Os dados das suas pessoas estão seguros? Basta um link para pô-los em causapremium

Não há fórmulas mágicas para blindar as empresas de qualquer tipo de malware. Existe prevenção e formação. Mais de um terço dos ataques informáticos ocorrem porque alguém abriu um link malicioso.

Malware, ransomware, phishing, hackers, roubo de identidade... Fenómenos com que as empresas se deparam cada vez mais e que preocupam diariamente os departamentos de proteção e segurança de dados das organizações. Basta abrir um email com um arquivo ou link malicioso, não mudar com regularidade as palavras-passe ou até perder o portátil de trabalho para o caso ficar mais sério. A solução? É precisamente esse o problema. É que não existe uma fórmula padronizada que permita proteger, de maneira perfeita, as entidades de todo e qualquer tipo de malware. Resta, por isso mesmo, às empresas promover a implementação das mais adequadas e pertinentes medidas técnicas e organizativas, mitigando os riscos de ataques informáticos.

Dos planos de formação para os colaboradores à criação de departamentos e equipas dedicadas à segurança de dados, as medidas implementadas pelas empresas assumem várias formas. O segredo é articular áreas de negócio, para que em qualquer projeto, desde a sua génese, esteja contemplada a segurança dos dados.

A sociedade de advogados CMS Rui Pena & Arnaut criou uma equipa multidisciplinar — com advogados, especialistas em segurança da informação e elementos das distintas áreas de suporte — focada na identificação das melhores práticas e na implementação das medidas técnicas e organizativas mais adequadas à proteção de dados. “Não existe um único profissional focado neste tema, mas duas equipas, uma em Portugal e outra internacional, a trabalhar diariamente para garantir a segurança dos dados dos colaboradores”, refere João Leitão Figueiredo, sócio de TMC – Tecnologia, Media e Comunicações, da CMS Rui Pena & Arnaut.

Tornou-se crucial a criação de mecanismos internos de compliance que viabilizem a aplicação prática das disposições legais.

João Leitão Figueiredo

Sócio de TMC – Tecnologia, Media e Comunicações, da CMS Rui Pena & Arnaut

A equipa auxilia e avalia em permanência as atividades desenvolvidas no contexto dos recursos humanos, uma área particularmente crítica, desde o recrutamento, passando pela gestão, até à cessação contratual, e incluindo, naturalmente, temas como mapa de férias, baixas médicas ou planos de formação. “Tornou-se crucial a criação de mecanismos internos de compliance que viabilizem a aplicação prática das disposições legais.”

RH em "constante diálogo" com departamento de proteção de dados

No grupo Ageas Portugal, existe há vários anos uma equipa dedicada à segurança da informação e, em fevereiro de 2017, foi também criada a área de data protection, com o objetivo de promover a proteção e segurança de colaboradores e clientes, antes ainda da aplicação do Regulamento Geral sobre a Proteção de Dados (RGPD), a 25 de maio de 2018. Catarina Tendeiro, diretora de people & organization do grupo Ageas Portugal, assegura que o seu departamento garante o cumprimento da lei em vigor, estando em constante diálogo com o data protection officer (DPO).

No processo de recrutamento é solicitado o consentimento para a recolha e tratamento dos dados, tanto no processo de candidatura externa como interna, e no processo de admissão também há cláusulas sobre o tratamento de dados pessoais no contrato de trabalho e nos formulários de recolha dos dados, por exemplo.

“Estas cláusulas referem que os dados recolhidos vão ser processados e armazenados informaticamente pela entidade empregadora e que se destinam à utilização no âmbito da relação laboral. Podem ser utilizados, por exemplo, para efeitos de processamento de salários e atribuição de benefícios sociais, gestão de utilizadores em sistemas e ferramentas informáticas utilizadas na prestação do trabalho, medicina e segurança e higiene no trabalho e ainda para efeitos de formações”, explica.

A “rigidez” da lei a cumprir é, para a líder de recursos humanos, o grande desafio na proteção de dados dos colaboradores. “Nem sempre é possível dar resposta a alguns pedidos de informação por parte de antigos colaboradores, uma vez que a lei nos impede de manter os dados indefinidamente, sujeitando o tratamento a requisitos de minimização e de conservação dos dados pessoais outrora tratados, para a finalidade da gestão da relação laboral”, esclarece.

Do lado do departamento de proteção de dados, por sua vez, os desafios não são menores. “Desde garantir que todos estão em alerta permanente a quaisquer sinais suspeitos por forma a garantir a deteção e o reporte atempado, até à aplicação de controlos de segurança, por forma a garantir a proteção adequada de sistemas tecnológicos e processos complexos de negócio”, refere Pedro Machado, DPO da Ageas Portugal.

A verdade é que, comummente, os colaboradores confiam na entidade patronal e acreditam haver a garantia dessa proteção e segurança da informação partilhada.

Catarina Tendeiro

Diretora de people & organization do Grupo Ageas Portugal

Articular as equipas de segurança e as restantes áreas da empresa é, também para Pedro Borges, COO da LOQR, “crítico” para criar as condições necessárias para uma “forte e profícua relação de colaboração”. O objetivo é que os aspetos de segurança estejam devidamente acautelados em qualquer projeto, desde o primeiro momento, e não apenas considerados numa fase mais tardia, “em que o custo de acomodar os mesmos é muito mais elevado e a eficácia das medidas bastante mais limitada”, assegura.

O líder da LOQR acredita, contudo, que existe na sociedade uma maior consciencialização sobre a importância da segurança da informação, em grande parte devido à exposição mediática de casos como o do Facebook ou do Yahoo, relacionados com a violação da privacidade de dados pessoais. Catarina Tendeiro está de acordo, mas realça que é um tema que ainda carece de ações de formação e comunicações regulares. “A verdade é que, comummente, os colaboradores confiam na entidade patronal e acreditam haver a garantia dessa proteção e segurança da informação partilhada.”

Reconhecendo uma “real preocupação” com o tema, entre 2016 e 2018, José Leitão Figueiredo considera que, após este período, tem havido um “crescente abandono” da matéria, “resultante, admitimos, da ausência de enforcement em Portugal”.

Formar colaboradores para mitigar o erro humano

Para manter o tema na ordem do dia e capacitar as suas pessoas, as três empresas dão formação aos colaboradores sobre como executar as suas funções em segurança e em conformidade com os regulamentos internos e comunitários em matéria de proteção de dados e privacidade. “Houve um significativo investimento na formação dos profissionais, na criação de políticas, processos e procedimentos para os diversos tipos de atividades de tratamento que desenvolvemos e, naturalmente, a adoção de medidas particularmente restritivas no tratamento de dados qualificados como sensíveis”, detalha o especialista em RGPD da sociedade de advogados CMS Rui Pena & Arnaut.

A sensibilização e formação de todos assume uma especial importância neste tema, sobretudo se tivermos em conta que o erro humano é uma das causas mais frequentes para as ameaças no âmbito da segurança dos dados dos colaboradores. “A maioria dos ataques bem-sucedidos de que há notícia derivam de uma falha humana, tipicamente provocada por ataques informáticos orquestrados por agentes terceiros, tais como o phishing ou spear phishing, que visam a obtenção de informações confidenciais através técnicas de engenharia social usada para enganar utilizadores e obter informações confidenciais”, explica José Leitão Figueiredo.

Ensinar os funcionários a gerir ataques de fator humano foi mesmo apontada pela Hiscox como a regra de ouro, no seu relatório de cibersegurança relativo a 2020, no qual dá conta que 55% dos ataques informáticos reportados pelos seus clientes, a nível global, tiveram origem em acidentes ou erros humanos. As técnicas de engenharia social — manipulação da vítima de forma a carregar num link malicioso ou a divulgar dados confidenciais — estão no topo da lista dos principais métodos que foram usados em ciberataques, ao representarem 39% das respostas. Já a exploração de falhas de software de forma remota, associadas a ataques informáticos sofisticados, apenas explicam 7% dos ataques reportados.

Os aspetos de segurança devem estar devidamente acautelados desde o primeiro momento, e não apenas considerados numa fase mais tardia, em que o custo de acomodar os mesmos é muito mais elevado e a eficácia das medidas bastante mais limitada.

Pedro Borges

COO da LOQR

“Mais de 50% das denúncias foram causadas por acidente ou erro humano. O ensino dos funcionários é a forma número um de gerir os ataques de fator humano”, diz a seguradora no seu relatório de ciberameaças. Os ataques à cadeia de abastecimento (21%), o acesso a emails da empresa (10%), a revelação acidental de informação (7%), ameaças de ex-funcionários (5%) e a perda de dispositivos como portáteis ou smartphones (5%) são outras das principais causas de ataques informáticos identificadas. Já olhando especificamente para a tipologia dos ataques que daí resultaram, as fugas de dados (29%), as fraudes financeiras (23%) e a extorsão cibernética (21%) são os crimes mais comuns.

Assine para ler este artigo

Aceda às notícias premium do ECO. Torne-se assinante.
A partir de
5€
Veja todos os planos