Qual a mais adequada definição de cibersegurança?

É possível uma organização proteger-se de um ataque de cibersegurança? Paulo Borges, consultor, formador e auditor de segurança, começa por nos dizer o seguinte: “Sim, mas não utilizando as abordagens de segurança informática convencionais utilizadas pelas organizações”. Venha connosco saber mais.

1340

No entanto, “cada organização deverá definir uma estratégia de cibersegurança baseada na necessidade de presença no ciberespaço e da exposição a possíveis atacantes. E complementa: “A sensibilização, a formação e o treino do humano são pontos fulcrais para as organizações em relação a matérias relacionadas com a cibersegurança”.

No mundo virtual que procuramos viver, Paulo Borges opta por manter uma presença no mercado discreta, apostando no relacionamento e conhecimento de pessoas e organizações em vez do anúncio dos seus serviços em web sites ou redes sociais, o que é, de facto é uma situação díspar.

A sua empresa, a Segurti, não tem um site ou redes sociais a ela associadas. Deve-se a questões relacionadas com a cibersegurança? Questionámo-lo. Não. Prende-se apenas com o seu modo de funcionamento. “Apesar de a minha atividade estar ligada à Segurti, trabalho como um profissional independente no mercado, preservando como ativos mais importantes na minha atividade profissional a minha imagem, reputação e conhecimento. Desde 2001 que desenvolvo ações de consultoria, auditoria e formação. Nalguns organismos para os quais presto serviço de auditoria é exigido um elevado nível de sigilo de acordo com o código deontológico subscrito”, começa por explicar Paulo Borges.

Isto significa que no mundo da cibersegurança existem muitas práticas que devem ser seguidas de acordo com a objetividade de cada um dos temas que se quer proteger. “Neste caso a minha proteção está centrada nos ativos de alto valor que detenho, não estando exposto ao mundo da internet de uma forma mais generalizada ou global como é feito no comum das empresas. É uma opção consciente, sendo a única exceção a disponibilidade do meu perfil profissional no Linkedin”, acrescenta.

Com atividade corrente em vários países, Paulo Borges investiu dez anos numa relação profissional com vários clientes em Angola. Hoje, como exemplo desta internacionalização voluntária, é professor de cibersegurança nos mestrados integrados do INPT (Institut National des Postes et Télécommunications), em Marrocos.

Relembra que, em 2000, quando era diretor de sistemas de informação de uma multinacional, passou pela fronteira da ameaça que a viragem do século acarretou, uma ameaça muito maior do que a preparação das organizações para a entrada em vigor do novo Regulamento Geral de Proteção de Dados a 25 de maio de 2018. “Na passagem para o ano de 2000, a maioria dos equipamentos e aplicações que trabalhavam com a data incluindo apenas dois dígitos, tiveram de sofrer uma reformulação técnica profunda para não resultar em colapso dos sistemas de informação que suportavam. Em plena época de revolução das tecnologias de informação, decidi trabalhar por conta própria,” conta-nos o nosso entrevistado.

É neste momento da sua vida que decide mudar-se para Inglaterra, onde viveu dois anos e onde “descobre” a segurança de informação. “Quando voltei para Portugal encontrei um país com pouca experiência em matéria de segurança tecnológica e organizativa, e quase sem atividade em temas relacionados com garantia da continuidade de negócio e de cibersegurança. Tendo em conta o conhecimento adquirido em experiências com a BSI e na utilização de normas ISO, decidi apostar na sensibilização de empresas e pessoas para o significado da cibersegurança através da implementação de sistemas para gestão da segurança da informação”, adianta Paulo Borges.

Entretanto é convidado por várias organizações para lecionar o tema da cibersegurança, tornando-se, efetivamente, professor convidado de instituições académicas nacionais e internacionais.

Começa a desenvolver trabalhos de consultoria, mas, no entanto, o mercado ainda não estava suficientemente maduro para que fosse um sucesso. Decide, consequentemente, e mantendo a vinculação à consultoria, começar a desenvolver trabalhos de auditoria interna em várias organizações no país. “Nunca me desvinculei, nem o farei nunca, da atividade de formação e à medida que me fui introduzindo nos temas relacionados com a segurança das organizações, que é um universo de aplicações muito vasto, comecei a relacionar algumas áreas que, a nível de mercado internacional, estavam a desenvolver-se, mas a nível nacional ainda não constituíam prioridades nas organizações privadas ou públicas”, adianta.

Aqui surge a questão: qual a mais adequada definição de cibersegurança? “Quando falamos destes conceitos relacionados com a segurança, corremos o risco de ficar reféns de estratégias e soluções canalizadas para o mercado por fornecedores e dos fabricantes, o que nos leva, muitas vezes, a depender da interpretação por eles feita e da aplicação dos seus produtos. Por força destas situações, decidi fazer várias acreditações pessoais nas normas ISO, que permitem utilizar definições internacionais e isentas para as boas práticas. As normas definem a terminologia, a aplicabilidade, os objetivos que se pretendem atingir, a identificação dos controlos de segurança a implementar, como os manter eficazes e auditáveis ao longo do tempo, permitindo até a certificação ISO da organização na(s) norma(s) que cada uma adote para implementação”, esclarece Paulo Borges.

No mundo da cibersegurança em particular, a norma ISO/IEC 27032, pertencente à família de normas ISO 27000, permite que uma organização defina uma metodologia de sistema de gestão para a aplicação de proteções contra ataques que coloquem em causa a cibersegurança dos seus ativos de informação. “O tema da cibersegurança no mundo académico está ainda muito orientado para dissertações temáticas, aplicações tecnológicas e a sua relação com a segurança tecnológica. É importante trabalhar no sentido de apresentar outra visão sobre a cibersegurança aos novos profissionais, por forma a entenderem que cibersegurança é um acto de gestão das organizações e não apenas circunscrito ao mundo das tecnologias da informação”, conclui o nosso entrevistado.

AUDITORIA, FORMAÇÃO E CONSULTORIA, POR ESTA ORDEM

“Uma organização que necessite de definir uma estratégia para gestão da cibersegurança deve antes de mais realizar uma auditoria das suas práticas e da sua prontidão, utilizando como referencial a norma ISO 27032. Em seguida, é fundamental capacitar os recursos humanos com formação e treino para que entendam a metodologia de gestão da cibersegurança e os métodos adequados para se responder a ataques de cibersegurança. Só depois poderão surgir as necessidades para eventuais serviços de consultoria, com o objetivo de acelerar a implementação dos controlos de segurança entretanto definidos pela organização”, começa por referir Paulo Borges em relação às organizações, explicando cada um destes passos: o resultado da auditoria é um “road map” de implementação do esforço que a organização terá de fazer para estar alinhada em conformidade com as práticas definidas pela ISO 27032; a formação é uma oportunidade de troca de conhecimento e conseguir, de forma estruturada, transmitir às pessoas um conjunto de conhecimento e verificar se os mesmos são absorvidos e se tais colaboradores estarão em condições de apoiar a implementação e operacionalização dos controlos de segurança; Finalmente, a consultoria procura apoiar a organização na sua capacidade de execução.

“Uma metodologia definida por estes três passos permite uma otimização do investimento das organizações e a melhor garantia de eficácia do sistema implementado”, afirma Paulo Borges. E complementa: “Claro está que não deveremos descurar o interesse de serem realizadas auditorias internas da implementação realizada, para garantia da melhoria contínua deste modelo, a exemplo do que acontece em qualquer sistema ISO, seja com a norma 9001 ou a 27001, por exemplo”.

Falando dos verdadeiros desafios relacionados com a inovação em segurança da informação, é importante referir que “a cibersegurança é uma matéria que deve envolver todos os níveis de decisão nas organizações”, pelo que o objetivo é aumentar o conhecimento e a utilização de boas práticas de todos os envolvidos.

Tendo por base a norma ISO/IEC 27032, cibersegurança é a defesa e preparação do indivíduo e das organizações para ataques com origem no ciberespaço, um local virtual na web onde apenas residem recursos virtuais. Designa-se por um ataque de cibersegurança um conjunto de ações tipicamente com origem na “darknet” (ou também conhecida como “dark web”), área da internet correntemente identificada como sendo a origem de múltiplos ataques mais recentes (como o caso do “ransomware”) e explora recursos que estão no ciberespaço, podendo o ataque ser direcionado apenas e só para os recursos no ciberespaço, o qual contém de momento cerca de 150 mil aplicações diferentes, ou percorrer o ciberespaço para chegar à “Surface web”, ou seja, aos 4% da Web utilizada correntemente por aplicações e serviços convencionais, atacando assim organizações físicas ou indivíduos comuns. A cibersegurança é a proteção que tem de ser realizada nas infraestruturas virtuais no ciberespaço e nas infraestruturas físicas para resistir a estes ataques.

“A norma ISO/IEC 27032 apresenta claramente como é que se deve responder a um ataque de cibersegurança. Que não haja dúvidas nesta matéria: não se deve contrariar um ataque de cibersegurança! O grupo organizado de profissionais/criminosos que está por detrás do ataque tipicamente tem imensuráveis recursos e, muitas vezes, também conhecimento, em relação aos controlos de segurança informática que lhes podem surgir pela frente”, alerta Paulo Borges.

Portanto, como é que se responde a um ataque de segurança? “Procurando não demonstrar ao atacante que se reconhece a existência dos ataques e como tal contrariando-os de alguma forma. Tal reação dará origem a um reforço do ataque, seja por ego ou por motivação extra para atingir os objetivos que o atacante identificou.

É importante criar infraestruturas alternativas para permitir que estes ataques estejam a ser executados em recursos que não correspondam aos que de facto devem ser protegidos, utilizando réplicas de aplicações e dados devidamente mascarados e/ou forjados.

Estas técnicas designam-se correntemente por “backholes”, “sink holes”, “sand boxes” entre outras técnicas diferentes que permitem atingir o mesmo objetivo.

Uma organização que tenha uma estratégia de presença no ciberespaço, tem de entender que este é permanentemente monitorizado pelos atacantes da “darknet” à procura de oportunidades, pelo que deve ser adotada uma estratégia cautelosa no que diz respeito a possíveis exposições indevidas.

Podemos acrescentar também que a utilização de “blockchain” é apropriada para este ambiente, sendo uma técnica criada para proteger as transações feitas entre recursos virtuais, mas que não se destina a proteger os ativos que alojam a informação”, acrescenta o nosso entrevistado.

Quando questionado sobre se podemos afirmar que a cibersegurança é, atualmente, a maior ameaça para as empresas, a resposta do nosso entrevistado é clara. “A resposta não pode ser dada com base nesta pergunta. A resposta deve ser dada com base nesta questão: quais são os maiores riscos que cada organização identificou? Se nessa lista de riscos encontramos a exposição a ataques que coloquem em causa a sua cibersegurança, então a resposta é sim”.

A VULNERABILIDADE DO SER HUMANO

Paulo Borges explica ainda que para se proteger uma organização virtual no ciberespaço, devemos ter em atenção o elemento mais falível de todos em relação a matérias de cibersegurança: o ser humano.

“A vulnerabilidade associada ao ser humano é muito relevante. As organizações prepararam-se apenas para ataques convencionais com origem na Internet, utilizando sistemas convencionais de proteção de segurança informática e que são muito pouco eficientes para as necessidades de cibersegurança. Os colaboradores das organizações devem ser preparados para o reconhecimento de eventuais ataques deste tipo e em particular para o seu comportamento durante tais ataques”, elucida-nos Paulo Borges.

Por um lado, temos os colaboradores que gerem as infraestruturas e que devem conseguir entender os chamados vetores de ataque, (são cinco e estão descritos na norma ISO/IEC 27032), saber reconhecer os seus sintomas, perceber quais as suas consequências e elaborar, treinar e operacionalizar respostas adequadas para cibersegurança que, reforça-se, são diferentes de ataques convencionais.

Por outro lado, temos os utilizadores dos sistemas de informação que são os alvos por excelência das “Botnets”, sendo que estes precisam de formação para estarem verdadeiramente preparados para o conceito de cibersegurança. “Na simples utilização das redes sociais e dos e-mails existem inúmeras vulnerabilidades exploradas por inúmeras ameaças, cujo objetivo consiste em tornar equipamentos do tipo tablets ou smartphones em “zombies” captados para estas “Botnets”, geridas por possíveis atacantes da “Darknet”.

Quando estes colaboradores acedem com estes equipamentos às redes empresarias, tornam-se elementos propagadores de código malicioso que permite ao atacante colocar-se de uma forma imune aos sistemas de segurança convencionais e preparar o ataque durantes meses, se assim o entender, sem ser detetado.

Tendo por base esta abordagem, é importante que as organizações consigam definir um ponto de conforto para com o nível de segurança que definiram, e que obviamente deve incluir também os temas mais recentes relacionados com a gestão da privacidade de dados pessoais”, adianta o nosso entrevistado, explicando os três tipos diferentes, mas complementares, de ações que devem ser realizadas para a preparação do humano: sensibilização em relação a regras e práticas para se utilizar o ciberespaço; formação, sobretudo, aos colaboradores das organizações, com a transmissão de conhecimento do que significa a presença de agentes de “Botnets” nos seus computadores e equipamentos tecnológicos, de forma a conseguirem identificar, reagir e evitar a propagação e a exposição a ataques de cibersegurança; e, finalmente o treino. O treino é fundamental para permitir dar condições ao elemento humano de aplicar o conhecimento que adquiriu e avaliar a sua própria prontidão.

Finalizando, Paulo Borges assinala ainda: “A gestão da cibersegurança nas organizações é um investimento que tem de ter retorno. Deve ser incluída num sistema de gestão de segurança mais alargado, suportado pela ISO 27001 e contendo todos os temas relacionados com a segurança da informação e a gestão da privacidade dos dados pessoais.

Respeitando as definições ISO para a gestão da segurança: todos os investimentos em controlos de segurança custam algo, seja tangível em investimento, seja na mudança operacional das organizações.

Que não se invente a roda: existem diversas normas ISO já preparadas para endereçar a gestão da segurança, que encurtam o tempo necessário para a compreensão, implementação e operacionalização de modelos de gestão em que as organizações se sintam confortáveis”.