O conceito de cibersegurança ganhou relevância no início dos anos 2000, como consequência do crescimento da Internet, adoção em massa de computadores e digitalização de dados em ambientes organizativos, empresariais e pessoais. Os últimos 25 anos marcam a expansão massiva da utilização da Internet – que passou de uma estrutura limitada a um serviço essencial obrigatório -, o aparecimento e utilização de redes sociais e chats de mensagens instantâneas e a popularização dos smartphones, cloud, análises de dados avançadas e automação de processos através da utilização da IA. Se por um lado, esta evolução tecnológica trouxe ao nosso dia-a dia mais flexibilidade, maior acesso à informação e aumento de produtividade, acarreta também uma exposição inédita a ciberataques, tentativas de fraude e exploração da nossa privacidade.
Em 2024, último ano com dados consolidados pelo Centro Nacional de Cibersegurança (CNCS), foi registado o maior número de incidentes em Portugal, um aumento de 36% face ao ano anterior (2023). Este crescimento é alarmante.
Mas foquemo-nos no seguinte dado: segundo o Relatório de Ciberpreparação da Hiscox 2025, “54% das Pequenas e Médias Empresas (PME) em Portugal sofreram pelo menos um ataque no último ano”. Destas, mais de metade “registou entre 1 a 10 incidentes”. A verdade é uma: muitas PMEs não investem em cibersegurança de forma proativa por acreditarem que não são um alvo suficientemente aliciante e apetecível para a exploração de atividade maliciosa. No entanto, esta falsa sensação de segurança leva a que muitas destas organizações sejam usadas como porta de entrada para grandes ataques – e este princípio aplica-se a qualquer escala. Exemplo disto foi o caso da cadeia de abastecimento da empresa americana de IT SolarWinds que, não sendo o alvo final, foi a empresa utilizada por hackers russos (grupo Nobelium) para aceder a outras empresas e agências governamentais (como Departamento de Estado dos EUA e Departamento de Segurança Interna) ou grandes tecnológicas como a Cisco Systems e a Intel. Se esta gigante empresa de software americana serviu para comprometer outros tantos gigantes, o que aconteceria com uma empresa menos resiliente?
Além da ideia generalizada de que uma PME pode não ser o alvo mais procurado, também enfrentamos grandes desafios de sensibilização e cultura: em muitas organizações, especialmente de menor dimensão, os profissionais de IT ainda lutam pela justificação de valor de investimento a aplicar em cibersegurança e segurança da informação. O foco dos decisores prende-se essencialmente aos resultados financeiros a curto prazo, e menospreza os riscos estruturais a que podem estar sujeitos. Esta barreira entre perfis técnicos e não técnicos, aliada a um certo desequilíbrio de poder entre departamentos técnicos e não técnicos, é um cenário que está longe de ser ultrapassado em Portugal. Novas legislações, como o Decreto-Lei n.º 125/2025, responsável por garantir um elevado nível comum de cibersegurança em toda a União Europeia, são responsáveis por alterar este paradigma, e 2025 trouxe um grande pico no número de adjudicações para serviços de cibersegurança em Portugal . No entanto, porque é que este comportamento só se altera quando existe obrigatoriedade e responsabilização legal ou quando já é tarde demais e estamos perante um cenário de crise? Trata-se de um comportamento de resistência interna ou “apenas” despreocupação involuntária?
Fatores como falta de profissionais especializados, escassez de recursos, pouca compreensão do risco, programas de formação limitados, foco em resultados imediatos, orçamento limitado ou atribuição da responsabilização para a área de IT representam exemplos práticos de subvalorização da Cibersegurança, tornando-a o parente pobre nas estratégias digitais das organizações. Não cuidar da informação e sistemas, seja por motivos de resistência, seja numa vertente cultural, provoca igual impacto: direta ou indiretamente, estamos a comprometer o nosso ciberespaço e,
com ele, a sustentabilidade do nosso negócio.
O Observador associa-se à comunidade PortugueseWomeninTech para dar voz às mulheres que compõe o ecossistema tecnológico português. O artigo representa a opinião pessoal do autor enquadrada nos valores da comunidade.