Cibersegurança: As empresas e as análises de risco

Por João Miguel Sousa, Senior Cyber Security Engineer da Critical Software 

 

Os ataques informáticos têm vindo a aumentar continuamente ao longo dos últimos anos, sendo descobertos e utilizados novos vetores de ataque, os quais têm tido um impacto nas empresas e nas pessoas sem precedentes. Alterações no contexto externo, tal como o conflito entre a Rússia e a Ucrânia ou a pandemia contribuíram para impulsionar o número de ataques, assim como o nível de exposição aos mesmos por parte das empresas.

Este contexto externo extremamente dinâmico e caracterizado pelo crescimento e evolução das ciber ameaças, faz com que cada vez mais seja difícil para as empresas gerir adequadamente o ciber risco. Analisando o último relatório de ameaças da ENISA, de novembro de 2022, vemos que Ransomware, Malware, Social Engineering e Supply Chain Attacks são algumas das principais ciber ameaças que atualmente afetam grande parte das empresas.

O Ransomware continua a ser das técnicas de ataque mais observadas pois permite aos atacantes obter ganhos substanciais com total impunidade, sendo utilizadas as criptomoedas como sistema financeiro não rastreável. Adicionalmente, muitos ataques de ransomware, começam com engenharia social, sendo o phishing a forma de engenharia social mais utilizada.

Os ataques de Supply Chain têm crescido e são um tipo de ameaça emergente uma vez que o número potencial de vítimas é elevado, dada a popularidade de algumas aplicações ou sistemas. Estes ataques caracterizam-se pela ocultação de malware em componentes de software de um fornecedor. Um exemplo deste tipo de ataque ocorreu em dezembro de 2020, com a empresa Solarwinds e afetou milhares de empresas globalmente. Por este motivo as empresas devem procurar fornecedores com uma política de segurança bem definida.

Para além deste contexto de ameaças dinâmico, vemos cada vez mais empresas de diferentes dimensões, mas que lidam com informação confidencial e sensível, a adotarem novas formas de trabalho o que cria enormes desafios na área da cibersegurança. Por exemplo, a adoção da estratégia de Bring Your Own Device (BYOD) encontra-se em expansão, motivada pela necessidade de dar mais flexibilidade aos colaboradores para poderem trabalhar em qualquer lugar e com qualquer dispositivo, num modelo remoto, presencial ou hibrido. A adoção deste tipo de estratégias requer a definição de novas abordagens à proteção dos dados corporativos, que deixam de estar centralizados. Deste modo, o modelo tradicional de proteção baseado na proteção do perímetro da rede deixa de ser eficaz.

Para fazer face a todos estes desafios é fundamental que as empresas invistam adequadamente em recursos humanos, processos e tecnologia, utilizando sempre uma abordagem baseada no risco. O investimento nesta área tem de ser estratégico e deverá ser visto como um fator diferenciador e de competitividade.

A abordagem baseada no risco é essencial, para garantir que o investimento é ajustado ao nível de risco e ao apetite de risco avaliado pelas empresas. Para o conseguirem, as empresas devem efetuar análises de risco regulares, contemplando todos os riscos a que estão sujeitas de forma a identificar o conjunto de ações necessárias para se protegerem face às ameaças existentes.

Do ponto de vista dos recursos humanos, é essencial que nas empresas existam pessoas responsáveis e equipas dedicadas por garantir a segurança física e lógica da organização, protegendo as suas instalações, os seus sistemas e a sua propriedade intelectual. Para que seja possível ter o contexto completo, é essencial que estes responsáveis estejam próximos da gestão de topo das empresas e reportem regularmente os novos incidentes de segurança detetados, os novos riscos e ameaças. De forma a apostar na prevenção é importante apostar na formação de todos os colaboradores para desenvolver uma cultura de segurança dentro da organização (Security Awareness), reduzindo por exemplo a possibilidade de um ataque de phishing ou malware ser bem-sucedido.

Do lado da tecnologia, esta assume um papel fundamental na proteção, no entanto, não deve ser considerada como solução para todos os problemas uma vez que não é eficaz sem uma gestão ativa por parte dos responsáveis de cibersegurança e sem os processos adequados estabelecidos. As medidas técnicas de segurança devem ser ajustadas à realidade de cada organização e acompanhadas de forma constante. Contudo, há um conjunto de medidas de segurança que hoje deveriam ser vistas como obrigatórias em qualquer empresa, tais como a autenticação forte, a atualização periódica e atempadas dos sistemas e a implementação de estratégias de backups da informação (copias de segurança).

A proteção dos sistemas deve ter como base uma autenticação forte, o que significa que o acesso a sistemas deverá ser efetuado com recursos a múltiplos fatores de autenticação e não apenas através da tradicional password. Todos os sistemas devem suportar mais do que um método de autenticação de forma a garantir a identidade de quem tenta aceder aos sistemas.

Adicionalmente as empresas devem realizar a atualização dos seus sistemas de forma regular, garantir a realização de copias de segurança de forma continua e uma estratégia de recuperação de desastre bem definida. Deste modo vão ter os sistemas mais protegidos, com menos vulnerabilidades e com maiores possibilidades de recuperação em caso de desastre.

Não existem empresas 100% seguras ou impenetráveis, o essencial é manter o risco controlado, minimizando-o sempre que possível de forma a garantir uma boa postura de segurança. Deste modo será mais difícil para os atacantes deferir um ataque, no entanto, o sucesso de um ataque dependerá sempre da motivação, tempo e recursos do atacante.

 

Ler Mais

Deixe uma resposta

Seu endereço de email não será publicado.