Carlos Carvalho refere que continua “a ver a questão dos ciberataques tal como já via há um ou dois anos”.
Por isso, “a questão dos ciberataques não mudou, o que mudou foi o mediatismo das empresas atacadas e que têm sido notícia”, afirma, aludindo aos casos da Impresa, Vodafone ou os laboratórios Germano de Sousa, só para citar alguns desde o início do ano em Portugal.
“Também não acho que o número de incidentes esteja a aumentar no mesmo grau que está a aumentar o mediatismo”, enfatiza o presidente executivo.
O tema está na ordem do dia porque “estão a ser alvo de ataques empresas mais mediáticas” e com repercussões, considera.
Isto é, “um ataque como aquele que tivemos a um operador de telecomunicações afeta a empresa atacada, mas afeta também todas as outras pessoas e organizações que estão apoiadas e têm alguma forma de ligação com a empresa”, como os clientes, prossegue.
“O que vejo é uma tendência que já se previa que fosse acontecer” e “acredito que haja muito mais empresas a ser atacadas do que aquelas que são notícia”, considera.
E também “há muitas que são atacadas e ainda não perceberam que estão a ser e isto é fruto daquilo que temos vindo a discutir e a dizer há muitos anos: a Internet começa a ser desenvolvida para ser uma forma de comunicar, para ser boa de usar, para ter vantagens na utilização e a segurança veio muito depois”, diz.
“Hoje em dia utilizamos um conjunto de soluções, de sistemas, que servem uma função para o nosso trabalho, para o nosso lazer, mas onde a segurança não foi pensada desde o desenho” e “temos agora de incrementar segurança”, defende.
Carlos Carvalho sublinha que “naquilo que já está feito” é importante procurar “corrigir as falhas que possa ter” e no que está a ser preparado a desenhar, “incluir segurança por desenho”.
Para as empresas e organizações se precaverem dos ciberataques, primeiro devem “conhecerem-se, testarem-se, auditarem-se, perceber o que está errado e o que pode ser mitigado, que medidas de mitigação e de melhoria de segurança devem implementar, por isso o autoconhecimento é muito importante”, recomenda o gestor.
“Devem ser as próprias organizações a quererem testar-se, não é vergonha alguma ter um problema de segurança, desde que o conheçam e possam corrigir”, acrescenta.
A isto acresce outra componente, que é fator humano.
“Pela experiência que temos na Adyta, muitos destes ataques acontecem ou por origem do fator humano ou então numa origem híbrida, que é fator humano associado a fator tecnológico”, conta Carlos Carvalho.
Ou seja, “há pequenas falhas que depois são potenciadas pelo erro humano e é preciso investir na formação, na capacitação das pessoas, no criar um estado de alerta permanente para aquilo que é a utilização das diversas plataformas que as organizações têm e, claro, investir em segurança”.
Além disso, recomenda que as empresas escolham soluções e serviços que estejam auditados e testados por entidades idóneas.
“Devemos procurar utilizar soluções que sejam certificadas, auditadas e depois investir na segurança e num conjunto de mecanismos de soluções e serviços para que nos ajudem a ter um sistema seguro”, reforça.
No caso de uma empresa, por exemplo, “é importante que alguém, e não o próprio que desenvolveu, venha e olhe com outros olhos e teste para perceber onde estão as falhas”, e essa é “a vantagem do ‘ethical hacking’ que nós temos na Adyta”.
O ‘ethical hacking’ é um processo de deteção de vulnerabilidades na aplicação, sistema ou na infraestrutura da organização que um ciberatacante pode usar para explorar, o que permite prevenir ciberataques.
“Podemos olhar para a segurança, para aquilo que é ‘standard’ — está ali uma tabela que diz ‘cumprir estes requisitos’, a maior parte cumpre –, mas depois há aqueles outros ângulos de potencial ataque que é preciso olhar para eles também, e aí nada melhor do que usar a filosofia do ‘ethical hacking’ para submeter um teste”, colocando-se na posição de um atacante externo ou até mesmo interno.
Sim, porque “há atacantes dentro das próprias organizações”, um assunto de que “não se fala muito, mas é muito mais comum do que o normal”, diz.
Carlos Carvalho relata o caso de um grupo mundial, com dezenas de milhares de colaboradores, onde se fez um teste de simulação de ataque de ‘phishing’ (fraude que visa ‘pescar’ dados sensíveis dos utilizadores).
Durante o teste, houve um grupo de colaboradores que ‘clicou’ no ‘link’ e foram para formação, depois a simulação foi repetida e, aí, já havia um grupo mais pequeno que tinha ‘clicado’, o qual foi para formação.
Entretanto, voltou a ser feito outro teste e houve um colaborador que voltou a carregar no ‘link’: “quando foram ver, aquele colaborador estava em litígio com a própria empresa por um problema laboral”.
Este faz com que as questões de cibersegurança “não sejam só olhadas do ponto de vista técnico, mas também do ponto de vista social” da própria empresa e que “as permissões que são dadas a determinados colaboradores sejam condizentes com as suas funções”, refere.
A cibersegurança “é minimizar os riscos, porque falhas de segurança vão existir sempre, nada é 100% seguro”, aponta.
O presidente executivo da Adyta admite que a “onda de mediatização” sobre ciberataques em Portugal levou a que a empresa tenha tido “muito mais contactos”, considerando que os gestores e administradores estão muito mais atentos à área de cibersegurança.
Defende ainda que “é preciso que, de uma vez por todas, num mundo que está cada vez mais digital, as administrações das empresas convidem para a mesma mesa, para o ‘board’, os responsáveis pela parte informático, porque o IT é extremamente importante para toda a área do negócio”.
Comentários