Inicio Tags Cibersegurança

Tag: Cibersegurança

Como se proteger de ataques de phishing?

A técnica conhecida por phishing é a uma forma fraudulenta de obter informações confidenciais, como nomes de utilizador, palavras passe e detalhes do cartão de crédito, disfarçando-se como uma entidade confiável em comunicações eletrónicas.

Normalmente é transmitido por spoofing de email ou mensagens instantâneas, e muitas vezes direciona os utilizadores a inserir informações pessoais em sites falsos, cuja aparência é idêntica ao site legítimo.

O phishing é uma das formas mais comuns dos hackers obterem a sua password.

De forma a proteger-se do phishing, as chaves de segurança “security keys” adicionam um nível extra de proteção, porque mesmo que hackers consigam roubar sua password por meio de phishing, eles não se conseguem autenticar sem o acesso fisico à sua chave de segurança.

As chaves de segurança também poderão avisar se o web site que estiver a aceder é um site de phishing, uma vez que detetam pequenas diferenças no url que diferem do url original.

 Atualmente no mercado existem vários produtos, como a security key da google (Titan Security Key), a yubikey da empresa Yubico que neste momento é a mais avançada a nível de funcionalidades, ou a da empresa Feitian que a um preço reduzido perto de dez euros implementa todas as caracteristicas de segurança necessárias.

Estas chaves de segurança utilizam a autenticação de dois fatores baseada em hardware (2FA) para contas online com o mais alto nível de proteção contra-ataques de phishing e baseiam-se no protocolo da Aliança FIDO (Fast IDentity Online) e protocolo U2F (segundo fator universal) que inclui um firmware desenvolvido para verificar a integridade das chaves de segurança a nível de hardware.

Este tipo de chaves adicionam uma camada extra de autenticação além do uso da sua password.

O Google informou que desde a adoção das chaves de segurança para os seus 85000 funcionários, nunca mais existiu nenhum ataque de phishing.

Este tipo de chaves é compatível com a maioria dos browsers de internet como o Chrome, firefox e internet explorer e está disponível nos serviços mais populares online como o Gmail, o Facebook, o Twitter e o Dropbox. ▪

joviano.silva@mailfence.com

“Portugal usa o ciberespaço de uma forma livre, confiável e segura”

Enquanto entidade que atua em articulação e estreita cooperação com as estruturas nacionais responsáveis pela ciberespionagem, ciberdefesa, cibercrime e ciberterrorismo, comunicando à Polícia Judiciária os factos de que tenha conhecimento relativos à preparação e execução de crimes, quais diria que são neste momento as maiores preocupações que fazem parte do universo da cibersegurança?

Nesse sentido, tem-se vindo a trabalhar não só em áreas que dizem respeito à regulamentação e implementação da Lei que estabelece o Regime Jurídico de Segurança do Ciberespaço, por forma a criar um quadro de referência em cibersegurança que as organizações poderão adotar, independentemente da sua tipologia ou setor de atividade, para melhor se prepararem para os riscos de segurança a que possam estar expostas, mas também em matérias que promovam uma maior sensibilização e capacitação da sociedade para os temas relacionados com a cibersegurança.

O Governo propôs recentemente uma lei prevê coimas de mil euros para empresas que omitem ciberincidentes, tal legislação dará ao Centro Nacional de Cibersegurança (CNCS) «funções de regulação, regulamentação, supervisão, fiscalização e sancionatórias» e ainda «o poder de emitir instruções de cibersegurança e de definir o nível nacional de alerta de cibersegurança». Qual a importância desta medida?

A Lei n.º 46/2018, de 13 de agosto, que estabelece o regime jurídico da segurança do ciberespaço, prevê que o incumprimento da obrigação de notificar o Centro Nacional de Cibersegurança dos incidentes de cibersegurança constitui uma infração grave, sendo objeto de coima de € 1000 a € 3000, tratando-se de uma pessoa singular, e de € 3000 a € 9000, no caso de se tratar de uma pessoa coletiva.

Paralelamente, a lei acima referida determina que Centro Nacional de Cibersegurança é a Autoridade Nacional de Cibersegurança conferindo-lhe, nomeadamente, o poder de emitir instruções de cibersegurança e de definir o nível nacional de alerta de cibersegurança. Deste modo, capacita o Centro Nacional de Cibersegurança para garantir que o Portugal usa o ciberespaço de uma forma livre, confiável e segura e para permitir a implementação de medidas para deteção, reação e recuperação de incidentes que ponham em causa o interesse nacional, designadamente, o funcionamento da Administração Pública, dos operadores de infraestruturas críticas, dos operadores de serviços essenciais e dos prestadores de serviços digitais.

O facto de as empresas terem de partilhar qualquer tipo de ameaça ou mesmo um ataque é essencial para uma maior segurança? Porquê?

Sim, é sem dúvida essencial pois a partilha dessa informação por parte das empresas, mas não só empresas, permitirá agregar um conjunto de dados que conduza a uma melhor identificação das situações, como, por exemplo, atores envolvidos, motivações, causas e origem. Isto será, certamente, importante para a criação e produção de conhecimento na área da cibersegurança, até de uma forma mais alargada, mas em concreto permitirá que CNCS, nomeadamente através do CERT.PT (que assegura a coordenação operacional na resposta a incidentes), apoie essas organizações com, por exemplo, sugestões e soluções mais robustas para a mitigação dos efeitos desses mesmos incidentes.

Esta abordagem junto das empresas é tarefa fácil?

Verifica-se uma maior perceção da existência de riscos no ciberespaço e uma consequente maior abertura para aprofundar o conhecimento em matérias relacionadas com a cibersegurança. Prova disso, no âmbito do balanço Mês Europeu de Cibersegurança (que decorreu ao longo do mês de outubro do ano transato) identificámos que este ano houve maior adesão por parte das empresas privadas, bem como da administração pública para promoção de iniciativas de sensibilização para estas questões, o que denota maior preocupação e consciencialização sobre tema. Há, no entanto, muito trabalho por fazer e observamos, ainda, a falta de enquadramento da cibersegurança, em algumas organizações, como fator de risco de negócio.

Em que medida os ciberincidentes fazem parte da consciência dos colaboradores e das entidades empregadoras? Serão os riscos e as consequências bem medidas?

A educação de todos os envolvidos (empresas, cidadãos e da própria sociedade civil) para uma cultura de segurança é essencial. Deste modo, é fundamental que exista uma maior preocupação em adotar comportamentos em conformidade, ou requisitos de segurança para proteção das suas redes e sistemas de informação. A título de exemplo, a Estratégia Nacional de Segurança, Regime Jurídico de Segurança do Ciberespaço preconizam uma abordagem baseada na gestão do risco.

Um dos objetivos do CNCS é promover projetos de inovação e desenvolvimento na área da cibersegurança. Neste sentido, que projetos estão neste momento em curso?

Como já aqui foi referido, há uma necessidade bastante grande de criação e produção de conhecimento nesta área, que permita o desenvolvimento e a tomada de decisões mais informadas no domínio das políticas públicas. Nesse sentido, há um conjunto de projetos em curso que visa a produção de materiais de referência, para cidadãos e organizações. Ainda neste campo, para além de todas as ações desenvolvidas por entidades públicas, estão em curso algumas iniciativas que contam com a participação de entidades dos setores público e privado. Através dos vários protocolos estabelecidos, e de outros que se estabelecerão no futuro, pretende-se a criação de uma rede de colaboração que contribua para a identificação dos melhores instrumentos, mecanismos e formas de capacitação que respondam da melhor forma às necessidades das organizações e dos cidadãos em geral.

A vertente de cooperação, seja ao nível nacional, seja ao nível internacional, é bastante importante e também contribui neste campo da inovação e desenvolvimento. Igualmente importante é a aposta na capacitação, treino e sensibilização de pessoas, e a título de exemplo podemos referir o projeto “Cidadão Ciberseguro”, uma medida Simplex, que será lançada já no próximo dia 5 de fevereiro, ou mesmo a dinamização de conferências e workshops, como é o caso da Conferência Anual de Cibersegurança – C-DAYS.

 

“Nenhuma empresa está livre de um ataque cibernético”

Quase vinte anos depois verifica-se uma gigante adesão à tecnologia e com ela os perigos comuns. Hoje, empresas e particulares vivem cercados por dispositivos cuja segurança é ainda muito pouco percecionada pela maioria. Neste sentido, a Revista Pontos de Vista esteve à conversa com João Manso, CEO da Redshift, que nos fala sobre a necessidade de uma atenção e literacia daquilo que é a cibersegurança.

2010 marca a entrada da Redshift no mercado

A Redshift está no mercado desde 2010 e é especializada em cibersegurança, com quase nove anos de atuação, já conquistaram o estatuto de empresa de referência em consultoria e integração de sistemas, em Networking, Information Security/Cybersecurity, Industrial Security e Forensics.

Até 2014 os anos foram de fundação. Um começar do zero com clientes que tinham vindo de projetos em que a equipa havia participado. Nos primeiros quatro anos a empresa conseguiu atingir os números que faziam parte dos objetivos anuais da empresa e a cada ano crescer dois dígitos.

Em 2015 e apesar de o Estado mostrar dificuldades acrescidas devido à entrada da troika no país, o ano continuou a ser de crescimento para a Redshift que à época já contava com muitos clientes pertencentes ao Estado em carteira. “O Estado estava a retrair-se muito e mesmo assim conseguimos aumentar a faturação e crescer. Em 2017 crescemos três dígitos com a entrada em novos projetos e novos mercados, como a investigação forense. Passámos a ter uma oferta de software e hardware de análise forense e, com isso, ganhámos a liderança nesse setor, explica o CEO.

Com a conquista de mais do dobro da faturação aumentaram as equipas e em 2018 a aventura tornou-se ainda maior: “Havia valores muito interessantes a manter”.

Mas mais uma vez correu tudo bem. “Tornou-se uma surpresa. Apesar de até maio o mercado estar focado no RGPD (Regulamento Geral de Proteção de Dados), no segundo semestre apareceram projetos relacionados com a proteção de dados e outros mais tecnológicos, atingimos os números e até os superamos. Aumentámos o número de clientes, a diversidade de negócio, voltámos a contratar mais colaboradores, passámos a ser uma empresa reconhecida pelos nossos clientes e temida pelos nossos concorrentes. Isso fez-nos crescer bastante”, conta João Manso.

O foco no cliente, apesar de parecer um cliché é de facto o segredo Redshift para o sucesso. “Os nossos clientes sabem que a nossa primeira preocupação é prestar um serviço de excelência”. Tal foi a evolução nos últimos dois anos que o Financial Times sentiu interesse em perceber quem é a Redshift e o que faz dela uma empresa de forte crescimento e de ampliação de áreas de negócio de forma tão acelerada.

“O nosso mercado tem-nos mostrado o seu reconhecimento. Começámos a trabalhar com clientes ligados ao Estado e Indústria, e agora também trabalhamos com a Banca e Seguros o que traduz o nosso crescimento”.

A importância da informática ganha novo relevo nas empresas

“Deixámos de ter a figura do “homem dos computadores”, o “informático”, para passar a ter alguém responsável pela segurança de informação de forma a ajudar na tomada de decisões do ponto de vista estratégico da segurança e dos sistemas de informação. O que nos indica que a segurança tem vindo a afirmar-se enquanto motor de investimento, infelizmente ainda mais no setor privado do que no público”.

De acordo com João Manso, as empresas continuam ciber imaturas, mesmo as grandes empresas que continuam preocupadas em atingir pequenos objetivos e não olham para a segurança como um todo.

“As empresas que têm planos estratégicos de governance são muito poucas. Verificamos algum trabalho na indústria ou em outras redes críticas como a rede elétrica, de abastecimento de água, combustíveis… Já existem algumas iniciativas mas ainda é muito pouco”.

Na opinião do empresário, o facto de Portugal começar a estar mais próximo de problemas que se vivem atualmente na Europa, tem ajudado a desconstruir o mito de que Portugal não é um risco e por isso as pessoas começam a pouco e pouco a pensar nesta questão de segurança.

“Os ataques no futebol, hospitais e nas grandes sociedades de advogados vêm provar que por muito boas que as empresas sejam (ou acham que são) não estão preparadas para resistir a todos os ataques e as falhas frequentemente não são tecnológicas mas sim humanas. As pessoas não terem formação em awareness (consciencialização) faz com que continuem a cometer erros que podem ser muito graves para a sua organização”.

UE está há anos preocupada com a segurança informática

A União Europeia fala há anos sobre segurança informática. Em 2016 foi lançada a diretiva sobre segurança das redes e dos sistemas de informação (Network and Information Security – NIS, na sigla em inglês) que estabelece obrigações de comunicação para os operadores de serviços em setores críticos como energia, transportes, saúde e finanças, bem como para os fornecedores de recursos digitais, como é o caso dos motores de busca (programa que permite pesquisar e extrair informação da Internet, de uma base de dados, de um conjunto de textos) ou dos serviços de comércio eletrónico.

Porém, existem outros aspetos que estão a ser descurados e apresentados apenas como “conselhos a seguir”. Sobre isso, o nosso entrevistado garante que “o que falta é definir normas, normalizar processos e procedimentos que as empresas e as pessoas possam executar. Portanto, a União Europeia e Portugal em particular conhece a lacuna e está a tentar colmatá-la, o que não está é ainda a impor aos reguladores uma exigência que é necessária para os seus setores”.

É importante perceber como é que os colaboradores se comportam a nível informático e se sabem reagir perante as adversidades.

Outro aspeto apontado por João Manso como estando em falta em diversas questões é a ética e a moral das decisões, “cuja responsabilidade pertence aos decisores seja no setor privado seja no Estado”.

Perceber o que é um ataque e identificar um cibercrime

Qualquer empresa, independentemente da sua dimensão ou atividade, é vulnerável a ataques cibernéticos internos ou externos. Além de interno ou externo pode ser ainda acidental ou deliberado. O CEO da Redshift explica que tudo aquilo que, em cibersegurança, for realizado sem a autorização do alvo, é, em Portugal, crime.

Existem empresas que pagam para saberem que problemas têm, o chamado white hacking. Os white hat são o equivalente a cavaleiros do bem que utilizam os seus conhecimentos extraordinários a nível informático para o bem. São especialistas em segurança da informação, e, desta forma, auxiliam empresas a encontrar vulnerabilidades existentes nos seus sistemas. São considerados “hackers do bem” Em Portugal existem vários white hat, no entanto, qualquer ação a nível informático que não seja autorizada é ainda considerada crime.

Colaboradores o maior e melhor investimento

que uma empresa pode fazer

Não adianta investir em excelente software se os colaboradores de uma organização não souberem “utilizar” o computador ou se não estiverem familiarizados com os riscos que de lá podem advir. Os riscos cibernéticos são responsabilidade das administrações e todas as empresas correm perigo independentemente da sua área de atuação ou dimensão.

Assim, é importante explicar e consciencializar as pessoas sobre o que as rodeia. Dar-lhes formação e criar exercícios para por em prática os conhecimentos que vão sendo adquiridos.

João Manso vai mais longe e afirma que além das empresas, a formação sobre cibersegurança deve começar na escola “a escola tem que ensinar desde pequenino, princípios de ética e moral, mas também de segurança. E estes são directamente aplicados a tudo o que tem a ver com o nosso futuro, no ciberespaço e no mundo virtual”.

“Ainda existem empresas que apesar de terem uma política de segurança, não a explicam aos colaboradores. Em Portugal ainda se conta muito apenas com a boa vontade dos colaboradores. É necessário existir uma liderança preocupada, sempre, com a Cibersegurança”, conclui.

“Esta certificação posiciona a Samsung como o parceiro ideal para projetos de mobilidade empresarial”

A cibersegurança tem sido, nos últimos tempos, um tema bastante em voga em Portugal e no Mundo. Pelo seu know how e background, quais as razões que levam a que esta vertente da cibersegurança esteja na ordem do dia e qual a relevância do mesmo?

A transformação digital. A atual digitalização dos negócios, processos e serviços a que temos assistido, seja ao nível empresarial ou ao nível do consumidor, levantam questões relacionadas com a segurança da informação que é passada vezes sem conta entre sistemas, entidades e utilizadores. Podemos seguramente dizer que um dos maiores obstáculos à digitalização é a segurança, uma vez que os ataques maliciosos podem representar custos incalculáveis para as empresas. Consequentemente, a segurança torna-se um tema cada vez mais relevante e preponderante para as estratégias das organizações.

A Samsung assume-se como um dos principais players no domínio da cibersegurança. Qual tem sido o real contributo da marca no domínio da cibersegurança e que mais valias aporta a este setor?

A Samsung Knox foi lançada em 2003, e desde então tem vindo a ser continuamente melhorada com novas funcionalidades. Além disso, tornámo-la integrável com outros fabricantes de EMM (entreprise mobility management) de referência, como por exemplo a Airwatch, Microsoft, MobileIron, SOTI, entre muitos outros. A solução EMM da Samsung, o Knox Manage, permite ainda a gestão também de outros fabricantes Android e iOS.

A nossa intenção é continuar a aposta nesta plataforma e reforçá-la através de parcerias com entidades nacionais de referência na área da cibersegurança. Exemplos desta estratégia são as parcerias já estabelecidas com o Gabinete Nacional de Segurança e com a Adyta.

Muito recentemente a plataforma Samsung Knox foi certificada pelo Gabinete Nacional de Segurança. Quão importante é este reconhecimento e que mais-valias aporta o mesmo?

Esta certificação representa para nós um reconhecimento de extrema importância, uma vez que é a primeira certificação que o GNS entrega a um fabricante de dispositivos móveis. Esta conquista representa a valorização de um trabalho que temos vindo a desenvolver com o objetivo de colocar no mercado produtos e serviços inovadores que cumpram os mais altos parâmetros de segurança. Como a segurança é um fator decisório na escolha de um parceiro tecnológico podemos afirmar que esta certificação posiciona a Samsung como o parceiro ideal para projetos de mobilidade empresarial.

Quais são as principais características e dinâmicas da plataforma Samsung Knox e que impacto terá na vida das empresas e pessoas?

A Samsung Knox é uma plataforma de segurança que se encontra integrada nos smartphones, tablets e wearables da Samsung. O seu objetivo é manter privados todos os dados dos terminais e/ou gerir remotamente um conjunto de smartphones com utilização empresarial. Incorpora um conjunto de soluções que a potenciam e que permitem: configurar remotamente um grande número de dispositivos Samsung e ajustá-los a necessidades específicas; registar e associar milhares de dispositivos à empresa de uma só vez, sem ter que os inscrever manualmente um a um; gerir uma frota de dispositivos com uma solução de EMM baseada na cloud ou on-premisses, aumentando a eficiência da empresa e protegendo os seus dados corporativos; proteger e aplicar recursos completos de segurança e gestão aos dispositivos da empresa; e controlar versões do sistema operativo em dispositivos móveis Samsung para maximizar a compatibilidade.

Aquando da cerimónia de entrega desta certificação, referiu que este foi o culminar de um vasto trabalho em várias áreas. Que processos foram realizados no sentido de comprovar o grau de segurança da plataforma? O que foi necessário perpetuar para alcançar este nível de exigência e superioridade?

O GNS submeteu a plataforma Knox da Samsung, bem como os dispositivos móveis que a incorporam, a 220 horas de rigorosos testes de avaliação funcional e criptográfico que examinaram, entre outros, os processos de update do sistema operativo Android, mais precisamente os handshakes das assinaturas criptográficas, a robustez do Knox no encapsulamento seguro de dados sensíveis, não permitindo o acesso de aplicações móveis maliciosas, bem como a verificação do fluxo no arranque seguro do Android.

De que forma é que esta plataforma pode ser vista como um exemplo a seguir por outros players?

O mercado de trabalho está a mudar impulsionado por uma maior mobilidade e flexibilidade laborais. Como tal, há uma crescente procura por equipamentos que respondam às necessidades de mobilidade e produtividade das empresas e colaboradores, e que assegurem a proteção da informação que contêm. A plataforma Samsung Knox responde precisamente a esta necessidade emergente de segurança nos dispositivos móveis. Além disso, a Samsung complementa esta plataforma com um conjunto de soluções que oferecem às empresas uma infraestrutura tecnológica que permite gerir facilmente todo o ciclo de vida dos equipamentos, desde o seu aprovisionamento, customização, configuração, gestão e manutenção, assegurando a separação entre os dados pessoais e os conteúdos corporativos.

Outro dos pontos importantes é que esta foi a primeira vez que esta entidade estatal, o Gabinete Nacional de Segurança, entregou esta certificação a um fabricante de dispositivos móveis e significa que os equipamentos com Knox estão habilitados a lidar com informação classificada. Que relevância tem este facto para si e para a Samsung?

A obtenção da primeira certificação de segurança atribuída pelo Gabinete Nacional de Segurança é um marco significativo para a Samsung e para o mercado das telecomunicações nacional. Não só comprova o elevado grau de segurança da solução Samsung Knox como nos evidencia como o parceiro indicado para projetos de mobilidade estatal e empresarial.

Num domínio mais global, sente que as empresas lusas e os portugueses ainda apostam pouco na vertente da cibersegurança? Na sua opinião, a que se deve este desinteresse?

É possível que sim, mas acredito que essa tendência vá mudar drasticamente em breve. Segundo o relatório Fast & Static, 81% das grandes organizações admitem ter aumentado os gastos com segurança nos últimos dois anos e 71% das grandes organizações dizem que a segurança de dados é uma prioridade estratégica. Este investimento comprova a importância do tema, mas para garantir uma estratégia bem-sucedida é fundamental a utilização de uma plataforma de hardware e ferramentas de software de segurança, e aquelas empresas que por falta de sensibilização ou falta de recursos ainda não começaram a pensar/implementar uma estratégia de segurança devem preparar-se para essa realidade.

Um outro dado muito interessante, retirado de um estudo que realizámos com a IDC este ano sobre a utilização de smartphones no ambiente de trabalho, revela que 80% dos inquiridos afirma que a maior preocupação na utilização do smartphone é a segurança dos dados profissionais e pessoais. Ou seja, podemos seguramente afirmar que há uma crescente preocupação dos indivíduos com questões relacionadas com a privacidade e salvaguarda da sua informação e as empresas têm de estar prontas para dar resposta a esta necessidade.

Tal poderá ser explicado pelo facto de o tecido empresarial ser constituído na sua grande maioria por PME, ou seja, com menor capacidade financeira para fazer face às necessidades de uma política de cibersegurança eficaz? Como se devem mudar estas mentalidades e qual pode ser o papel da Samsung neste domínio?

Uma menor capacidade financeira juntamente com a, ainda existente, falta de consciencialização para o tema e uma estratégia que prioriza outras vertentes do negócio podem ser as grandes barreiras à adoção de uma política de cibersegurança interna. No entanto, acredito que a mudança de mentalidades passe por uma maior sensibilização das empresas para o impacto financeiro e de recursos que um ataque malicioso pode ter nas organizações e para a importância de criar uma infraestrutura tecnológica e formar os colaboradores sobre as práticas de privacidade e segurança móveis mais complexas. A Samsung tem o conhecimento e a experiência para ajudar empresas e colaboradores a crescer nesta nova economia móvel e mantê-las protegidas através de um sistema de segurança que permite gerir facilmente a privacidade e o conteúdo de dados de uma frota de dispositivos– a plataforma KNOX. A primeira certificação atribuída pelo GNS a um fabricante de dispositivos móveis é um bom exemplo do trabalho que a Samsung tem vindo a desenvolver neste campo e sua comunicação é uma excelente oportunidade para a consciencialização da importância da cibersegurança nas empresas.

O que se deve fazer para que se passe a considerar a cibersegurança e a gestão do risco como prioridades de gestão?

Como referi anteriormente, acredito que passe por consciencializar as empresas de que os ataques maliciosos representam grandes perdas para as empresas e podem surgir provenientes das mais variadas fontes, principalmente num ambiente repleto de dispositivos móveis conectados. À medida que os negócios e as empresas adotam mais dispositivos conectados à internet, mais portas de entrada a malware estão a criar; os cibercriminosos estão a tornar-se cada vez mais organizados, gerando ataques mais sofisticados e eficazes e exigindo milhares de euros em resgates. Estas são algumas tendências reais e atuais que as empresas têm de ter em conta na definição das suas prioridades.

O que podemos continuar a esperar por parte da Samsung no domínio da cibersegurança de futuro?

A Samsung investe mais de 40 milhões de dólares por dia em investigação e na criação de novas tecnologias. Parte deste investimento é feito em pesquisa para detetar e prevenir ameaças de segurança que possam surgir na utilização de produtos conectados, redes e serviços. Em Portugal, por exemplo, a Samsung trabalha com a Adyta no desenvolvimento de testes regulares aos níveis de segurança dos terminais. Estes testes são posteriormente comunicados à nossa sede na Coreia do Sul e podem resultar no envio de atualizações de segurança feitas a nível global. Faz parte da nossa estratégia local continuar a apostar nestas parcerias e numa relação de proximidade com os maiores peritos do país nesta área. Vamos também continuar a promover a discussão sobre a importância da cibersegurança nos fóruns adequados para o seu desenvolvimento e a nível público para aumento da consciencialização empresarial e pessoal.

 

Cibersegurança

 

Pela sua experiência e conhecimento, que conselho gostaria de deixar ao universo de empresários portugueses para que a aposta na cibersegurança seja algo recorrente e levado a sério?

É muito relevante que os nossos empresários entendam que a cibersegurança é um fator de risco do negócio que pode levar à quebra da confiança dos clientes, à perda de vendas e no limite à insustentabilidade do próprio negócio. No entanto, este facto não deve nem pode ser bloqueante da adoção de mobilidade na larga maioria dos processos de negócio.

Uma boa estratégia de negócio deve incluir de raiz o tema mobilidade e por consequência a cibersegurança. Neste sentido, os nossos empresários devem:

  1. avaliar de que modo tornarão os seus processos internos e externos mais flexíveis, adaptáveis e móveis;
  2. procurar e avaliar soluções tecnológicas e de mobilidade credíveis e com provas dadas no mercado; apoiando-se em parceiros tecnológicos, se necessário;
  3. preparar a sua organização para a transformação digital, mantendo as pessoas no centro da mesma, nunca esquecendo a formação contínua e capacitação tecnológica dos colaboradores;
  4. implementar ferramentas de monitorização do seu parque tecnológico, com capacidade de rápida intervenção em casos de falhas críticas de segurança.

 

“Existem vários desafios nos processos de transformação digital”

A cibersegurança e a proteção de dados está hoje na ordem do dia. Sobre estas matérias, a Revista Pontos de Vista conversou com Miguel Jacinto, Coordenador Gabinete de Segurança da Informação do EUROBIC, onde ficamos a perceber que a cibersegurança e todas as questões em seu torno devem fazer parte da estratégia empresarial.

A cibersegurança tem sido uma prioridade naquilo que é definido como estratégia empresarial?

Numa economia cada vez mais digital e onde as fronteiras das organizações não são mais as que conhecemos desde há séculos, é normal que a Cibersegurança seja cada vez mais uma preocupação das organizações ao mais alto nível. Os clientes procuram cada vez mais os serviços digitais em detrimento do contacto tradicional. É uma tendência incontornável. As novas gerações nativas digitais já preferem os dispositivos digitais, os comandos por voz, a interligação entre as aplicações. Em pouco mais de 20 anos passámos de um mundo onde a internet era um privilégio de muito poucos para um mundo onde tudo assenta na utilização desse veículo de comunicação. Com a adoção de tecnologias baseadas na internet, as fronteiras das organizações passaram para o mundo digital que, em bom rigor, muitas pessoas e organizações ainda não compreendem verdadeiramente.

Com o aumento da exposição dos processos de negócio tradicionais às novas tecnologias e com a criação de novos processos e novas oportunidades de negócio baseados exclusivamente em novas tecnologias de informação, a “governance” tecnológica está também a mudar com as necessidades evidentes de adaptação das organizações, que se mostra, cada vez mais, não como uma opção, mas sim como uma obrigação. Neste contexto diria que existem claramente duas velocidades diferentes: uma é que está relacionada com a velocidade de evolução das novas tecnologias; e outra é a capacidade de adaptação das organizações que, na generalidade dos casos, é bastante mais lenta por razões estratégicas, comportamentais e até orçamentais.

Também nesta realidade se aplica a teoria da seleção natural de Darwin, onde claramente apenas sobrevirão os que se mais rapidamente se adaptarem às novas realidades e não aqueles que aparentemente são os mais fortes.

De que forma podem os clientes contribuir para uma melhor segurança informática dos seus dados?

O fator humano é absolutamente crítico para a segurança da informação das empresas. O triângulo pessoas, processos e tecnologia é considerado a base da segurança da informação e é nela que as organizações investem cada vez mais recursos, para garantir uma gestão eficaz e eficiente da segurança dos seus ativos de informação. As pessoas, tais como clientes, colaboradores e outros stakeholders, são um dos principais riscos das organizações devido à imprevisibilidade do fator humano. Apesar das inúmeras campanhas de Awareness empresarial direcionadas aos seus clientes externos e internos, verifica-se que em muitos casos os incidentes de segurança começam porque alguém acedeu indevidamente a um site, ou fez download de um ficheiro malicioso, ou colocou o seu cartão de crédito num site não seguro, ou deu os seus dados de acesso a um site que parece ser do seu banco, mas não é, etc. A imprevisibilidade comportamental dos utilizadores da informação, instrumentos de pagamento ou equipamentos informáticos, é um verdadeiro quebra-cabeças para as organizações que pretendem manter os seus ativos de informação seguros.

Por outro lado, os comportamentos maliciosos online não param de aumentar e estão cada vez mais evoluídos quer do ponto de vista técnico quer do ponto de vista de engenharia social. Os recursos disponíveis para os atacantes maliciosos são quase inesgotáveis, contando com uma relativa impunidade, ironicamente propiciada pelos mesmos meios técnicos criados para facilitar a vida às pessoas e às organizações. A utilização de um veículo virtualmente sem fronteiras, em muitos casos com poucas regras e altamente robotizado, permitindo atacar dezenas ou milhares de alvos ao mesmo tempo, torna o crime digital muitas vezes altamente rentável, o que faz com que haja potencialmente cada vez mais cibercriminosos.

Em face deste cenário cada vez mais real e porque todas as organizações pretendem interagir cada vez mais com os seus clientes de forma digital, é natural que as mesmas estejam cada vez mais preocupadas com a forma como os seus clientes tratam os seus próprios dados na nova economia digital.

No setor bancário esta preocupação é cada vez maior, dado que muitas vezes o comprometimento de dados pessoais, nomeadamente de credenciais de acesso a sistemas de pagamento, está diretamente relacionado com ações fraudulentas que podem ter impactos financeiros relevantes para os clientes e reputacionais para as organizações.

É verdade que o conhecimento dos clientes nestas matérias está a mudar, mas também é verdade que a economia digital está também ela a mudar muito rapidamente, pelo que a educação dos novos clientes digitais está cada vez mais na ordem do dia.

Todo o processo de evolução da transformação digital e das novas tecnologias acarreta novos desafios, quais merecem destaque?

Existem vários desafios nos processos de transformação digital. Mais uma vez podemos recorrer à base da segurança da informação – pessoas processos e tecnologia – para identificar os três principais pontos onde os desafios são mais significativos.

No caso das pessoas o desafio é evidente. As evoluções tecnológicas sucessivas dos processos de negócio têm ditado, desde a revolução industrial, o afastamento dos processos produtivos de classes etárias que não conseguem acompanhar essas evoluções. Esses ciclos de renovação são cada vez mais curtos e são cada vez mais evidentes à medida que a digitalização do trabalho acontece. Este cenário é ainda mais agravado quando assistimos à elevada automatização dos processos produtivos que por isso carecem cada vez menos da mão-de-obra humana, ficando para as pessoas apenas o papel de, por enquanto, supervisionar e não de fazer. Quanto aos processos de negócio a transformação digital tem um impacto significativo dado que altera radicalmente a forma de trabalhar. Exemplo disso é um processo de abertura de conta bancária em que deixa por exemplo de ser necessário assinar e rubricar contratos e condições gerais, para passar a ser apenas necessário recolher uma assinatura digital que garante as mesmas evidências jurídicas no processo de onboarding de um cliente. Os impactos e as interligações entre todos os processos internos de uma organização são por isso muito difíceis de quantificar. Relativamente à tecnologia e estando esta intimamente ligada aos restantes pilares da segurança da informação, os desafios são de diversos âmbitos. Diria que o mais significativo será garantir que todas as novas peças tecnológicas conseguem “falar” com as mais antigas. Com a evolução dos sistemas a acontecer de forma galopante, fazer com que todas as peças tecnológicas continuem a funcionar de acordo com o que e espectável, é um verdadeiro desafio. As aplicações e sistemas ficam legadas cada vez mais depressa e obrigam as organizações a avultados investimentos para a sua substituição ou manutenção. Quase todas as semanas saem novas versões, novas atualizações das existentes, novos modelos de máquinas, novos processadores, etc. É humana, técnica e até financeiramente impossível acompanhar esta velocidade de acontecimentos, sendo para isso mandatório que as organizações apostem em soluções estruturadas e com a maior durabilidade, de modo a mitigarem o mais possível o risco de obsolescência das suas ferramentas tecnológicas.

Além de uma tecnologia eficaz contra os possíveis ataques cibernéticos, falta fazer algo a nível de legislação? Qual é a sua opinião?

Diria que ao nível da legislação temos dois problemas. O primeiro é que claramente esta não acompanha a rapidez de evolução dos acontecimentos. Devido à natural interligação das diversas temáticas, os processos legislativos são mais burocráticos e por isso mais lentos do que a evolução dos acontecimentos. Muitas legislações carecem de discussões em sede própria e até de consulta pública, o que torna lenta a concretização dos processos legislativos. Depois temos as questões de aplicação transfronteiriça da legislação. Como já referi, o cibercrime não tem fronteiras, podemos ser atacados de ou através de outras geografias, em fusos horários, culturas e enquadramentos legislativos diametralmente opostos, pelo que aferir qual a legislação a aplicar em alguns casos é bastante difícil. Acresce ainda o facto de ser conhecido que alguns estados são particularmente ativos no patrocínio à guerra cibernética o que dificulta sobremaneira à identificação e mitigação de ciberataques nessas geografias. O caminho, que já vai sendo traçado, será optar-se por uma globalização do conceito de cibercrime, bem como pela via da cooperação institucional entre os países ao mais alto nível, de modo a que os processos de investigação sejam mais rápidos e eficazes.

 

 

 

 

Cibersegurança: “O risco cibernético existe e continuará a existir de forma exponencial, fruto da transformação digital”

Com a imensidão de informação sobre o uso devido das novas tecnologias outras dúvidas surgem no âmbito informático. O que é que as empresas ainda desconhecem sobre segurança da informação?

As empresas ainda associam a segurança de informação como sendo um tema exclusivamente tecnológico. E fazem-no erradamente. O tema da segurança da informação é um tema que deverá ser assumido e mitigado de uma forma transversal por todas as áreas da organização. A escolha da melhor solução tecnológica deixou de ser um problema e, atualmente, os inúmeros fabricantes disponibilizam opções capazes e fiáveis onde a diferença entre elas, muitas vezes, se cinge a aspetos comerciais. Agora o que as empresas devem entender, em definitivo, é que este é um desafio de toda a organização e que deverá ser pensado estrategicamente em três dimensões: pessoas, processos e tecnologias.

Enquanto parceiros de clientes, nesta temática da segurança da informação, quais são as principais falhas que as organizações cometem?

As organizações e a sociedade em geral estão ainda numa fase muito reativa quanto à adoção e uso das novas tecnologias. Existem ainda imensas oportunidades de melhoria dentro das organizações, nomeadamente na redefinição de uma estratégia de sistemas de informação, que deverá contemplar duas vertentes distintas: a segurança da informação e a privacidade dos dados. Não basta orçamentar software e hardware de última geração se não forem desenvolvidas políticas, processos e procedimentos internos que garantam a correta adoção das soluções tecnológicas e o uso adequado dos dados e consequentemente da informação da organização. As organizações devem desenvolver programas de adoção que passem essencialmente pela mudança comportamental.

Qual a importância de envolver os funcionários e de os sensibilizar de forma a mitigar o risco cibernético?

Toda e qualquer organização depende dos seus funcionários. É, pois, por isso de extrema importância envolvê-los a todos, independentemente do seu papel na organização. Este é um tema que deve fazer parte dos planos de formação internos da organização. O risco cibernético existe e continuará a existir de forma exponencial, fruto da transformação digital (aumento da digitalização, IoT…). Naturalmente que, estatisticamente, perante um aumento de um determinado universo a probabilidade de risco no mesmo aumenta, e o risco cibernético não é exceção. Creio que a breve prazo vamos começar a ver as escolas, logo no ensino básico, a sensibilizar as nossas crianças para o tema, pois esta sensibilização está a acontecer a um ritmo demasiadamente lento, comparativamente ao ritmo da evolução tecnológica.

Diria que a proteção da informação é uma prioridade para a maioria das empresas?

Diria mais, a proteção dos dados. Não confundir, as organizações devem proteger a informação pois, em muitos dos casos, essa faz farte do core e da sua essência. Ou seja, são um dos ativos mais importantes. Acima de tudo, as empresas devem conseguir perceber e entender que possuem dados e informação e que, muitas vezes, não protegem ambos ou que, em muitas situações, protegem erradamente um deles. A prioridade deverá passar por perceberem o que querem proteger. Depois, sim, deverá perceber-se como fazê-lo. Nesse aspeto temos tido um papel de extrema importância junto dos nossos parceiros.

Alguns especialistas apontam o fator humano como a principal ameaça. Porquê?

A utilização de soluções, baseadas em Inteligência Artificial, tornam cada vez mais essas soluções fiáveis e viáveis, não só porque os algoritmos são cada vez mais complexos, mas porque são cada vez mais autónomos na decisão. Significa, pois, que a variável que maior possibilidade tem de falhar atualmente na equação da segurança da informação nas organizações são as pessoas. Grande parte das falhas de segurança de informação identificadas têm como origem o fator humano. Aspetos tão simples como o envio de e-mails para destinatários errados, a perda ou extravio de pendrives, contendo informação empresarial e muitas vezes confidencial, ou o hábito ainda muito comum de abandonar o posto de trabalho sem bloquear o computador, são alguns dos inúmeros exemplos que ocorrem diariamente nas organizações e que revelam que existe ainda um trabalho que deverá ser feito a nível de consciencialização, formação e sensibilização junto dos funcionários das organizações.

Poder-se-á considerar a segurança da informação como um acelerador de crescimento? Por que razão?

Creio que começa a surgir uma alteração de mindset, muito associada a uma nova geração de gestores e a algumas alterações que estão a ser promovidas por entidades externas. Neste caso, a União Europeia tem desenvolvido e promovido ações que, na nossa opinião, são de louvar. Através de regulamentos, tais como o RGPD ou o ePrivacy, as entidades são “obrigadas” a tomar algumas medidas que vão promover o aumento da segurança e da privacidade, os quais, não obstante serem conceitos diferentes, andam muitas vezes de mão dada. A história diz-nos que grandes desafios provocam grandes alterações e é essa a nossa visão. Qualquer organização, que entre num processo de implementação de um programa de segurança de informação, vai obrigatoriamente promover a mudança, aumentar os níveis de capacidade e, consequentemente, acelerar o seu crescimento digital enquanto organização. Mas, ainda mais importante, esse crescimento digital vai promover um aumento de maturidade de todas as áreas da organização. Estamos certos que a transformação digital irá funcionar como catalisador para o crescimento da organização.

Os desafios da transformação digital e cibersegurança

Vivemos numa era em que a informação que as empresas geram aumentou significativamente tanto em volume como em valor, tornando-se num dos seus bens mais valiosos e talvez aquele que é mais difícil de proteger.

Com a crescente necessidade de mobilidade por parte dos colaboradores das organizações a informação tem que estar disponível a partir de qualquer lugar, aumentado exponencialmente a superfície de exposição e os riscos associados a este facto aumentam também em número e complexidade.

As soluções cloud permitem às empresas uma enorme flexibilidade com custos inferiores aos dos sistemas convencionais, para além de serem mais resilientes a eventos disruptivos e há já uma grande percentagem de empresas com ambientes mistos entre sistemas alojados localmente interligados com outros alojados numa ou várias clouds. Esta mudança de paradigma faz com que deixe de ser importante proteger apenas o perímetro da rede onde está guardada a informação e passa a ser fundamental garantir a segurança de dados que estão espalhados por vários sistemas e clouds.

O aumento do número de dispositivos que recolhem, processam e trocam informação ligados a redes privadas ou publicas é outro fator de preocupação. O IoT (Internet das Coisas) vem permitir dotar equipamentos que tipicamente estão isolados de redes informáticas de uma interligação para que possam ser monitorizados, geridos, e operados remotamente, o que também os torna potencialmente vulneráveis a ataques. Com dispositivos desta natureza a serem instalados massivamente em veículos, hospitais, barragens, sistemas de saneamento, entre outros, o risco para a sociedade é real e não pode ser descurado.

A chave para mitigar os riscos e ameaças à segurança da informação e dos sistemas passa por implementa-los já com o tema da segurança da informação como requisito primordial desde o início. Tradicionalmente os sistemas eram desenhados tendo em consideração a experiência de utilização, a performance, e a segurança. Desde que esta última não afetasse nenhum dos anteriores. A segurança da informação deve ser um pilar base de qualquer sistema informático e não algo a pensar após este estar implementado, e a gestão de risco em termos de cibersegurança passa a ter que ser parte integrante da cultura organizacional das empresas modernas e não uma camada adicional às suas atividades.

 

 

Sensibilização para a importância da cibersegurança

O parlamento aprovou, na especialidade, o regime jurídico da segurança do ciberespaço, que transpõe uma diretiva europeia para a legislação portuguesa e visa reforçar a segurança nesta área nos Estados-membros. Fale-nos um pouco sobre este regime e sobre o que o mesmo acarreta.

O regime jurídico da segurança do ciberespaço prevê a necessidade de implementação de requisitos de segurança, bem como a obrigação de notificação de incidentes com impacto relevante nas redes e sistemas de informação das entidades da Administração Pública, dos operadores de infraestruturas críticas, dos operadores de serviços essenciais, bem como dos prestadores de serviços digitais. Aqui o desafio é reter este instrumento com o atual mecanismo de notificação e partilha de informação voluntária, que tão bem tem funcionado.

Para além disso, fica legitimada a existência de uma equipa nacional de resposta a incidentes de segurança da informação no ciberespaço (CERT.PT), que embora já estivesse operacional há alguns anos, tem agora a sua criação vertida numa Lei da AR, bem como do Conselho Superior de Segurança do Ciberespaço, com a missão principal de gerir e acompanhar a execução da Estratégia Nacional de Segurança do Ciberespaço, entre outras medidas.

Maria Manuel Leitão Marques afirma que existe a necessidade de se fazer mais pedagogia do que adotar uma atitude punitiva em relação à cibersegurança. O ponto fulcral nesta matéria é o humano?

Sem dúvida, não sendo a panaceia, é necessário manter as ações de sensibilização e de prevenção sobre cibersegurança, que alertem para a necessidade de não adotar comportamentos de risco no mundo virtual. Esta tem sido uma das principais linhas de atuação do CNCS, sendo que para isso, o CNCS promove cursos, como por exemplo, o Curso Geral de Cibersegurança, ações de sensibilização temáticas (feitas com alguma regularidade), ou externas, com entidades com as quais temos protocolo estabelecido. Também promovemos cursos de e-learning, como é o caso do Cidadão Ciberseguro (https://moodle.ina.pt/login/index.php), e participamos e dinamizamos conferências, como a conferência anual de cibersegurança – C-DAYS, workshops e/ou entre outros. De notar que esta atividade envolve toda a estrutura do CNCS, desde a Direção aos colaboradores mais técnicos. Em 2019 pretendemos levar estas ações para fora de Lisboa em parceria com alguns dos nossos parceiros.

“A cibersegurança é uma matéria de todos”, pelo que o objetivo é aumentar o conhecimento e a utilização de boas práticas de todos. Nós, utilizadores e colaboradores de organizações, sabemos “estar” no mundo da Internet?

Seria errado generalizar, mas há setores de atividade ou da própria sociedade que se encontram bastante bem preparados, e outros onde podem haver problemas significativos, que é necessário ultrapassar de modo coerente e sustentado. Aqui o importante é ter essa consciência.

Nos dias que correm existe um défice relevante no que respeita à perceção de que a segurança – ou a cibersegurança, tendo em conta que estamos a referir-nos ao ciberespaço – é algo que deve ser tido em conta durante todo o processo de negócio, por exemplo, quando falamos de uma organização que pretende atuar no mundo digital.

O que é nos diz a norma ISO/IEC 27032 sobre cibersegurança? Está, efetivamente, adaptada à realidade do mercado e da sociedade?

Relativamente a esta questão, o CNCS esclarece que normas ISO são orientações gerais, que necessitam de adaptação consoante as características da organização que a irá utilizar. O mesmo facto não serve uma grande empresa e ao mesmo tempo uma PME. O CNCS vai produzir um conjunto de referenciais normativos orientados ao contexto nacional e com uma geometria variável que acondicione diferentes realidades.

A transformação digital é um tema em voga. O que é urgente saber mais sobre esta temática, que está interligada a questões de segurança informática?

Todos os utilizadores do ciberespaço estão sujeitos a ciberameaças, com a transformação digital que vivemos ainda mais, e é neste sentido que se torna importante sensibilizá-los para o facto de existirem meios de prevenção e de resposta a ciberataques. Estes meios servem não só para dar a conhecer aos utilizadores quais os métodos que podem ser utilizados para adotarem comportamentos ciberseguros, como também para dar a conhecer as ferramentas de prevenção e de resposta a ataques informáticos.
Por exemplo, quando falamos em dois dos ataques comuns: ransomware ou phishing, considera-se um comportamento preventivo, que o utilizador verifique sempre se os e-mails ou SMS recebidos têm uma origem fidedigna e que este não faça download nem aceda a ficheiros e links fraudulentos.

É igualmente essencial conhecer a ameaça para melhor a mitigar. Estamos a dedicar uma especial atenção à Administração Pública, produzindo quadros de ameaça atualizados.

Quais são os maiores perigos que podem surgir para as empresas quando a proteção de dados, em termos informáticos, é negligenciada?

Desde logo um forte impacto reputacional. Quando a empresa assenta o seu negócio, maioritariamente, online, esta quebra de reputação pode significar a extinção da empresa. Por outro lado, a entrada em vigor do Regulamento Geral de Proteção de Dados vem impor severas coimas perante o seu incumprimento.

Aplicação dos transportes do Porto pirateada leva a reforço de segurança

© José Carmo / Global Imagens

Numa página na Internet, um engenheiro informático revela detalhadamente como conseguiu ser “hacker” (pirata informático) do sistema Anda, acedendo a dados pessoais, palavras-chave ou informação parcial sobre números de cartões de crédito dos utilizadores da aplicação que entrou em funcionamento no fim de junho para “desmaterializar” a cobrança de bilhetes nos transportes públicos do Grande Porto.

A intenção do engenheiro era detetar a “vulnerabilidade”, pelo que a mesma foi logo comunicada à empresa e já foi corrigida.

Contactada hoje pela Lusa, a Transportes Intermodais do Porto (TIP) disse estar em causa um “ataque amistoso” que abriu “a oportunidade de refinar e reforçar os mecanismos internos de segurança”.

“Foi um “ataque-amistoso”, de elevado grau de sofisticação (muito pouco acessível ao cidadão comum), destinado fundamentalmente a expor uma potencial fragilidade e, como tal, sem consequências funestas. Acabou por abrir a oportunidade de refinar e reforçar os mecanismos internos de segurança”, reagiu a TIP, em declarações à Lusa.

Fonte da empresa acrescenta que “o reforço dos mecanismos internos de segurança foi executado de imediato, logo após a identificação do problema, tendo sido objeto de posteriores aperfeiçoamentos, até 22 de outubro”.

“A app Anda e a respetiva arquitetura de suporte, possuem, desde o seu lançamento, diversas medidas de segurança que visam a deteção de potenciais tentativas de intrusão ou utilização indevida, como mandam as boas práticas de sistemas tão expostos como os baseados em smartphones”, observa fonte da TIP.

Na publicação feita na terça-feira, o engenheiro informático revela que, a 04 de julho, informou a empresa da “vulnerabilidade” encontrada na aplicação.

Acrescenta que, a 11 de julho, as palavras-chave dos utilizadores já não estavam “disponíveis em texto simples”.

O engenheiro detalha ainda que, a 09 de setembro, foi disponibilizada uma nova versão da aplicação mais segura e que, na terça-feira, foi encerrado o modelo mais antigo e vulnerável do sistema.

De acordo com o especialista, “menos de uma semana” depois do lançamento público, a aplicação tinha “mais de dez mil instalações”, nas quais era possível “ver dados pessoais de qualquer utilizador, incluindo o nome, morada, os últimos quatro dígitos do cartão de crédito, número de telefone e número de contribuinte”.

Para além disso, “era possível ler a palavra-chave de qualquer utilizador”.

A aplicação Anda – disponível para Android – é um título Andante desmaterializado, que evita preocupações com o tipo de viagens a comprar e que foi criado pela TIP (entidade formada pelo Metro, STCP e CP e que gere o sistema de bilhética Andante).

LUSA

“A informação é um dos bens mais preciosos que qualquer organização tem”

O Mês Europeu da Cibersegurança é comemorado durante o mês de outubro, pelo sexto ano consecutivo, com diversos eventos e atividades. A Redshift – Consulting irá promover, de alguma forma, o mês dedicado à cibersegurança?

Do ponto de vista empresarial temos participado em iniciativas com sessões de esclarecimento ou de motivação para questões relacionadas com a cibersegurança.

Temos algumas atividades em curso com algumas empresas que irão promover ações de motivação junto dos seus colaboradores e com a nossa colaboração junto de associações, com apresentações direcionadas a grupos de empresas de sectores como agroalimentar e industrial por exemplo. As questões relacionadas com a cibersegurança são transversais a todos os setores.

Hoje, mais do que nunca, empresas como a Redshift – Consulting, assumem um papel preponderante junto das empresas e do cidadão comum?

Trabalhamos para empresas e entidades e não tanto para o cidadão comum, muito embora contribuamos para o crescimento da empresa e, consequentemente, dos seus colaboradores, em questões relacionadas com a cibersegurança. Trabalhamos para que o tecido empresarial e o Estado tenham uma maior maturidade neste âmbito.

Alguns exemplos são ações de sensibilização que temos feito com especial enfoque na problemática do Phishing e do Roubo de Identidades.

“A cibersegurança é uma matéria de todos”, pelo que o objetivo é aumentar o conhecimento e a utilização de boas práticas de todos. Nós, utilizadores e colaboradores de organizações, sabemos “estar” no mundo da Internet?

A segurança de uma nação depende de todos. Todos contribuímos, quer como cidadãos, quer como empresários ou colaboradores, para a cibersegurança. Sendo o tecido empresarial o ponto de contacto da Redshift, contactamos com o cidadão comum quando prestamos sessões de esclarecimento ou a promoção da cibersegurança nas empresas, cultivando, o sentido de responsabilidade junto de todos.

É frequente constatarmos a resistência à adoção das políticas de segurança da empresa por parte dos colaboradores e as sessões de esclarecimento ilustradas com exemplos práticos são extremamente impactantes por evidenciarem a sofisticação e os recursos utilizados pelo cibercrime que em ações de engenharia social podem até utilizar os seus familiares.

No entanto, para o cidadão comum, essa responsabilidade cabe ainda muito mais ao Estado, quer seja o Ministério da Educação nas escolas, quer seja entidades como o Centro Nacional de Cibersegurança que promove atividades importantes para chegar à sociedade em geral.

Quais são os maiores perigos que podem surgir para as empresas quando a proteção de dados, em termos informáticos, é negligenciada?

Tudo isto é uma questão geracional. As pessoas que estão mais desprotegidas ou desligadas das questões relacionadas com a cibersegurança são as que estão incluídas na faixa etária dos 30-55, que, embora sejam cultas do ponto de vista de sistemas de informação, estão pouco motivadas para a questões referentes a proteção de dados. As gerações mais novas começam a ter mais sentido de responsabilização e preocupação em não se exporem demasiado na Internet. Mais uma vez, terá de ser o Estado a ter um papel mais próximo destas gerações, promovendo a sensibilização para estas questões e uma maior divulgação de informação. Negligenciar a proteção de dados pode ter para as empresas como consequência, para além das pesadas coimas, o dano na sua reputação e, com cada vez maior frequência, perdas financeiras, de facto, de elevado valor.

O processo de transformação digital em curso está a ser impulsionado por novas ofertas digitais. Na sua opinião, que desafios ainda estão por advir?

A transformação digital é ela própria um problema se não for bem liderada dentro das organizações, colocando desafios à organização se a mesma não estiver devidamente preparada. A transformação digital pode acarretar graves problemas, quer na proteção de dados, quer na segurança, implicando, por isso mesmo, uma estrutura rigorosa dentro da empresa relativamente ao acesso aos sistemas. Uma empresa deve conseguir saber, com precisão, quem acede aos sistemas e porquê. Esta é uma informação essencial para fazer cumprir os regulamentos da proteção de dados e para proteger a própria empresa. Qualquer um de nós, enquanto colaboradores de uma empresa, deve ter em atenção, não só a proteção dos interesses da organização, como também a proteção dos interesses dos clientes que tem os seus dados armazenados na empresa. Este é apenas um dos diversos desafios que a transformação digital acarreta, pois esta formação ou consciencialização para a proteção de dados não existe. As organizações têm, portanto, de fazer um forte investimento em tecnologias que permitam controlar a forma como a informação, que é um dos bens mais preciosos que qualquer organização tem, é produzida, manuseada e utilizada. O ponto fulcral é, sem dúvida, a formação do capital humano.

Nos últimos quatro anos, devido a grandes acontecimentos relacionados com a segurança e a perda de informação por parte de entidades impactantes no seio da sociedade, as empresas têm procurado a Redshift em forma de prevenção para melhorar os seus sistemas. Situações como a exposição do Facebook ou as eleições americanas trouxeram alguma consciencialização para problemas que já existiam, mas que não tinham a devida atenção dentro das empresas. A frase mais ouvida “isto acontece só aos outros” tem vindo a desmoronar, devido em muito pela atividade das empresas de cibersegurança no mercado, mas também pelo aumento da preocupação por parte do Estado em relação a esta matéria. No entanto, como costumo referir, em Portugal ainda estamos no início, falta fazer muito em questões de cibersegurança. Não temos um nível de maturidade razoável, quer no ponto de vista de cibersegurança, quer no ponto de vista de proteção de dados.

Portugal tem vindo a crescer nesta matéria. Vemos novas empresas de cibersegurança a surgir todos os dias, novas possibilidades e novas tecnologias que, aliadas ao esforço do Estado, têm melhorado em muito a ideia do que é a cibersegurança e a importância da proteção de dados dentro das organizações.

A Redshift tem vindo a trabalhar para melhorar o contexto de maturidade de segurança dentro de organizações do setor público e privado, para responder a dois vetores, fundamentalmente: o receio de que a entidade possa ser atacada ou porque já sofreu um ataque de cibersegurança. Infelizmente não raramente, quando entramos para ajudar e para implementar sistemas de proteção, acabamos por detetar ataques em curso ou passados, mais ou menos complexos, para os quais as entidades ainda não estão preparadas para perceber o impacto. Muitas não sabem que já estão a ser alvos de ataques. Só se apercebem do ataque quando este tem impacto, como a perda de informação ou da sua reputação.

EMPRESAS