O Computerworld faz uma reflexão sobre o estado do mercado de Cibersegurança num contexto preocupante da cibercriminalidade, impulsionado pela situação geopolítica e económica e pela deslocalização de postos de trabalho.
Engenharia social, resgates, phishing, negação de serviço… A paisagem atual do ciberataque ficou fora de controlo. E não só devido à pandemia da COVID-19, que explodiu há dois anos, mas também devido à atual tensão geopolítica e à incipiente crise económica. Dados do Centro Nacional de Cibersegurança mostram que o cibercrime em Portugal cresceu cerca de 26% desde 2021. Um número que presumivelmente continuará a aumentar nos próximos anos.
As principais vítimas dos ciberataques pertencem aos setores do comércio e serviços e a instituições bancárias e financeiras, assim como a administração pública.
A mudança cultural está na base da nova luta das empresas contra os ciberataques
Há uma necessidade urgente de mudança na forma como a segurança empresarial é gerida, uma tarefa que se está a tornar cada vez mais complexa devido ao cenário de trabalho híbrido e à atual situação geoestratégica. É essencial promover planos baseados na estratégia e não em táticas que incluam a gestão de pessoas e processos como um pilar fundamental. Porque garantir a segurança organizacional não é, nem nunca foi, um problema técnico.
A Cibersegurança tem estado na vanguarda das prioridades dos CIO e dos CISO durante anos devido à crescente atividade maliciosa e, em particular, ao incidente Wanna Cry, que marcou um ponto de viragem na relevância – e no investimento – que o setor empresarial atribui a esta questão; No entanto, nos últimos dois anos, após uma pandemia que impulsionou a digitalização como nunca antes e transformou os modelos de local de trabalho de muitas organizações em híbridos, e no meio de um cenário geopolítico e económico muito complexo e incerto, a segurança aumentou, se possível, o seu lugar na agenda dos gestores tecnológicos ainda mais. O desaparecimento do modelo tradicional de segurança “castelo e fosso” parece estar finalmente a materializar-se à medida que está a ser substituído pelo modelo mais contemporâneo de “Zero Trust”.
Naturalmente, os CISO e os CIO não têm outra escolha senão modernizar os seus planos de segurança se quiserem sobreviver a um cenário de tempestade perfeito em que os ciberataques são cada vez mais numerosos e sofisticados.
Abordar a segurança de um ponto de vista mais estratégico do que tático é uma das recomendações que os peritos fazem aos CISO, um papel fundamental mas que, por sua vez, como deve evoluir para um gestor de riscos e ameaças, Não esqueçamos que a segurança, deve ser gerida como apenas mais um risco empresarial e deve ser medida em relação à perda que pode implicar – não em vão, um incidente grave pode mesmo levar à cessação do próprio negócio.
Outro aspeto chave, para a promoção da mudança cultural nas empresas é o desenvolvimento de uma estratégia de segurança cibernética que reúna tecnologia, processos e pessoas. A segurança, de facto, não é um problema tecnológico – nunca foi – mas um problema de processos e, em última análise, de pessoas. E esta é a maior dificuldade em lidar com os ciberataques no futuro: como mudar com sucesso a cultura empresarial para reduzir riscos e reforçar o controlo, cada vez mais necessário neste novo mundo híper conectado e frágil.
Numa conversa com Bruno Castro, fundador da VisionWare, sobre o estado da Cibersegurança em Portugal, abordamos a forma como as empresas olham para a importância de se protegerem. Se até aqui o discurso dos gestores era o de “só acontece aos outros”, a partir do momento em que os ataques se intensificaram com a maior exposição à web por via da necessidade que a pandemia trouxe com o trabalho híbrido, o discurso passou a ser, “não quero que me aconteça a mim”.
Não existem “vacinas” infalíveis para resolver os problemas de cibersegurança das empresas, a consciencialização e a mudança cultural dos colaboradores perante as suas tarefas é essencial para uma constante prevenção aos ciberataques. Testar, colocar à prova a eficácia dos sistemas de forma constante é uma das mais importantes ações que os gestores devem incentivar nas suas organizações.
Estar preparado para respostas adequadas e seguir procedimentos atempadamente definidos são parte essencial de uma boa estratégia a ser seguida pelas empresas. Importa reagir de forma eficaz sem ficar congelado na ação, nem reagir de forma intempestiva. É muito importante reagir em conformidade e em parceria com as autoridades sempre que se é vitima de um incidente ou de um ataque de segurança informática.
Para Carlos Vieira, Country Manager da WatchGuard, “o cenário de pandemia e guerra fez disparar os casos de ransomware e outros ciberataques a empresas e a infraestruturas críticas, algumas estatais. Temos visto inclusivamente isso a acontecer no nosso país e a organizações que, pela sua dimensão, não julgaríamos ser possível que se tornassem vítimas destes ataques. [Entrevista]
Por sua vez, Vesku Turtia, diretor regional da Armis na Península Ibérica, “à semelhança do que se passa um pouco por todo o mundo, Portugal tem assistido a um aumento não só do número de ciberataques, como da severidade dos mesmos. O panorama de ameaças é cada vez mais complexo e as organizações portuguesas, à semelhança das demais, encontram-se num processo de transformação acelerado pela pandemia e ainda estão a adaptar-se aos novos modelos de trabalho à distância e híbrido. [Entrevista]
Estudo revela a postura de profissionais de TI dos vários setores face à ameaça de uma ciberguerra.
O panorama de ciberameaças é cada vez mais complexo, os ataques mais frequentes, sofisticados e severos e a possibilidade de uma ciberguerra cada vez mais real. Porém, apesar dos acontecimentos globais e contínuos mais recentes, como a pandemia e a guerra da Ucrânia, 38% das empresas em Portugal ainda não estão a levar a ameaça de ciberguerra a sério e 37% não estão preparadas para lidar com um evento destes, de acordo com um estudo desenvolvido pela Armis, empresa líder em visibilidade e segurança de ativos, sobre o Estado da Ciberguerra.
Segundo o inquérito, que envolveu mais de 6 mil profissionais de TI, de diferentes setores, em 14 países, 62% das organizações portuguesas estão preocupadas com o impacto de uma ciberguerra na sua empresa, 78% dos inquiridos consideram provável um aumento do orçamento para cibersegurança e 31% afirmaram ter experienciado mais atividade ameaçadora na sua rede. Apenas 53% dos profissionais estão confiantes de que o Governo nacional pode defender-se contra a ciberguerra.
“A ciberguerra é o futuro do terrorismo sob o efeito de esteroides, proporcionando um método de ataque económico e assimétrico, que requer vigilância constante e despesas para se defender”, disse Nadir Izrael, CTO e Co-fundador na Armis. “A ciberguerra clandestina está a tornar-se rapidamente uma coisa do passado. Atualmente, já assistimos a ciberataques descarados dos Estados-nação, muitas vezes com a intenção de recolher informações, interromper as operações ou destruir completamente os dados. Com base nestas tendências, todas as organizações devem considerar-se possíveis alvos de ataques de ciberguerra e proteger os seus ativos em conformidade”.
As principais conclusões do estudo da Armis sobre o Estado da Ciberguerra são:
- Em Portugal, 62% das organizações estão preocupadas com o impacto de uma ciberguerra na sua empresa como um todo. Contudo, 38% das empresas portuguesas ainda não estão a levar esta ameaça a sério e 37% acreditam que a sua empresa está pouco preparada para lidar com uma ameaça de ciberguerra, um valor superior à média europeia e global (26% e 24%, respetivamente).
- A atual situação geopolítica aumentou as preocupações sobre uma possível ciberguerra, com 67% dos inquiridos portugueses a concordarem que a guerra na Ucrânia criou uma ameaça maior, ligeiramente acima das médias europeias e globais (63% e 64%, respetivamente). Entre os profissionais de TI inquiridos, 31% afirmaram ter tido uma maior atividade ameaçadora na sua rede entre maio e outubro de 2022, em comparação com os seis meses anteriores. Um valor acima da média europeia (25%), mas igual ao registado a nível mundial (31%).
- Apesar da crescente preocupação com a ciberguerra, as empresas portuguesas continuam concentradas na sua transformação digital. Apenas 35% dos profissionais informáticos portugueses inquiridos pela Armis afirmam que a sua organização parou temporariamente ou abandonou estes projetos, um número significativamente inferior à média europeia (50%) e global (55%).
- Os elementos de segurança prioritários para os profissionais de TI portugueses são a proteção de dados (78% das respostas), a deteção de intrusão (55%) e a gestão de identidade e de acesso (52%). Quanto às ferramentas ou serviços de cibersegurança em que as suas organizações aumentaram o investimento nos últimos seis meses, os inquiridos indicam o Configuration Management Database (46%), seguido da gestão de acesso (45%) e de vulnerabilidade (41%). As principais práticas de cibersegurança implementadas nas organizações são o backup de dados (65%), a utilização de firewall e software anti-malware (64%), e dados encriptados (57%).
- A formação tem sido outro foco das empresas portuguesas. Questionados sobre se a sua empresa realiza formação regular para todos os colaboradores sobre como se comportar de forma segura online, 77% dos profissionais de TI concordaram.
- Tendo em consideração os acontecimentos recentes, como a pandemia e a guerra na Ucrânia, 78% dos portugueses inquiridos consideram provável que a sua organização invista mais do seu orçamento em cibersegurança. Atualmente, uma grande proporção das empresas portuguesas apenas atribui entre 5 e 10% do seu orçamento de TI à cibersegurança (41%).
- Quando questionados se confiam na capacidade de defesa do Governo contra a ciberguerra, 53% dos profissionais de TI e segurança portugueses manifestaram-se confiantes. O estudo da Armis também inclui duas questões específicas para o mercado português, relativas ao novo Regime Jurídico para a Segurança do Ciberespaço em Portugal. Quando questionados se o novo regime mudou a forma como as empresas lidam com as medidas de cibersegurança, 53% dos profissionais de TI e de segurança portugueses responderam afirmativamente. À pergunta se as empresas devem ser multadas se não tiverem planos de segurança contra ciberataques, 67% dos inquiridos responderam ‘sim’.
Os resultados do relatório Estado da Ciberguerra e Tendências da Armis: 2022-2023 demonstram a crescente preocupação das organizações com a crescente frequência e severidade dos ciberataques, bem como a ameaça da ciberguerra. O cenário de ameaças cada vez mais complexo e sofisticado está a ter impacto em diversas áreas de negócios, em todas as indústrias. Contudo, ainda há um ritmo e prioridades diferentes na elaboração e adoção de estratégias de cibersegurança.
Uma reviravolta inesperada na gestão da segurança cibernética: o fator humano
Para enfrentar com sucesso o contexto atual e assumir a liderança na cibersegurança, é necessário tirar partido do recurso mais precioso: o fator humano.
Muito mudou no ambiente de cibersegurança – e no mundo em geral – desde então. Tal como a automação, digitalização, adoção de cloud, inteligência artificial (IA) e machine learning (ML) explodiram na sequência da pandemia, e uma transformação digital sem precedentes está a ter lugar.
Esta é uma grande notícia para as empresas, pois significa aumentar a sua produtividade sem sobrecarregar o seu capital humano. Um aspeto essencial, considerando que existe uma enorme escassez de trabalhadores de TI a nível mundial, e que os que permanecem estão deslocados e dispersos.
Além disso, à medida que a tecnologia utilizada para gerir o ambiente de trabalho se torna cada vez mais baseada na IA/ML – e isto é verdade não só na cibersegurança, mas em quase todos os domínios – começa a ser tida em conta como um elemento decisivo que até agora não tem merecido a devida atenção.
O factor humano é fundamental
Quando se trata de reforçar a postura de segurança cibernética, são as pessoas que estão a mudar as regras do jogo. Isto é uma contradição em termos, dado que o mundo está a avançar para a IA, ML e automação precisamente para minimizar a intervenção humana.
A chave é compreender bem o conceito, uma vez que a IA, o ML e a automação não se destinam a minimizar a importância dos humanos. Pelo contrário, o objetivo é libertá-los de atividades de rotina e repetitivas, bem como de qualquer tarefa que envolva a gestão em grande escala de ameaças cibernéticas e processamento de dados que comportem um elevado risco de erro humano. É aqui que a intervenção humana é particularmente crítica.
Em AI e ML, são necessários dados para detetar um padrão ou prever quais serão os próximos passos. Dada a natureza dinâmica das ameaças cibernéticas, os seres humanos continuam a desempenhar um papel essencial, uma vez que são excelentes na compreensão, raciocínio e matizes, enquanto que na IA e no ML há sempre um atraso. Confiar apenas neles significa uma recuperação em termos de inovação, permitindo que as máquinas façam o seu trabalho de conversão de dados em conhecimento.
Para que as máquinas sejam eficazes, os dados precisam de ser etiquetados. A etiquetagem também pode ser automatizada, e para isso, as pessoas têm de determinar e introduzir as etiquetas corretas. Do ponto de vista humano, esta é uma atividade estratégica, longe de simplesmente identificar ações de rotina que podem e devem ser automatizadas.
Experiência digital
As máquinas têm a capacidade de permitir a experiência digital dos empregados, mas cabe aos humanos decidir quais as ferramentas a utilizar, e como serão utilizadas e reforçadas. Mesmo as melhores ferramentas do mundo serão inúteis se os gestores de tecnologia não as escolherem e não as tornarem acessíveis às suas equipas.
Escrever código seguro
Quando se trata de escrever um código eficaz e seguro, as máquinas ainda não estão ao nível dos humanos, uma vez que são incapazes de pensar e desenvolver estratégias. Contudo, uma vez o código escrito, as máquinas podem implementá-lo e testá-lo. Não se trata de seres humanos ou máquinas, ou seres humanos versus máquinas. Trata-se de seres humanos e máquinas. Este é o novo mantra.
Quando a automação liberta as pessoas de atividades de rotina que roubam o seu tempo, a importância da intervenção humana é ampliada, pois elas têm mais tempo para agir de forma estratégica e proativa, e podem concentrar-se em inovar e corrigir, em vez de recolher dados e ordenar.
A enorme carga de trabalho envolvida nestas tarefas de rotina é real e reconhecida por aqueles que as têm de levar a cabo. De acordo com um recente inquérito Ivanti, 71% dos profissionais de TI e de cibersegurança afirmaram que a aplicação de patches era demasiado demorada, complexa e pesada, e mais de metade afirmou que a organização e prioritização de vulnerabilidades críticas ocupavam a maior parte do seu tempo. Como seria se estas tarefas fossem automatizadas? Certamente infinitamente mais estratégicas, inovadoras e proativas.
Por outro lado, cabe ao ser humano construir ou quebrar a postura de segurança cibernética de uma empresa. Como exemplos:
– Uma postura de segurança é enfraquecida cada vez que um utilizador final aceita um link de phishing ou não segue os protocolos de password.
– Cabe às equipas de segurança decidir o quão forte é a aplicação dos protocolos, como fazê-los cumprir e o nível de qualidade das plataformas em que investem.
– Cabe às equipas de segurança decidir se devem utilizar programas de remendo inteligentes, baseados no risco e prioritizados ou se devem abordar as ameaças como apropriado.
O fator humano ultrapassa assim os limites da cibersegurança e a sua influência afeta o ambiente tecnológico como um todo:
– Os resultados dos dados são apenas tão fortes como as entradas que as pessoas recolheram.
– Até que sejam interpretados e transformados em políticas e ações, os dados são apenas números.
Os avanços tecnológicos devem assim servir para ajudar as pessoas a tornarem-se mais eficientes e a tomarem melhores decisões. As tarefas podem mudar, mas as pessoas são insubstituíveis.
Também e não menos importante, a inovação tecnológica deve contribuir para tornar o trabalho e a vida das pessoas mais fáceis, e não mais difíceis. Com demasiada frequência, a segurança e a experiência dos funcionários estão em desacordo. Uma segurança apertada, por mais necessária que seja, pode levar a uma carga de trabalho excessiva para os empregados. Este não deve ser o caso, pois o sucesso reside na capacidade de proporcionar uma experiência digital ótima aos empregados, o que é conseguido através do estabelecimento de medidas de segurança proativas e flexíveis.
Finalmente, embora a cibersegurança esteja entre as principais prioridades orçamentais para a maioria dos quadros superiores, ainda não parece ser suficiente. O sucesso reside realmente não só em fazer da segurança uma prioridade, mas também em garantir que é uma prioridade fácil de gerir. Pois se for extremamente difícil de gerir, a adoção e o cumprimento serão seriamente afetados, e ninguém beneficiará com isso.
Agora é o momento para as organizações se alinharem com as melhores práticas de segurança – agora, antes que seja demasiado tarde. O crescimento dramático da adoção da cloud e da disrupção digital em todos os setores expandiu exponencialmente as superfícies de ataque e o raio de ação dos cibercriminosos. Para enfrentar com sucesso esta situação e assumir a liderança na cibersegurança, para além de uma melhor compreensão da postura de segurança, é necessário aproveitar o recurso mais precioso: o fator humano. As máquinas só existem para ajudar.
A cibersegurança afeta tudo e todos; no fim de contas, ela existe para proteger a informação. Em última análise, quer o detentor dessa informação seja um indivíduo, uma empresa ou um país, no fim de contas trata-se de proteger as pessoas, como detentores dessa informação: a sua identidade, a sua reputação, a sua privacidade, a sua segurança no trabalho, a sua confiança numa empresa, o seu orçamento, a sua segurança…. É humano. É sempre o fator humano. Vamos proteger-nos uns aos outros.