Manual de cibersegurança para o gestor dormir bem à noite

Se é empresário ou gestor e o ataque informático ao grupo Impresa lhe tirou o sono, o ECO compilou várias dicas práticas que pode implementar já hoje para subir a fasquia aos potenciais atacantes.

Se o ciberataque à Impresa lhe tirou o sono, há coisas que pode fazer já hoje para dormir melhor à noiteMontagem por Lídia Leão/ECO

O ciberataque aos sites da SIC Notícias e do Expresso deixou muita gente perplexa esta semana. Não só por ter derrubado o arquivo de dois importantes canais de informação online, mas acima de tudo por mostrar que nem uma grande empresa é imune aos perigos que se escondem na internet.

Uma velha piada no meio tecnológico versa que existem dois tipos de empresas no mundo: as que já foram atacadas e as que não sabem que já foram atacadas. Em 2017, a então diretora-geral da Cisco Portugal, uma tecnológica, dizia ao ECO que a empresa bloqueava 20 mil milhões de ciberataques a cada dia. Quatro anos depois, deve travar bem mais.

Provavelmente, o ataque informático ao grupo Impresa marcou a atualidade pela exposição que teve. Afinal, a SIC Notícias e o Expresso, dois meios bem conhecidos no país, foram pura e simplesmente apagados da web. E não é preciso muita criatividade para imaginar a dimensão dos prejuízos que está a ter, não só pela perda de receita como pelo impacto reputacional.

Mas a verdade é que os ciberataques são recorrentes, mesmo em Portugal. Os especialistas confirmam-no, embora muitas vezes estes incidentes acabem varridos para debaixo do tapete, ou nunca assumidos pelas organizações. Ora, o ataque à Impresa, pelo mediatismo que tem tido, está a causar nervosismo no Portugal corporativo, tirando o sono a muitos gestores.

Se é o seu caso, preste atenção a estas dicas recolhidas junto de especialistas. O propósito deste guia é o de lhe mostrar o que pode fazer já hoje na sua empresa, de forma prática e objetiva, para que tenha uma noite mais descansada.

1ª Dica: Quanto menos privilégios, melhor

Dois peritos em cibersegurança contactados pelo ECO estão de acordo quanto à importância de as empresas manterem o “mínimo de privilégio possível” nos acessos aos seus sistemas.

Muitas empresas que operam em ambientes mais digitais atribuem contas de utilizador aos funcionários. É importante que cada trabalhador só tenha permissões para as funções necessárias ao desempenho das tarefas que lhe são atribuídas.

“Quanto menos permissões, mais limitado fica o alcance de um ataque”, explica Hugo Nunes, da S21Sec, uma empresa especializada em cibersegurança: “Se uma pessoa só precisa de ir a um determinado sítio, vai-se construir um guia para essa pessoa só conseguir ir a esse sítio e não ir para as plataformas ao lado.”

Por outras palavras, o Pedro do economato não deve ter permissões de acesso ao sistema de faturação, da mesma maneira que a Maria programadora não deve poder consultar as fichas dos colegas.

Outra praga são as contas zombie, de pessoas que já nem sequer estão na empresa, ou outros acessos criados para projetos temporários que “continuam lá para sempre”, alerta o especialista.

Tarefa:

Faça uma análise aos perfis de acesso ao sistema informático da sua empresa. Elimine permissões desnecessárias, redundantes ou obsoletas. Garanta que cada funcionário só tem os privilégios digitais necessários para poder trabalhar. É melhor manter os acessos reduzidos, aumentando-os temporariamente quando for necessário.

2ª Dica: A autenticação em dois passos é obrigatória

É dos conselhos mais importantes para Marc Rivero López, especialista da Kaspersky, outra empresa de cibersegurança que comercializa um conhecido antivírus com o mesmo nome: ligar sempre, mas mesmo sempre, a autenticação a dois passos.

“Os utilizadores precisarão de uma combinação de nome de utilizador e palavra-passe, mas também de um código temporário que pode ser recebido por SMS ou definido por uma aplicação que gere códigos temporários”, explica o perito.

Através da autenticação a dois níveis, o utilizador que se queira ligar ao sistema precisa de uma coisa que só o proprietário da conta deve saber, mas também de uma coisa que só ele tem. Geralmente, o primeiro nível é a senha de autenticação e o segundo nível é o telemóvel, que recebe um segundo código temporário via SMS.

Hugo Nunes, da S21sec, vai um pouco mais longe. Sinalizando que as pessoas são “os elos mais fracos” das empresas (do ponto de vista da cibersegurança, claro), o especialista desaconselha “a utilização de passwords fracas” ou “da mesma password” para vários sistemas.

Tarefa:

Garanta que todos os utilizadores com acesso à infraestrutura informática da sua empresa têm ativada a autenticação a dois passos. Se possível, torne-a tecnicamente obrigatória. Alguns sistemas permitem fazer o logout de todas as contas em simultâneo, ou até forçar a alteração da senha de acesso a cada mês, por exemplo.

3ª Dica: O computador só serve para trabalhar

Para Hugo Nunes, no contexto do teletrabalho, o computador que cada funcionário leva para casa deve “ser um equipamento exclusivo para o trabalho”.

Além disso, as contas de utilização regular, como as do Windows, não devem ter permissões de administrador (o que impede a instalação de programas e a execução de certos ficheiros, duas das vias de ataque mais comuns).

Tanto Hugo Nunes como Marc Rivero López consideram essencial que os sistemas sejam atualizados com regularidade, dado que esses pacotes, muitas vezes, servem para corrigir vulnerabilidades de segurança que vão sendo descobertas pelos fornecedores.

Atualizado também deve estar o antivírus, diz Hugo Nunes. Aliás, deve ser atualizado automaticamente e é recomendável que exista “uma monitorização sobre esse equipamento, para perceber se a pessoa carregou onde não devia, descarregou um ficheiro com um comportamento anormal”, entre outros comportamentos de risco. “Nunca no aspeto de monitorizar o que a pessoa está a fazer, mas sim no aspeto de se assegurar que o negócio está seguro”, acrescenta.

Os computadores de trabalho não devem ter instalado software que não seja necessário. Quanto mais software, maior é o perímetro de ataque.

Por fim, reforme o mais rapidamente possível aqueles sistemas pré-históricos que ainda usa na sua organização.

Questionado sobre o que deve um gestor fazer se a empresa ainda usa o antigo Windows XP, Hugo Nunes é perentório: “É um risco que tem consequências. Hoje em dia, Windows XP já nem é uma equação — é uma porta aberta” para atacantes, remata.

Tarefa:

Se a sua empresa atribui um computador a cada funcionário, desenvolva uma política de utilização do mesmo e explique-a aos trabalhadores. Impeça a utilização do computador para fins pessoais. Prefira sempre as atualizações automáticas, desligue as permissões de administrador no sistema operativo e, na volta, desinstale qualquer programa de que o trabalhador não necessita. O mesmo se aplica a si, que está tão ou mais exposto ao risco de servir de porta de entrada aos atacantes. Faça um plano para substituir sistemas antigos e/ou obsoletos.

4ª Dica: Esqueça o Wi-Fi grátis

Os especialistas não recomendam a utilização de redes Wi-Fi públicas ou abertas, uma vez que o tráfego pode não estar protegido e ser intercetado por terceiros.

Se tem por hábito viajar em trabalho para o estrangeiro, esqueça a rede do aeroporto. E se não houver alternativa, paciência.

Há, contudo, formas de mitigar o risco. “A tecnologia de hoje permite às empresas protegerem os computadores mesmo se não estiverem conectados à rede da empresa”, explica o responsável da Kaspersky.

Três letras: use VPN. Conhece? “É como um túnel seguro que se estabelece do ponto A ao ponto B, onde todo o tráfego é cifrado e e está seguro”, diz Marc Rivero López, quando questionado como explica o que é uma VPN, Virtual Private Network, aos seus amigos.

Existem empresas que fornecem este tipo de serviço, mas também pode indagar junto da operadora que fornece a internet à sua empresa.

“Se está a dar acesso à rede interna da empresa, algum nível de segurança tem de assegurar, senão é uma porta de entrada. Esses níveis de segurança, muitas vezes, são prestados” por operadoras, diz Hugo Nunes.

Tarefa:

Se está em trânsito, opte por um hotspot privado para aceder à internet, ou partilhe a rede do seu telemóvel. Forme e informe os seus trabalhadores para que façam o mesmo. Evite sempre as redes públicas e gratuitas e pondere adotar um serviço de VPN.

5ª Dica: Faça o bendito backup (e teste-o com regularidade)

Backups? É obrigatório”, diz ao ECO o especialista da S21sec. Se devem estar em suporte físico ou na cloud, isso é consigo, desde que “esteja confortável com o risco do tempo de recuperação e o risco de destruição de dados”, explica Hugo Nunes.

Regra geral, as cópias de segurança armazenadas na cloud podem permitir recuperações mais rápidas em caso de ciberataque, mas podem elas próprias ser apagadas ou comprometidas pelos atacantes. Pelo contrário, em linhas gerais, cópias de segurança mantidas offline são teoricamente mais seguras, mas também podem resultar em tempos de recuperação mais elevados (e lembre-se: no caso de ciberataque, durante esse tempo, o seu negócio pode estar parado).

“Os backups têm de estar separados da rede de produção, porque se o atacante tem acesso à rede, não pode ter acesso aos backups. É algo que eles [os atacantes] procuram sempre”, avisa o perito.

Além dos backups, também os testes de recuperação são essenciais. Não seria o primeiro caso de alguém que, no momento do desastre, sorri por ter feito uma cópia dos dados, mas descobre depois que a informação, afinal, estava corrompida.

É boa ideia definir um “plano de recuperação de desastre cibernético” e simular o que faria se se visse na mesma situação do grupo Impresa. Regularmente, teste a integridade das cópias de segurança e prepare-se para o pior cenário que consiga imaginar. Não basta as habituais simulações de incêndio ou terramoto.

Tarefa:

Certifique-se de que existem cópias de segurança de todo o sistema informático da sua empresa e de todos os dados, especialmente os mais sensíveis. Confirme com regularidade se essas cópias de segurança estão funcionais e prontas a entrar em ação caso enfrente um ciberataque. Desenhe um plano de recuperação de desastre cibernético e simule como recuperaria a empresa se sofresse um apagão digital.

Assine o ECO Premium

No momento em que a informação é mais importante do que nunca, apoie o jornalismo independente e rigoroso.

De que forma? Assine o ECO Premium e tenha acesso a notícias exclusivas, à opinião que conta, às reportagens e especiais que mostram o outro lado da história e às newsletters ECO Insider e Novo Normal.

Esta assinatura é uma forma de apoiar o ECO e os seus jornalistas. A nossa contrapartida é o jornalismo independente, rigoroso e credível.

Comentários ({{ total }})

Manual de cibersegurança para o gestor dormir bem à noite

Respostas a {{ screenParentAuthor }} ({{ totalReplies }})

{{ noCommentsLabel }}

Ainda ninguém comentou este artigo.

Promova a discussão dando a sua opinião