uma dependência muito grande das entidades internacionais e isto também acaba por não ajudar, tendo em conta que a moeda nacional já não tem a força que já teve e muitas vezes trabalha-se com a moeda indexada a uma divisa.

Que iniciativas devem ser tomadas no campo da formação?

Uma iniciativa muito importante é trabalhar na formação dos recursos locais. Ou seja, cada vez mais investirmos naquilo que é o capital humano angolano, investirmos nas nossas pessoas, nos nossos recursos, para, de certa forma, reduzirmos esta necessidade e esta dependência que temos de entidades externas, de entidades terceiras que trabalham com moeda internacional.

Considera a falta de investimento a principal causa do aumento de ciberataques no País?

Eu creio que sim, mas não é o único. Realmente tem havido um aumento e temos notado também alguns padrões de incidentes de cibersegurança de alguma dimensão como ataques em sectores críticos, nomeadamente o financeiro, de energia. Isto representa um risco para a própria sociedade e não apenas para as organizações, pois quando o sector financeiro é atacado reflecte sérios riscos para as pessoas que têm lá os seus depósitos e estão a confiar o seu dinheiro às entidades financeiras. E se, por exemplo, uma entidade do sector de energia falhar, coloca-se em causa as necessidades básicas de saneamento, pois afecta também o sector das águas, sendo o impacto mais transversal para a sociedade.

O que precisa de ser melhorado?

Já falámos do tema da capacidade humana e vou reforçar na medida em que existe muita escassez de capital humano em Angola. As escolas e as universidades ainda não estão preparadas para dar uma formação direccionada para cargos técnicos de cibersegurança, e também existe alguma necessidade de se continuar a trabalhar no sentido de se mudar aquilo que é a cultura da cibersegurança no País. Nota-se que tem havido alguma melhoria fruto dos investimentos que têm sido feitos pelo regulador, mas ainda vemos muito a segurança ser vista como um centro de custos, uma área onde se põe dinheiro e não se vê o retorno e, por isso, acaba por não estar no topo das listas de prioridades das administrações.

Mas tem havido algumas mudanças, pelo menos alguma informação a este respeito...

Claro que sim. Nos últimos tempos houve alguma mudança com disponibilização de frameworks, surgimento de alguma regulamentação e normativos que beliscam e empurram as organizações para que elas caminhem neste sentido da mudança. Mas tem de haver aqui um trabalho grande das pessoas que estão a assumir estes cargos de cibersegurança, no sentido de conseguirem demonstrar às administrações o retorno do investimento que está a ser feito, que muitas vezes é indirecto. As organizações ao fazerem um investimento de um milhão USD num projecto de cibersegurança, por exemplo, poderiam estar a prevenir um incidente com um impacto, se calhar, de 20 milhões USD.

(Leia o artigo integral na edição 774 do Expansão, de sexta-feira, dia 03 de Maio de 2024, em papel ou versão digital com pagamento em kwanzas. Saiba mais aqui)