A vulnerabilidade e exposição dos dados das organizações é uma inevitabilidade neste mundo digital. Já não são novidade as notícias de quebras de segurança de dados de empresas, ou organismos do estado, e os anúncios de hackers a comercializar os dados acedidos por meios ilegais.

Como referi em artigos anteriores, as violações de dados podem ter custos elevados para as organizações. Nomeadamente, a perda de reputação com impactos ao nível da receita e valor de mercado, mas também a perda de dados comerciais confidenciais, ou mesmo a exposição pública de informações pessoais ou de negócio (contactos e moradas, ou mesmo de informação de finanças pessoais e dados de saúde). É um facto conhecido que, grande parte das empresas da área de informática conhecem concorrentes, clientes ou fornecedores que já sofreram ataques de ransomware, ou outro.

Concluído o ano de 2022, infelizmente, não há sinal de abrandamento. A própria envolvente geopolítica e a guerra da Ucrânia, em nada ajudam no decréscimo da atividade de ataques cibernéticos. É por isso essencial que as organizações estejam cientes das crescentes vias de ataque e os desafios que o ano de 2023 irá trazer, bem como do que pode ser feito para mitigar os riscos.

A importância da resiliência no mundo digital é progressivamente mais relevante no dia-a-dia das sociedades e está constantemente na ordem do dia. Nenhuma empresa, independentemente da dimensão e do seu grau de preparação, está livre de sofrer um ciberataque e deve preparar-se e proteger-se para não ser depois penalizada por isso, procurando ativamente inverter esta tendência e capacitar-se para responder e ultrapassar situações imprevistas olhando para os seus ativos críticos, para as suas infraestruturas, as áreas como endpoints, os acessos, a segurança da rede, etc.

O porquê da Cibersegurança já não deve assim ser uma questão, ou dúvida, para as equipas de gestão e administração. E, nem mesmo, para o cidadão comum.

Na verdade, a primeira linha de comportamentos de cibersegurança começam ao nível do utilizador, portanto do cidadão. Muitos dos incidentes de cibersegurança e de violação de dados sensíveis, resultam de actos involuntários no uso da tecnologia e dos sistemas informáticos. A aposta contínua na formação é um fator critico de sucesso para as organizações que querem incluir a cibersegurança na sua agenda de iniciativas para 2023.

A abordagem promovida pelas equipas da Tecnologias Imaginadas é a de ótica de gestão de risco e procura da melhor solução – nas dimensões de pessoas, procedimentos e tecnologia – para cada caso em concreto. Promovendo a consciencialização de que não existem soluções milagrosa e todos estamos expostos ao risco de ataques cibernéticos.

É fundamental saber, conhecer, manter e atualizar a política de segurança da empresa: qual é a informação mais crítica, como é que cada um dos seus utilizadores, departamentos e colaboradores fazem a gestão da informação. Ter a capacidade de implementar um conjunto de tecnologias defendam melhor, desde uma simples de autenticação da senha de acesso por multi-factor, até um sistema de gestão e automatização de cópias de segurança.

Uma politica de segurança de informação e cibersegurança, usada como instrumento para ajudar a garantir que toda organização, tem um entendimento comum e está alinhada, no mesmo passo, com os conceitos de cibersegurança.

Ao se enfatizar a importância de padrões e políticas, os riscos para a organização podem ser reduzidos e a segurança pode ser fortalecida. Sendo um fator crítico para a cibersegurança das organizações, que todas as políticas e normas, após a sua publicação e divulgação interna, sejam revistas periodicamente, para ajudar a garantir que permanecem adequadas e atualizada.

Cibersegurança para quê? Para construir um ciberespaço aberto e seguro, e  uma maior confiança dos cidadãos nas ferramentas e nos serviços digitais.

De forma simplista, os requisitos para uma estratégia e procedimentos em Cibersegurança passa por:

1. Identificar as pessoas que tenham a função de ser as primeiras a descobrir ou responder ao problema de segurança. Idealmente, alguém devidamente treinado para lidar com situações de incidentes e ataques cibernéticos.
2. Identificar os pontos únicos de falha dos sistemas de informação e aplicações informáticas. Sistema ou componente que, se falhar, tem um grande impacto nas operações.
3. Definir o conceito de desastre, qualificando evento ou emergência que vai além dos recursos de resposta normais.
4. Uma análise de impacto dos efeitos de negócios de sistemas inativos. A análise de impacto ajuda a identificar pontos únicos de falha nos sistemas de apoio ao negócio.
5. Elaboração de um Plano de Continuidade de Negócio (PCN), com a priorização de quais sistemas ou processos precisam ser trazidos de volta primeiro para que a organização volte a funcionar. O PDN identifica sistemas, processos e dados de missão crítica.
6. Elaboração e teste de um Plano de Recuperação de Desastres, detalhando as etapas para se recuperar de uma situação de desastre (por exemplo, sites de failback, backups externos), e onde deve existir uma seção especifica sobre ajudar a garantir a segurança dos funcionários.
7. Promoção de ações de consciencialização e formação dos utilizadores, reduzindo consideravelmente os riscos de segurança.

Mas também é necessário adoptar medidas técnicas e organizativas adequadas, para gerir os riscos que se colocam à segurança das redes e dos sistemas de informação que utilizam, com vista à prevenção e mitigação dos riscos, e ao reforço da robustez e da resiliência dos activos (através da proteção contra as ameaças identificadas e a respectiva recuperação ou redundância). Cumprindo os requisitos da  aplicação do quadro legal e regulamentar que resulta do Decreto-Lei 65/2021.

A minha recomendação é que o cumprimento destes requisitos de gestão e resposta a incidentes, que se enquadram numa vertente mais técnica e especializada, possa incluir modelos de subcontratação de serviços especializados a entidades, com equipas de analistas e centros de operação/controle de infraestruturas e sistemas de informação.

A segurança da rede nunca é uma operação totalmente concluída. Muitas vezes parece que assim que é corrigida uma vulnerabilidade, logo aparece outra. Embora isto seja uma evidência, ainda existem etapas que os administradores de sistemas devem seguir para reduzir as vulnerabilidades existentes no sistema sob seu controle. E, ao reduzir as vulnerabilidades conhecidas, os administradores de sistemas podem otimizar o seu contributo na redução da exposição a ameaças futuras.

A gestão de incidentes inclui necessidades e requisitos ao nível de:

• Análise de vulnerabilidades, com uso de ferramentas de software automatizado, para identificação de “falhas” na rede, por exemplo portas abertas ou protocolos com falhas de segurança.
• Testar ativa e agressivamente todo o sistema de TI, num esforço para encontrar os pontos fracos, através da realização de “Testes de Penetração”. Onde se pode incluir o uso de métodos de engenharia social.
• Elaborar relatório, com uma periodicidade anual, que contenha a descrição sumária das principais actividades desenvolvidas em matéria de segurança das redes e dos serviços de informação. E inclua recomendações de melhoria da segurança e dos procedimentos gestão e resposta a incidentes.
• Produção de informação estatística trimestral de todos os incidentes (com indicação do número e do tipo dos incidentes)
• Análise agregada dos incidentes de segurança com impacto relevante ou substancial.

Mesmo tendo o melhor plano e infraestrutura de segurança do mundo, os incidentes podem ocorrer  em qualquer momento. E os Reguladores exigem Relatórios de Incidentes, aliás detalhados e especificados pelo Decreto-Lei n.º 65/2021, de 30 de Julho.

Os profissionais de cibersegurança são raros e caros. Recorrer a equipas e Serviços de Cibersegurança é, pois, a melhor opção para garantir a Segurança da Informação, com custos comportáveis e controlados.

A Tecnologias Imaginadas tem agora um Serviço de Consultoria em Cibersegurança, adaptável às necessidades de cada empresa, que para além de um diagnóstico de segurança, e aconselhamento num roteiro para maturidade em cibersegurança, inclui também a análise de vulnerabilidades para ajudar a determinar o seu orçamento de segurança cibernética corporativa.

Fale connosco e comece já a proteger a sua empresa, trabalhadores e clientes.

Carlos José Santos Silva