Quiosque

CIBERSEGURANÇA

Muito mais do que um antivírus ou uma firewall

O desafio é global e vai muito além de colocar 'trancas à porta' nos sistemas empresariais. A segurança e a privacidade dos dados têm impacto económico, político e reputacional e podem custar milhões às empresas, aos governos e aos cidadãos de todo o mundo.

A segurança das organizações é um tema obrigatório de entre as prioridades dos CEO. A prevenção dos ciberataques deve ser uma realidade no dia a dia das empresas e elevada ao nível de outros problemas globais, como catástrofes e terrorismo. A conclusão é do World Economic Forum, que coloca as ciberameaças como a terceira causa de perigo mundial e que alerta as organizações para as consequências de uma estratégia de cibersegurança mal pensada ou mal aplicada.

O problema, refere a instituição, vai muito além da perda de informação ou de custos financeiros diretos, passando por danos que ultrapassam em muito os valores quantificáveis. A reputação empresarial é um dos exemplos de danos intangíveis resultantes de ataques de hackers ou de falhas de segurança que partem de dentro das próprias organizações. “É necessário perceber que ter uma solução de segurança já não é uma opção, é uma necessidade”, alerta Alfonso Ramirez, diretor-geral da Kaspersky Lab Iberia.

Alfonso Ramirez, diretor-geral da Kaspersky Lab Iberia, destaca a relevância de ter uma solução de segurança

Alfonso Ramirez, diretor-geral da Kaspersky Lab Iberia, destaca a relevância de ter uma solução de segurança

Mais do que construir 'muros' que impeçam a entrada de intrusos nos sistemas empresariais, a realidade atual obriga a que as organizações estejam atentas às práticas de segurança dentro de portas. Segundo o estudo “The Cost of Cybercrime”, da consultora Accenture, 81% das quebras de segurança nas empresas resultam de roubo de credenciais, oriundas essencialmente de condutas erradas dos colaboradores. É certo que, na maioria dos casos, estas condutas não são mais do que desconhecimento ou desleixo, e não ações deliberadas. Usar sempre a mesma password para todos os sistemas/aplicações a que acede, fornecer os dados de acesso aos colegas, escrevê-los em locais visíveis ou deixar o computador ligado enquanto se ausenta do posto de trabalho são coisas simples mas que podem comprometer a segurança da informação e da empresa.

Estas ameaças parecem simples de resolver, mas são, por vezes, as mais complicadas, pois exigem mudanças de mentalidade e de comportamento. São também situações cada vez mais recorrentes, uma vez que a mobilidade e os acessos remotos à informação empresarial abrem portas a mais falhas. A solução passa por formar internamente as equipas para evitarem comportamentos de risco – a literacia digital é hoje fundamental –, bem como por garantir que se adotam as ferramentas mais adequadas a cobrir todo o potencial de ameaças. “O elo mais fraco na cadeia de valor da cibersegurança são os utilizadores”, confirma Ricardo Maté, country manager da Sophos Iberia.

O country manager da Sophos Iberia, Ricardo Maté, alerta para a necessidade de analisar regularmente os sistemas nternos das empresas

O country manager da Sophos Iberia, Ricardo Maté, alerta para a necessidade de analisar regularmente os sistemas nternos das empresas

Para Alfonso Ramirez, existem três áreas fundamentais para garantir a cibersegurança dentro das empresas. Em primeiro lugar, elas devem assegurar o bem-estar e a proteção dos seus colaboradores, realizando uma análise detalhada de todos os sistemas envolvidos no seu ambiente de trabalho. “Quando os colaboradores ligam os seus dispositivos pessoais à rede empresarial, tornam-se uma 'porta de entrada' para os hackers acederem aos recursos da rede corporativa”, alerta. Assim, recomenda, devem ser realizadas com alguma regularidade análises pormenorizadas aos sistemas internos, para prevenir que se tornem vulneráveis a ataques, bem como apostar numa formação contínua dos colaboradores em matéria de segurança.

Em segundo lugar, aponta o responsável da Kaspersky Lab, é importante fazer uma consciencialização da situação de ativos e dados na empresa através de uma avaliação de riscos de cibersegurança com base nos mesmos, pois “só assim será possível determinar ameaças viáveis de forma mais completa” e a organização poderá concentrar os seus recursos de cibersegurança onde são mais importantes. Por último, “as empresas não se poderão esquecer de que uma proteção de segurança é essencial para garantir que as atividades online não se transformem num risco quer para a organização, quer para os colaboradores”.

Já a Sophos aposta numa abordagem pedagógica, que passa por usar uma ferramenta a que chamou PhishThreat e que consiste em simular ataques reais, permitindo às organizações perceberem quais os colaboradores potencialmente mais 'perigosos', ao mesmo tempo que fornecem formação online às equipas.

No entanto, alerta Ricardo Canada, responsável pela área de cibersegurança da jp.di, um dos grandes problemas atuais é que “muitas organizações ainda estão agarradas a um conceito de cibersegurança ultrapassado, em que o anti-vírus e a firewall são suficientes, mas as ameaças evoluíram muito”. Pedro Antunes, responsável de pré-venda e suporte técnico da jp.di, completa: “as empresas têm noção de que isto está a acontecer, mas muitas delas estão à espera, e quando acontecer logo se vê”.

Para os especialistas da jp.di, a complexidade, quer das novas ameaças, quer de algumas das novas ferramentas digitais, por vezes assusta e trava a mudança. É, por isso, fundamental sensibilizar e desmistificar toda esta realidade junto do meio empresarial, e este é também parte do trabalho que cabe ao Departamento de Cibersegurança, recém criado na jp.di. “A jp criou uma área de valor para conseguir, junto dos parceiros com quem já trabalha, ter uma oferta de valor acrescentado, com uma equipa dedicada que ajuda a mudar e a sensibilizar”, reforça Ricardo Canada.

Em poucos meses, explica Pedro Antunes, a jp.di tem feito um conjunto de campanhas de formação e de informação junto da sua rede de parceiros, “com muito bons resultados”.

Os especialistas da jp.di, Ricardo Canada e Pedro Antunes, alertam para a existência de ameaças difíceis de eliminar

Os especialistas da jp.di, Ricardo Canada e Pedro Antunes, alertam para a existência de ameaças difíceis de eliminar

A oferta de melhores e mais eficazes soluções de segurança aguça o engenho de quem vive à procura de falhas nas organizações. É uma espécie de jogo do gato e do rato, para o qual as empresas têm de estar preparadas. “A adaptação constante dos sistemas de segurança às ameaças emergentes acaba por ser o mais importante”, assegura Alfonso Ramirez. É por isso que “a estratégia geral das empresas se deve focar em quatro pilares: prevenir, detetar, responder, prever”.

Para este responsável, “a pergunta que se coloca atualmente já não é se seremos atacados, mas quando isso acontecerá e quão rápidos seremos a recuperar do problema”. É por esse motivo que recomenda que todas as empresas adotem uma postura distinta em relação à segurança, tentando “olhar para o problema sob uma perspetiva holística, para terem uma visão geral que permita antecipá-lo, detetá-lo, estudá-lo e preparar uma resposta eficaz”.

No panorama empresarial, para além de uma solução de segurança, é muito importante apostar em relatórios de intelligence relativos a este tipo de ataques. Desta forma, “as empresas estarão permanentemente informadas sobre as ameaças e ataques, não só para os evitar, mas para os conseguirem prever e para garantirem uma proteção por antecipação”.

Ricardo Maté tem uma opinião semelhante. Na Sophos, “temos uma abordagem única à cibersegurança, que permite que diferentes soluções comuniquem entre si, oferecendo uma prevenção preditiva e uma resposta imediata, independentemente de onde vem o ataque”.

PORTUGAL EM LINHA COM PARCEIROS EUROPEUS

Apesar de uma crescente consciência de empresas e empresários sobre a importância da cibersegurança, Alfonso Ramirez acredita que em Portugal “ainda há um longo caminho a percorrer”. Na opinião do responsável pela Kaspersky Lab Iberia, organizações e indústrias estão, por um lado, mais conscientes no que diz respeito a estes temas, mas, por outro, mais vulneráveis a determinados ataques. Ainda assim, acredita que Portugal está “num nível médio de risco, numa situação que pode ser considerada semelhante à de outros países europeus”. Uma opinião partilhada por Ricardo Canada e Pedro Antunes que acreditam que apesar de ainda haver muito a fazer, “é tudo uma questão de tempo”. As organizações têm hoje muito com que se preocupar, desde as exigências da transformação digital, passando pela mobilidade e a proteção a que obriga, até ao RGPD e as necessidades de encriptação. “Mas com o tempo irão valorizar a cibersegurança dos seus sistemas e dados”, acrescenta Ricardo Canada.

Já Ricardo Maté tem uma perspetiva distinta: “Há um fosso entre pequenas e grandes empresas no que se refere à compreensão do que é a cibersegurança.” Para o responsável da Sophos Iberia, quer as PME quer as instituições governamentais estão “um pouco atrás de organizações semelhantes em economias como a espanhola ou a italiana”.

As principais ameaças

Os tipos de ataques e de ameaças à cibersegurança mudam ao longo dos tempos, e é por isso que as organizações têm de estar atentas e manter a sua proteção atualizada. Veja quais são, atualmente, as ameaças mais comuns, segundo a Sophos Lab, depois de analisar mais de 400 mil ataques diários.

  • Ataques de ransomware direcionados. Existe um aumento deste tipo de ataques, muito difíceis de prevenir, altamente sofisticados e com recurso a um mix de técnicas.
  • Aumento de ataques de engenharia social, com diferentes técnicas de phishing, tais como a fraude do CEO. Esta área está a causar perdas de milhões de euros a empresas europeias e mundiais.
  • Malware com criptomoedas está a crescer exponencialmente.
  • Incremento dos ataques a dispositivos móveis, especialmente aos baseados em Android, mas não só.
  • Mais ataques a dispositivos IoT devido à falta de proteção destes.

Três grandes desafios para as organizações

  • Falta de recursos formados para a cibersegurança. Há uma procura no mercado global por cerca de três milhões de recursos nesta área, que não têm resposta devido à falta de recursos com formação especializada.
  • Complexidade dos ciberataques. O cibercrime está a crescer exponencialmente, prevendo-se danos na ordem dos seis mil milhões de euros nos próximos dois anos.
  • A complexidade das soluções de cibersegurança, que dão origem à falta de recursos especializados, dificulta a tarefa das empresas em implementar soluções eficazes e fáceis de gerir.

Números do problema

22,7%
Percentagem de crescimento anual dos custos com a cibersegurança, segundo o estudo “O Custo do Cibercrime”, realizado pela consultora Accenture.

81%
Percentagem de falhas de segurança causadas por roubo de credenciais, como, por exemplo, passwords.
Fonte: Accenture.

3,6 milhões de dólares
Custo médio global de um data breach.
Fonte: Accenture.

23 dias
Tempo médio de resolução de um ataque de ransomware.
Fonte: Accenture.

54%
Percentagem de empresas que sofreram ataques de ransomware em 2017. Sobe para 85% se juntarmos as organizações que esperam ser atacadas em breve.
Fonte: Sophos.

41%
Percentagem de empresas portuguesas que revelam que o seu orçamento para a segurança aumentou.
Fonte: Marsh&McLennan.

65%
Percentagem de organizações nacionais que acreditavam que em 2018 os maiores riscos que o mundo iria enfrentar seriam os ataques cibernéticos em larga escala.
Fonte: Marsh&McLennan.