Acontecimentos recentes e mediáticos têm exposto as vulnerabilidades e constrangimentos que as instituições em Portugal enfrentam para garantir o princípio da confidencialidade e proteção da informação secreta e classificada.
Por Nuno Silva, Head of Security & Business Resilience, Inetum
A disseminação do trabalho remoto e do uso de laptops acedidos a partir de qualquer lugar trouxe desafios acrescidos às instituições que possuem informação secreta. Devido a perdas financeiras, operacionais e reputacionais, que podem resultar da exposição pública de informação secreta, é fundamental que as instituições se mobilizem para dar resposta ao seguinte desafio:
Como manter a informação secreta, segura e livre de ameaças caso o laptop seja roubado, alvo de negligência ou utilizado de má-fé por parte de um colaborador?
O risco de partilha de informação secreta pode ser fortemente mitigado através da implementação e adoção das seguintes medidas:
- Armazenar centralmente a informação secreta restringindo o armazenamento local: Informação armazenada localmente no disco rígido do laptop aumenta consideravelmente o risco de acesso indevido à informação e a perda de informação em caso de roubo ou perda do laptop.
- Encriptar a informação secreta: A implementação de algoritmos de encriptação vai garantir a confidencialidade da informação em caso de interceção ou roubo.
- Implementar mecanismos de autenticação multi-factor: A adição de uma camada extra de segurança na autenticação (e.g. password e impressão digital) permite reduzir o risco de acesso indevido aos sistemas de informação.
- Criar uma cultura de “segurança da informação”: Sensibilizar os colaboradores para “onde” e “quando” aceder a informação sensível é fundamental mitigar comportamentos de risco (e.g. aceder a informação secreta em locais e redes públicas).
- Implementar um processo de revogação de acessos: Implementar um processo integrado com o Departamento de Recursos Humanos de revogação de acessos aos Sistemas de Informação quando o colaborador deixa a organização, permite minimizar o risco da partilha de informação secreta por má-fé.
Como resposta aos desafios de cibersegurança as instituições devem evoluir para um modelo Zero Trust (ausência de qualquer confiança implícita no acesso interno e externo aos Sistemas de Informação) e privilegiar a implementação de uma estratégia assente em três eixos: Pessoas, Tecnologia e Processos.