A (ciber)segurança diz respeito a todos

Por David Teixeira, IT Security Team Manager na Natixis Portugal

O tema da cibersegurança tem suscitado, de alguns anos a esta parte, um interesse crescente por parte da opinião pública. Os profissionais das Tecnologias de Informação (TI) vêem nesta área uma opção de carreira cada vez mais apetecível, enquanto as organizações procuram manter os seus negócios e a sua reputação a salvo de qualquer ciberataque.

No entanto, olhamos ainda para tudo isto com um espanto e admiração próprios de quem observa um fenómeno exótico e distante. Compreendemos a gravidade do assunto, mas sem reconhecer verdadeiramente que estamos em risco – persiste a ideia errada de que somos, indivíduos ou organizações, demasiado pequenos e desinteressantes para sermos visados por um ataque. Achamo-nos, erradamente, protegidos pela nossa suposta invisibilidade.

É este estado de espírito – de um estranho embora, talvez, expectável desapego – que urge combater, criando uma cultura de segurança nas organizações. Como dizemos há anos no grupo onde tenho o prazer de trabalhar – “Security is everyone’s business!”. A segurança diz respeito a todos!

 

Ciberataques continuam a aumentar em Portugal

Um ciberataque é, resumidamente, um ataque informático a uma pessoa ou organização com origem no ciberespaço (vulgo Internet). Se dar uma definição é relativamente simples, explicar como acontecem é muito mais complicado. Os ataques podem ser de tipos muito diversos, estão em constante mudança e são limitados apenas pela imaginação humana.

O relatório “Cibersegurança em Portugal – Riscos e Conflitos 2022”, do Centro Nacional de Cibersegurança (CNCS), dá-nos visibilidade sobre as tendências e os tipos de ataque mais prevalentes em Portugal.

Segundo o relatório, em 2021 registou-se um aumento de 26% no número de incidentes quando comparado com 2020 – em 2020 verificou-se um aumento de 79% (!) de incidentes face a 2019. Ainda em 2021, os tipos de incidentes mais registados foram o phishing/smishing (40%), outros ataques de engenharia social (14%) e a distribuição de malware (13%).

  • Phishing e smishing são ataques em que um atacante se faz passar por uma marca ou organização legítima para extrair informação de um utilizador ou conduzi-lo a instalar malware – o phishing é tipicamente levado a cabo por e-mail e o smishing por SMS.
  • A engenharia social diz respeito a um conjunto de técnicas (entre as quais o phishing e smishing) que se destinam a levar um utilizador a, sem ter consciência disso, instalar software malicioso ou a ceder informação sensível – um exemplo disso é vishing (phishing por chamada ou videochamada, reponsável por 43% dos casos de engenharia social reportados).
  • Malware é um tipo de software malicioso destinado a disromper um computador ou sistema de informação (SI) e/ou a roubar dados. Exemplos de malware incluem vírus, worms, ransomware ou spyware.

Estes três tipos de ataques têm algo em comum – não são necessariamente direcionados a um alvo específico. Aliás, a vantagem (para um atacante) é que estas técnicas podem ser usadas para alcançar o maior número possível de pessoas e organizações, aumentando assim as hipóteses de sucesso.

É por isto, e porque os ataques não direcionados são muito mais comuns que os direcionados, que ninguém se pode considerar fora do seu alcance.

 

Segurança das organizações – por onde começar

Não existe uma fórmula única para o desenrolar de um ciberataque, pelo que também não existe uma receita infalível para defender contra eles. Tendo em conta o exposto acima, é clara a importância de delinear uma estratégia que coloque em primeiro plano o fator humano e a criação de uma cultura de segurança.

Aderindo a um standard, como a ISO 27001, NIST, COBIT ou outros, definindo ações concretas e coerentes para a melhoria do nível de proteção das organizações. Fazendo o shift-left em segurança, tendo em conta os aspetos de segurança desde as fases iniciais dos projetos e dotando as equipas de TI das ferramentas e conhecimentos necessários para serem criadores de soluções seguras.

Preparando para o pior, o que começa por conceber o SI de uma organização empresa, de modo a que este esteja preparado para falhar. Se, por exemplo, um sistema (aplicação, servidor, computador, etc.) for comprometido na sequência de um ataque, não contaminar outros sistemas, minimizando o impacto – ou, dito de outra forma, criando sistemas resilientes.

Por último, mas não menos importante, apostando na sensibilização de todos os utilizadores. É este o ponto crítico para qualquer estratégia de segurança. Todos devemos ser ensinados a usar o SI de forma segura, a reconhecer os sinais de um ataque e a lançar rapidamente o alerta, e a evitar comportamentos inseguros.

 

Não existe risco zero nas TI.

É importante ser claro e olhar os problemas de frente. Mais tarde ou mais cedo, de uma forma ou de outra, todos seremos vítimas de um ciberataque. Mas podemos aprender a viver com o risco e a geri-lo, a reconhecer as possíveis ameaças e, com a colaboração de todos, minimizar as suas consequências. Porque a segurança diz mesmo respeito a todos!

Ler Mais

Deixe uma resposta

Seu endereço de email não será publicado.