A cibersegurança deixou de ser apenas um desafio tecnológico: é hoje sobretudo um imperativo legal e uma prioridade na gestão do risco de qualquer organização.
Os ataques informáticos, cada vez mais frequentes e sofisticados, exigem que as organizações se preparem, quer adotando as medidas organizativas necessárias a evitar a sua ocorrência, quer preparando planos de reação, jurídica e tecnológica, de ativação rápida e eficaz para melhor responder a incidentes de cibersegurança.
A equipa de cibersegurança da Morais Leitão, juntamente com os seus parceiros tecnológicos, desenvolveu uma solução adaptada às especificidades e necessidades de cada cliente, que permite simultaneamente assegurar o cumprimento do quadro legal, mitigar os riscos informáticos, preparar a reação a incidentes e responder de forma rápida e eficaz a ataques informáticos.
A prevenção de ataques informáticos exige, entre o mais, a implementação tecnológica de certas obrigações jurídicas e, em alguns casos, regulatórias, adaptadas à realidade de cada organização.
Reconhecendo a impossibilidade de eliminar o risco em absoluto, mas sabendo onde ele se manifesta com maior intensidade, a equipa da Morais Leitão, em articulação próxima com os seus clientes e parceiros tecnológicos, desenvolveu procedimentos testados para avaliar o risco informático, mapear a informação, implementar mecanismos de cyber governance, criar políticas de segurança de informação e criar planos de resposta a incidentes.
O passado recente tem demonstrado um progressivo crescimento do quadro legal e regulatório, nacional e da União Europeia, em matéria de cibersegurança.
Em particular no caso da Administração Pública, dos operadores de infraestruturas críticas, dos operadores de serviços e dos prestadores de serviços digitais, a Morais Leitão presta assessoria nas diferentes vertentes do processo regulatório, incluindo na implementação de mecanismos de notificação de incidentes, na identificação e comunicação ao CNCS do ponto de contacto permanente e do responsável de segurança, na inventariação de ativos, na elaboração de plano de segurança e na elaboração de relatórios anuais.
Em caso de ataque informático, é necessária uma intervenção rápida na vertente informática e jurídica, que permita controlar e estancar o ataque, mitigar os danos causados, cumprir os procedimentos de comunicação aplicáveis, gerir a comunicação pública (incluindo titulares dos dados) e preparar eventual reação penal.
Concretamente, é necessário identificar a origem do ataque, preparar o plano de gestão de crise, notificar as entidades competentes (CNPD, ANACOM e/ou CNCS), desenvolver os canais de comunicação necessários com titulares de dados e entidades públicas, preparar investigações internas, recolher e assegurar a conservação da prova, e ainda gerir a comunicação interna e externa.
A experiência acumulada pela Morais Leitão em assessoria jurídica relacionada com alguns dos principais ataques informáticos em território nacional permitiu-lhe sistematizar os vários passos da reação e criar um serviço de implementação rápida e eficaz, que visa reduzir o impacto do ataque e gerir com prontidão todas as suas consequências jurídicas, tecnológicas e reputacionais.