Recomendações de cibersegurança para proteger a informação core nas empresas em 2020

Por Vicente Huertas Pardo, CEO Minsait Portugal

Os hackers atacam as empresas de forma repetitiva e constante, porque sabem que basta um ataque bem-sucedido para conseguirem informações que lhes vão valer muito dinheiro. A implementação de um programa de Gestão de Risco Digital que controle a segurança, desde a prevenção à previsão e resposta, torna-se assim fundamental. Para que as empresas possam enfrentar com sucesso os principais desafios ao nível da cibersegurança, considero que é importante:

Alinhar os objetivos de cibersegurança com as iniciativas, estratégias e prioridades de negócio: o Plano de Gestão do Risco Digital deve concentrar-se na proteção da informação da principal atividade do negócio (core business), dado que dela depende a sua própria subsistência e crescimento. Esta informação inclui contratos, planos estratégicos, objetivos, projeções, faturas, e-mails de coordenação entre gestores, bancos de dados, entre outros.

Avaliar o risco digital e não apenas as plataformas tecnológicas: cada empresa é responsável por identificar a sua informação mais sensível e os processos que a tornam vulnerável a ataques. Não basta a instalação de um antivírus, é também necessária a identificação de possíveis riscos na manipulação de dados e saber como os criminosos cibernéticos poderiam tentar acedê-los. 

Estabelecer mecanismos avançados de deteção e resposta: o plano de resposta e gestão de incidentes de segurança será desenvolvido de acordo com o tipo de ataque e de atacante. A tática de resposta não pode ser a mesma se o ataque for realizado por um grupo criminoso ou um “hacktivista”, ou caso se trate de uma campanha global de phishing. E atenção, Portugal é o segundo país mais atacado por phishing e spam, de acordo com um estudo.

Basta lembrar o exemplo do Ransomware (um malware que restringe o acesso ao dispositivo pedindo dinheiro em criptomoedas). Este ataque pode afetar a disponibilidade dos serviços ao criptografar todos os ficheiros de um sistema ou de uma rede, com danos reputacionais, e ainda mais se não existirem backups. É importante adicionar componentes avançadas de deteção. E não esquecer as questões básicas de segurança informática, como relatar ações suspeitas de utilizadores, restringir o acesso a redes sociais, emails não corporativos e websites duvidosos; limitar o uso de dispositivos USB, criar passwords robustas (com dupla autenticação).

Identificação prévia de riscos de segurança

Uma adequada capacitação dos colaboradores quanto ao protocolo de cibersegurança e o aviso prévio à empresa tornam a organização mais resistente a ataques. Para atingir este objetivo, é necessário que o programa inclua:

Formação geral sobre os riscos de ataque mais comuns, como o phishing, malware ou URLs maliciosos; mensagem enganosas, navegação em páginas web duvidosas e conexão a dispositivos com USB removíveis.

Dessa mesma forma, os colaboradores devem ser alertados para verificarem a validade dos seus certificados de segurança dos sites, reverem cuidadosamente os remetentes e endereços de email, reportarem emails suspeitos e nunca publicarem informação sobre o seu trabalho nas redes sociais. 

Formação ao Top Management: os executivos com poder de decisão nas empresas e organizações são os principais alvos dos hackers, devido ao seu acesso a informação sensível. Os ataques dirigidos a gestores e diretores denominam-se ‘whaling’ e normalmente fazem uso de táticas para aceder a informações classificadas. Fora isso, há o risco permanente de usurpação de identidade, através da qual o hacker pode usar a assinatura digital ou o email de um executivo para enganar outros, causando danos irreparáveis à empresa.

Capacitação dos departamentos em função dos riscos específicos: assim que se identifica uma possível ameaça num departamento (Administração, Sistemas, Recursos Humanos, Finanças, Direção Geral…) devem-se aplicar medidas de precaução específicas, dependendo da forma como se gere a informação em cada um dos departamentos. Se bem que há um conjunto de práticas recomendáveis em todos os departamentos, através do programa de Gestão de Riscos, os controlos devem ser determinados, pois não é eficaz nem eficiente colocar os mesmos protocolos de segurança em todos eles.

Em suma, a tecnologia abriu um mundo de oportunidades às empresas, mas também um mundo onde as ameaças são mais imediatas e impactantes. A criação de um programa de Gestão de Risco Digital revela-se fundamental para proteger a informação das empresas, assim como orientar colaboradores e departamentos para as melhores práticas no combate à cibersegurança.  




Deixe um comentário

O seu email não será publicado