Ferreira Manuel 
345
A TIS emitiu hoje uma nota técnica alertando para os riscos associados à digitalização de serviços essenciais e cadeias de abastecimento em Angola sem a devida cultura de segurança, tendo destacado que o perigo deixou de ser apenas tecnológico e passou a ser também operacional e reputacional.
Segundo a empresa, a continuidade de operação, a confiança de parceiros e o cumprimento de requisitos contratuais e regulatórios estão directamente expostos quando a digitalização não é acompanhada por mecanismos de segurança proporcionais. Neste quadro, a tecnológica apresenta 10 controlos essenciais para proteger infra-estruturas críticas e supply chain.
O roteiro proposto parte de uma lógica sequencial: identificar o que é crítico, reduzir pontos de entrada, reforçar capacidade de detecção, garantir recuperação e fechar o ciclo com governação e controlo de fornecedores.
O primeiro passo apresentado é a criação de um inventário detalhado dos activos críticos, sistemas, dados, integrações e terceiros que sustentam serviços que “não podem parar”. Sem esse mapeamento, refere, a priorização de segurança tende a ser reactiva e fragmentada.
Segue-se o controlo rigoroso de identidades e acessos. A empresa defende autenticação forte para acessos remotos e administrativos, revisão periódica de permissões e aplicação do princípio do “mínimo necessário”, considerando que a maioria dos incidentes tem origem em credenciais comprometidas ou acessos excessivos.
A padronização de configurações seguras constitui o terceiro eixo. Sistemas críticos não devem operar com parâmetros padrão ou serviços desnecessários expostos. A criação de baselines e a rastreabilidade de alterações são apontadas como medidas estruturantes.
A gestão de vulnerabilidades orientada ao risco surge como quarto controlo. Em vez de corrigir indiscriminadamente todas as falhas, a recomendação é priorizar as que podem interromper serviços ou expor dados sensíveis, com prazos definidos e excepções formalizadas.
A segmentação de rede é apresentada como mecanismo de contenção. Separar ambientes críticos do restante ecossistema e monitorizar comunicações entre zonas reduz o impacto de um eventual comprometimento, impedindo a propagação lateral.
O sexto controlo centra-se na monitorização eficaz. Registos consistentes de eventos, de identidade, endpoints, rede, servidores, aplicações e cloud, e capacidade de detecção de comportamentos anómalos são considerados determinantes para resposta precoce. A retenção adequada de logs é igualmente sublinhada.
No plano da resposta a incidentes, a TIS defende a existência de playbooks e exercícios regulares. A clareza de papéis, procedimentos de isolamento e activação de planos de continuidade podem determinar a diferença entre uma interrupção controlada e um colapso operacional.
A recuperação testada é o oitavo ponto. Backups protegidos, preferencialmente isolados, autenticação forte na sua administração e testes regulares de restauração com metas claras de RTO e RPO são descritos como elementos de engenharia de resiliência, e não simples formalidade técnica.
Na dimensão da supply chain, a gestão de fornecedores é tratada como extensão do perímetro de segurança. A TIS recomenda due diligence de parceiros críticos, cláusulas contratuais com requisitos mínimos de segurança e exigência periódica de evidências de conformidade.
O décimo e último controlo incide sobre governança e métricas. A empresa propõe a definição de responsáveis por risco em cada serviço crítico, métricas operacionais claras, como tempo médio de detecção e resposta, vulnerabilidades críticas em aberto e sucesso de restauração, e reporte executivo recorrente.
Para a TIS, a segurança deixa de ser um assunto restrito à área técnica quando passa a integrar processos formais de gestão e prestação de contas. O conjunto de medidas apresentado propõe um caminho prático: identificar o que é crítico, controlar acessos, reforçar configurações, corrigir vulnerabilidades, limitar impactos, detectar incidentes, responder com rapidez, garantir recuperação, supervisionar fornecedores e acompanhar tudo com métricas.
