“Estamos continuamente a evoluir os nossos serviços de Segurança da Informação e Cibersegurança”

Agora que o ano de 2022 está a terminar, é tempo de refletirmos sobre um dos temas mais debatidos nos últimos meses: a cibersegurança. Se, por um lado, a transformação digital evolui a cada dia e traz vantagens inegáveis à competitividade organizacional, por outro os ataques a empresas também aumentam e têm um impacto cada vez mais profundo na sua produtividade. Sobre estas questões, as vozes da experiência da equipa de SIG – Gestão da Segurança da Informação, da Crossjoin, elucidaram-nos sobre aquilo que é, ou não, urgente estabelecer.

Data:

A Cibersegurança é hoje um tema bastante debatido, muito pelos constantes ataques a que o mundo tem estado sujeito. Face a estes acontecimentos, muitas das empresas perceberam que são necessários mais e melhores processos e investimentos nesta área. Fazendo uma análise ao mercado nacional, como observa a evolução deste domínio?
Portugal não tem sido exceção no que toca ao aumento de investimento na cibersegurança. A Covid-19 trouxe novos desafios que obrigaram as empresas a adaptarem-se a uma realidade que comporta riscos tal como a necessidade de acesso remoto dos seus trabalhadores. Tem existido uma tendência de aumento da visibilidade da população em relação aos perigos no uso da tecnologia, uma maior atenção ao risco de incumprimento do RGPD e o aumento da procura de profissionais formados nessa área, levando a uma maior procura de especialização académica na área da cibersegurança.
Infelizmente, Portugal também não escapa ao aumento de casos de ataques informáticos tanto em ambiente empresarial/estatal como pessoal (ataques de phishing/smishing, burlas MBWAY, ransomware, exfiltração e venda de dados pessoais na darkweb, entre outros).
Um dos notáveis eventos nacionais foi a criação do CNCS em 2014 com a missão de “contribuir para uma utilização livre, confiável e segura do ciberespaço de interesse nacional”, atuar como coordenador operacional e autoridade nacional em matéria de cibersegurança e sensibilização.
A Crossjoin reconhece a vitalidade da necessidade de se proteger contra riscos cibernéticos, assim como assegurar a proteção dos seus dados como a informação dos seus clientes. Por este motivo, investe em melhorias na prática de Segurança da Informação, demonstrada na obtenção da certificação ISO 27001. Da mesma forma, identificamos nos nossos clientes e parceiros um aumento nos investimentos nesta área, mas ainda insuficientes contra o nível de ataques a que estão sujeitos.

A verdade é que a Cibersegurança é uma prioridade da Crossjoin que, regularmente, deixa o alerta de que tanto os utilizadores como as organizações devem ter a perceção de que o risco de ataques de Cibersegurança é real. Considera que este alerta é hoje devidamente «ouvido» e que a sociedade em geral reconhece os impactos críticos da falta de Cibersegurança? Quais os motivos?
Consideramos que tem havido avanços no autoconhecimento da sociedade, fruto da própria experiência como vítimas de ataques/burlas informáticas, como também graças ao aumento de cobertura dos media aos ataques informáticos.
No entanto, em geral, a sociedade ainda não está devidamente consciente dos cuidados a ter relativamente à exposição e à transmissão de dados, nem do impacto que certos ataques de cibersegurança podem causar nas suas vidas. Por este motivo, ainda vemos imensos casos por falta de atenção ou descuido.
Infelizmente, muitas empresas não prestam a devida atenção ao tema da cibersegurança, privacidade dos dados e/ou não têm capacidade financeira para se instruírem ou preparar para as ameaças, por exemplo, de exposição de dados críticos de clientes.
Na Crossjoin estamos muito conscientes que o perigo é real e damos a este tema uma elevada importância. Trabalhamos continuamente para o amadurecimento das nossas práticas de Segurança da Informação e Cibersegurança, bem como dos nossos processos internos de Conscientização e Sensibilização. A adequação do nosso sistema de gestão de segurança da informação à ISO 27001 demonstra o nosso compromisso com o tema. Esta certificação reflete o esforço na implementação de processos que cumprem as melhores práticas de Gestão da Segurança da Informação, e na adoção de metodologias e processos de gestão de risco. A proteção dos dados dos nossos clientes, parceiros, fornecedores e colaboradores é uma das nossas prioridades!
A nossa equipa de Gestão da Segurança da Informação foi criada, precisamente, para assegurar a segurança das nossas informações, investindo numa equipa altamente especializada nesta área, sensibilizando os nossos colaboradores e prevenindo contra ameaças, e assim minimizar os riscos de possíveis ataques e os seus respetivos impactos.
Promovemos formações internas regulares de sensibilização interna, onde garantimos que os nossos Crossers estão conscientes dos vários ataques possíveis, assim como asseguramos que sabem atuar caso sejam alvos desses ataques. Os nossos colaboradores têm um papel de elevada responsabilidade, são a primeira linha de defesa contra estes ataques cibernéticos e consideramos que todas as empresas deveriam começar por aqui! Primeiro, claro, é necessário colocarem este tema como prioritário, fazer os investimentos necessários para dotarem os seus profissionais de conhecimento e ferramentas para fazerem face a estes temas reais.

A verdade é que, recentemente, chegou-se à conclusão que há medidas do Regime Jurídico da Segurança do Ciberespaço que não estão a ser seguidas. Para melhor entender, que repercussão este facto tem vindo a ter?
O facto de as medidas do Regime Jurídico da Segurança do Ciberespaço não estarem a ser seguidas deve-se em parte aos utilizadores do Ciberespaço não terem ainda plena consciência e informação suficiente sobre o risco do seu comportamento no ciberespaço.
A segunda parte da equação é o parcial incumprimento das obrigações das entidades abrangidas por este regime jurídico que falham em notificar o Centro Nacional de Cibersegurança (CNCS) da ocorrência de incidentes e de “implementar todos os meios e todos os procedimentos necessários à deteção, à avaliação do impacto e à notificação de incidentes com impacto relevante ou substancial”.
Mantendo a tendência de 2021, em 2022, o número de incidentes de phishing e engenharia social representaram a maioria dos incidentes registados pelo CERT/CNCS.
É urgente reforçar as ações de diagnóstico para continuamente avaliar a resiliência da Cibersegurança Portuguesa.
A partilha de informação entre entidades também é importante para criar sinergias no combate a novas tendências na área da cibersegurança.

Após este estudo, é possível concluir que os incidentes crescem 42% e que a maioria está relacionada com phishing. Considera que estes números resultam, também, do facto de a sociedade digital não ter mecanismos de defesa desenvolvidos?
Os ataques de Phishing aumentaram porque têm uma elevada taxa de sucesso pois a sociedade digital não está suficientemente preparada para reconhecer este tipo de ataques e o investimento necessário para este tipo de ataques é muito baixo em relação a outro tipo de vetores de ataque que possam ser utilizados.
Alguns ataques de phishing são tão bem “construídos” que conseguem enganar até os mais atentos, dado que, frequentemente, surgem novas técnicas cada vez mais sofisticadas e complexas.
Desta forma, a melhor defesa para os ataques de Phishing é a Sensibilização. A consciencialização sobre as ameaças, os tipos de ataques e possíveis efeitos, deveria começar o mais cedo possível. A exposição à internet e ao mundo digital começa cada vez mais cedo, de modo que os cuidados e sensibilização deveriam começar com os mais jovens, nas escolas e universidades.

Há quem afirme, ainda, que 2022 foi um ano negativo para a Cibersegurança em Portugal, avisando que 2023 poderá ser pior. Na sua perspetiva, de forma a evitar que assim seja, o que urge estabelecer?
Em 2022 houve muitos ataques a grandes empresas em Portugal, por exemplo os ataques à TAP, Vodafone, Sonae MC, sites oficiais do Sporting e do FC Porto, no entanto, o número de ciberataques aumentou em todos os países.
Tendo em conta que a maioria dos ataques tiveram origem em ataques de engenharia social, é necessário investir mais na sensibilização, tanto na sociedade, como dentro das empresas para serem mais ponderados na sua interação com a tecnologia.
Hoje em dia, existem simuladores desse tipo de ataques que permitem “testar” os utilizadores e assim identificar ações de sensibilização dirigidas.
O treino obtido no âmbito empresarial também ajuda a sensibilizar o mesmo utilizador para o mesmo comportamento fora do seu local de trabalho.
As empresas devem também continuar as campanhas de sensibilização aos seus clientes para os informar de novas técnicas de engenharia social que usam o seu nome.
É também importante os utilizadores denunciarem às empresas e/ou autoridades os emails identificados como phishing, de modo a que possam informar os seus clientes.
Infelizmente não é possível identificar qual será a próxima tendência de ciberataque pelo que é importante as empresas estarem continuamente atentas a estas tendências desenvolvendo ferramentas para a proteção de informação, sejam elas de encriptação, ou de monitorização da rede com o intuito de encontrar um possível intruso.
Outra necessidade é a existência de equipas de prevenção/exploração de vulnerabilidades, que visa personificar um intruso, para entender de forma critica quais as vulnerabilidades do sistema podendo assim retificar/mitigar para que não sejam exploradas por alguém com intenções maliciosas.

Neste processo de mudança e adaptação, marcas como a Crossjoin aceitam missões que parecem impossíveis e que conduzem ao sucesso dos clientes e, consequentemente, à progressão do mercado. Assim, como tem a Crossjoin encarado estes desafios, transformando-os em oportunidades?
A Crossjoin está sempre atenta às necessidades dos seus clientes e do mercado, de forma a apresentar sempre as melhores soluções. Isto obriga-nos, claramente, a uma constante adaptação e atualização com novos conceitos e tecnologias. Desta forma, podemos oferecer soluções transversais e permite tornarmo-nos uma empresa bastante competitiva e, assim, diferenciarmo-nos da concorrência.
A crescente preocupação pelos temas de cibersegurança, tem alavancado as nossas ofertas de segurança. Em todas as nossas ofertas, seja de performance, desenvolvimento e infraestrutura, sempre tivemos uma forte preocupação com este tema de cibersegurança, nomeadamente com as auditorias preventivas. Com a transição digital e com o mercado a reagir aos problemas identificados, a Crossjoin posiciona-se como parceiro estratégico na prevenção e mitigação deste risco de forma abrangente e transversal aos nossos clientes. O facto de termos equipas com um elevado conhecimento e experiência transversal permite à Crossjoin fazer um diagnóstico para perceber onde estão os pontos de vulnerabilidade e apresentar as recomendações e soluções.
Encaramos qualquer missão, quer seja de cibersegurança, performance ou de desenvolvimento, da mesma forma: de forma metódica, seguindo a nossa metodologia; focada; e com a confiança que temos uma equipa de expertise transversal, que nos permite resolver qualquer missão, especialmente as que os nossos clientes consideram impossíveis. A necessidade traz oportunidades e, como tal, estamos sempre atentos aos nossos clientes e ao mercado, procurando apresentar soluções que vão ao encontro das suas necessidades.

A Crossjoin já vem há alguns anos a assistir à transformação digital em vários clientes, em vários países e continentes, podendo testemunhar que é esta a direção que permite salvar empresas e a economia. De que forma a marca desempenha um papel crucial nesta transição, no que concerne à segurança com que a mesma é aplicada?
A transformação digital é um facto inevitável e deve ser feita com a máxima segurança e com um conhecimento o mais transversal possível. A cibersegurança não deve ser considerada como um silo técnico isolado, mas holisticamente ligado a todos os processos da organização. O facto de sermos especialistas na otimização e infraestrutura dos sistemas de informação, possuímos conhecimentos em tecnologias e conceitos de ponta, o que nos torna o parceiro estratégico ideal na hora desta transição.
A Crossjoin tem colaborado com os seus clientes, dotando-os de ferramentas e estratégias para, primeiro que tudo, seja possível prever e antecipar qualquer risco de cibersegurança, e ajudando na continuidade das suas operações, garantido que decorrem com a melhor performance com a máxima segurança.

O mundo do digital está em constante evolução. Assim, para o ano que está quase a começar, que novidades serão incrementadas por parte da Crossjoin, para o mercado? O que podemos esperar na área da segurança?
Da mesma forma que a tecnologia está constantemente a evoluir, forçando a uma rápida resposta no que toca à cibersegurança, os serviços fornecidos nesta área também evoluem.
Estamos continuamente a evoluir os nossos serviços de Segurança da Informação e Cibersegurança, a fim de permitir incorporarmos esta componente em qualquer tipo de projeto. Assim, podemos destacar o ‘Information Security By Default & By Design’ e as auditorias de segurança (código aplicacional, infraestrutura e processos) como os serviços que maior impacto têm nas empresas que contratam os nossos serviços.
A pensar nas tendências atuais, temos um serviço de diagnóstico ‘Cloud Security’, bem como um serviço dedicado à Gestão da Segurança da Informação (‘Information Management Security Check’).
Em organizações mais maduras em termos de cibersegurança, apresentamo-nos como um parceiro para a implementação da zero trust architecture.
Internamente temos o nosso próprio centro de competências de cibersegurança (SIG = Special Interest Group) que nos permite uma constante atualização e melhoria em temas de cibersegurança tanto para consumo interno como para os nossos clientes.

https://www.crossjoin.pt

Partilhar

Revista Digital

Revista Pontos de Vista Edição 129

Popular

Mais Artigos deste tipo

Um quinto dos alimentos produzidos no mundo em 2022 foi desperdiçado, alerta ONU

De acordo com o Relatório do Índice de Desperdício...

Dois terços dos líderes de talento revelam ter aumentado o investimento em IA no último ano

A Randstad lançou o mais recente Talent Trends Report...

Principais museus do mundo conseguiram atingir número de visitantes pré-pandemia

Uma sondagem realizada pelo jornal online especializado theartnewspaper.com, citados...

Oeiras assinala 50 anos do 25 de Abril com concerto de Pedro Abrunhosa, exposições e debates

No total, serão mais de 200 as iniciativas previstas...