Cibersegurança: “Chega de investir tanto em tecnologia. É preciso começar a olhar para as pessoas”
O combate ao cibercrime não se faz só com tecnologia. A aposta na orientação dos colaboradores pode prevenir ataques e fugas de informação, dizem os especialistas.
Existem ferramentas tecnológicas que ajudam a prevenir ciberataques nas empresas. Mas a formação e a sensibilização dos colaboradores não pode ser ignorada na hora de prevenir este tipo de ameaças às organizações. Desde as grandes sociedades de advogados às auditoras, passando pelas pequenas, médias e microempresas, este tem sido um desafio premente e uma prioridade a não perder de vista.
“O mercado da cibersegurança tem mudado muito, mas continuam a existir muitas vulnerabilidades, particularmente na parte humana. É o elo mais fraco”, admitiu Sérgio Martins, associate partner da EY e especialista em cibersegurança, na conferência “Ciber Crime: da prevenção à resposta forense”, organizada pela EY e pelo ECO.
Por outras palavras, por muitas tecnologias de prevenção que existam, um simples ataque direcionado ao email de um colaborador pode ser suficiente para comprometer dados de clientes e informação confidencial da companhia. E é aqui que a formação dos colaboradores tem de entrar, defenderam os especialistas presentes na conferência.
A EY faz monitorização contínua dos sistemas e tem desenvolvido programas para mostrar aos clientes a importância da prevenção e da gestão de risco de ciberataque. Estes programas incluem formações e módulos de e-learning, mas também são feitos exercícios de simulação de ataques. Por estes processos de aprendizagem e formação devem passar todos os colaboradores, incluindo os membros da administração, mais propícios a serem vítimas de um ataque direcionado. Assim, o especialista da EY defendeu que todas as equipas têm de estar envolvidas e que a resposta num incidente tem de ser coordenada. Quer internamente, quer até ao nível setorial, por exemplo.
E quando o mal vem de dentro?
Rogério Bravo, inspetor chefe da Polícia Judiciária (PJ), também chamou a atenção para a necessidade de mudança de foco por parte das empresas. “Estando o atacante dentro ou fora da organização, já chega de investir tanto em tecnologia. É preciso começar a olhar para as pessoas, a nível de informação interna e de análise de risco”, disse o responsável.
Para explicar, o inspetor comparou a prevenção criminal das empresas a uma entrevista. “É como pensar nas três ou cinco perguntas que não querem que um jornalista faça e terem de se preparar para elas. Com a cibersegurança é o mesmo: tem de se pensar em três ou cinco problemas que não querem que aconteçam e prepararmo-nos para eles”, diz o inspetor, cuja unidade de combate à criminalidade informática conta com cerca de 30 pessoas.
“Isto é muito bonito na teoria”, disse Adriano Squilacce, sócio da Uría Menéndez-Proença de Carvalho. “Mas há a questão reputacional. E, do ponto de vista prático, a reputação é um dos piores inimigos das organizações, além de prejudicar a investigação“, revela.
Sobre o tipo de casos que mais lhe chegam às mãos, o advogado aponta falhas com serviços externos. Há muitos casos de “quando o problema do erro humano vem da externalização, de abrir a porta a outros serviços”. “Uma equipa de segurança informática interna pode sair mais cara a empresas mais pequenas, mas recorrer a parceiros externos pode ser um grande risco”, afirmou.
Adriano Squilacce apontou ainda para o phishing, associado ao erro humano, como uma das grandes ameaças às empresas. Por exemplo, a transferência de um ficheiro através do serviço WeTransfer pode servir de porta de entrada de um programa malicioso na rede interna de uma empresa. “Na Uría, nós não podemos fazer downloads de nada que venha de fora, de shared links“, revelou.
O advogado falou, por fim, da importância de comunicar e colaborar com as autoridades. Já Sérgio Martins vai mais longe e disse que essa colaboração deve acontecer, em alguns casos, mesmo que se tratem de empresas concorrentes. “Estamos a combater um mal comum. Temos de alinhar todo o ecossistema de entidades envolvidas e ter tudo agilizado para ter a informação o mais rapidamente possível. Tomar decisões a quente vai ser mau de certeza. Pior do que fazer uma má comunicação é não fazer comunicação de todo”, concluiu o especialista.
Assine o ECO Premium
No momento em que a informação é mais importante do que nunca, apoie o jornalismo independente e rigoroso.
De que forma? Assine o ECO Premium e tenha acesso a notícias exclusivas, à opinião que conta, às reportagens e especiais que mostram o outro lado da história.
Esta assinatura é uma forma de apoiar o ECO e os seus jornalistas. A nossa contrapartida é o jornalismo independente, rigoroso e credível.
Comentários ({{ total }})
Cibersegurança: “Chega de investir tanto em tecnologia. É preciso começar a olhar para as pessoas”
{{ noCommentsLabel }}