Ciberseguridad
Mónica Méndez Information Security Consultant

Cibersegurança não é um departamento, é um comportamento

O coronavírus não é o único vírus que a pandemia nos trouxe. As ameaças da Internet têm-se multiplicado massivamente nos últimos anos. O teletrabalho significou que milhares de dispositivos tiveram que se ligar à rede para que as empresas ou entidades públicas pudessem continuar o seu trabalho diário. Isto levou também a um aumento do número de pontos de acesso através dos quais cibercriminosos podem levar a cabo os seus ataques.

A urgência de tentar adaptar-se a esta nova situação leva a grandes brechas de segurança e de conformidade, fazendo com que os cibercriminosos tirem partido deste caos generalizado para atacar todo o tipo de entidades, empresas e/ou estruturas. O resultado final é que os empregados se tornam na primeira linha de defesa contra estes ciberataques.

Quando falamos de segurança cibernética, pensamos instintivamente nas ferramentas ou procedimentos de segurança que incorporamos nos nossos sistemas, mas na realidade, a cibersegurança depende de um fator comum, o fator humano.

O sucesso ou fracasso das medidas de segurança implementadas depende em grande medida da atitude e das diferentes ações das pessoas que interagem com o dispositivo ligado à rede, uma vez que são elas, as pessoas, que gerem o principal ativo, a informação.

Esta primeira firewall humana deve ser sensibilizada para o valor e a importância da cibersegurança. Isto só pode ser alcançado investindo em planos de formação e de sensibilização em matéria de cibersegurança.

Desde o mais alto nível até ao último departamento, deve ser desenvolvida uma cultura de cibersegurança

Desde o mais alto nível até ao último departamento, deve ser desenvolvida uma cultura de cibersegurança. À medida que se interiorizam boas práticas para saber como detetar e evitar erros, juntamente com a inclusão de políticas de segurança que se adaptam aos novos cibercriminosos e tipos de ataques, o nível de risco em matéria de cibersegurança irá diminuir.

Do ponto de vista da informação, que é o ativo estratégico de uma organização, entidade e/ou empresa, a cibersegurança não deve ser considerada como um extra adicional aos serviços, mas como uma parte essencial e intrínseca dos mesmos. À medida que os sistemas e as pessoas se foram ligando cada vez mais à rede, o perímetro da cibersegurança deixou de ser estático e definido para passar a ser completamente elástico. Ferramentas clássicas, como os antivírus, passaram para segundo plano na defesa, com a formação e sensibilização do pessoal a tornarem-se essenciais.

Embora no mundo empresarial ou governamental existam grandes corporações que levam muito a sério os perigos e as ameaças a que estão expostas, existem certos tipos de empresas que têm um longo caminho a percorrer em termos de cibersegurança, principalmente o grande grupo de pequenas e médias empresas. É por isso que, tal como tentamos sensibilizar as pessoas para os perigos que podem ocorrer pela propagação de um vírus ou para os problemas que podem ser causados no ambiente através da realização de diferentes atividades e/ou ações, devemos também dar ênfase à cibersegurança e assegurar que todas as pessoas estejam conscientes e formadas sobre os perigos que existem neste campo.

Não passa um dia em que acordamos e não vemos uma nova notícia sobre ciberataques em nenhuma das suas variantes: phishing, ransomware, brechas de segurança, roubo de dados e identidade, adware, etc.

Visto de longe, pensava-se que o teletrabalho era apenas levar os nossos computadores e, em vez de ir para o escritório, trabalhar a partir de casa. Mas a realidade mostrou-nos que o teletrabalho tem um enorme impacto. Em muitos casos tiveram de replicar, em grande medida, as mesmas medidas de segurança que estavam em vigor nas suas instalações, criando novos desafios na cibersegurança.

De acordo com dados da Agência Espanhola de Proteção de Dados (AEPD), no passado mês de março houve 140 notificações de brechas de segurança, 110 em organizações privadas e 18 notificações de organizações públicas.

Destas brechas de segurança, correspondem a ciberincidentes:

  • Dispositivo encriptado / sequestro de informação 20,71%
  • Phishing 23,57%
  • Acesso não autorizado a dados em SI 27,14%

Partindo do princípio que 100% de cibersegurança é inatingível, e ainda menos quando temos um grande número de potenciais ameaças, os utilizadores tornam-se os elos mais fracos da cadeia, pois simplesmente, por pura ignorância, podem introduzir um ransomware no sistema que afecte a sua segurança.

Embora estejamos a discutir uma situação cheia de incertezas, é possível tirar uma conclusão clara e muito importante, e que é que estas falhas humanas são potencialmente evitáveis através da formação e sensibilização contínua de todo o pessoal envolvido no tratamento da informação.

Diferentes temas para formação e sensibilização