O Regulamento Geral sobre a Proteção de Dados (RGPD) celebra o seu oitavo aniversário a 25 de maio de 2026. No entanto, o cenário atual de conformidade e cibersegurança tornou-se muito mais complexo para as organizações, impulsionado pelas novas exigências da NIS 2 e DORA, bem como pela evolução dos modelos de inteligência artificial capazes de descobrir vulnerabilidades de forma autónoma.
Segundo Mark Molyneux, Field CTO da Commvault, as empresas necessitam de adotar uma postura mais proativa. A União Europeia tem um quadro rigoroso que já resultou em multas a rondar os 6 mil milhões de euros devido a infrações ao RGPD. As novas diretivas NIS 2 e DORA trazem um peso adicional, podendo responsabilizar pessoalmente os executivos caso as medidas de resiliência não sejam cumpridas, colocando os seus ativos em risco.
O impacto do modelo Mythos na cibersegurança
A introdução de modelos avançados alterou o panorama dos riscos digitais. O Claude Mythos, desenvolvido pela Anthropic, revelou a capacidade de localizar de forma independente falhas desconhecidas nos sistemas. Como exemplo, esta ferramenta detetou uma vulnerabilidade de negação de serviço (DoS) no OpenBSD que esteve escondida durante 27 anos, e uma falha com 16 anos no FFmpeg, mesmo após o código ter sido analisado milhões de vezes por outras ferramentas de segurança.
Esta capacidade representa um perigo quando nas mãos de atacantes, que podem explorar estas ferramentas para comprometer sistemas em grande escala. O software de código aberto apresenta-se como um ponto particularmente sensível. Além disso, existe o risco interno: os próprios colaboradores podem expor informações confidenciais ao submeterem dados corporativos em plataformas de fornecedores externos sem os devidos acordos de tratamento.
Prazos apertados e a estratégia de resiliência
A notificação de incidentes é um dos pontos mais críticos da legislação. Enquanto o RGPD exige o reporte de violações num prazo de 72 horas, a NIS 2 e a DORA reduzem essa janela para 24 horas, podendo chegar a apenas 4 horas em casos classificados como graves. Tendo em conta que muitas organizações sem preparação adequada demoram em média 24 dias a recuperar a sua capacidade operacional após um ataque, o cumprimento destes prazos torna-se um desafio extremo.
Para combater esta ameaça, os especialistas recomendam a adoção do conceito de empresa mínima viável e da disciplina de ResOps. A estratégia passa por definir e isolar os sistemas e processos vitais para garantir operações de emergência. Num cenário de crise, este pacote de emergência é ativado numa infraestrutura isolada, permitindo que a organização se mantenha funcional e foque a sua atenção na investigação da ameaça e no cumprimento legal, enquanto as defesas são restabelecidas em total segurança.
Nenhum comentário
Seja o primeiro!