“A Cibersegurança é uma maratona sem fim”

Conhecer bem as técnicas de defesa e de ataque é fundamental para garantir a segurança nas empresas, independentemente da sua dimensão e setor de atividade. Para ganhar esta corrida é preciso criar uma cultura de conhecimento na sociedade.

O tema da cibersegurança ganhou relevância com a pandemia e com uma maior digitalização das empresas e dos processos. Enquanto consultora de IT, como avalia a Crossjoin o atual panorama da cibersegurança nas empresas em Portugal?

Portugal não tem sido exceção no que toca ao aumento de investimento na cibersegurança. Com a Covid-19, as empresas foram forçadas a adaptarem-se a uma nova realidade, reinventando como trabalham e como se relacionam. Este novo normal potencializou riscos, muitas vezes negligenciados, e introduziu desafios às operações, tal como a massificação do trabalho remoto, adoção de ferramentas colaborativas, software/infrastructure as a service (SaaS/IaaS), Cloud Computing, entre outras. Com o aumento da exposição e a escalada de ameaças virtuais, tem existido uma tendência de aumento da visibilidade da população em relação aos perigos no uso da tecnologia, uma maior atenção aos riscos de vazamento e perda de informações, especialmente à luz de regulamentações como o RGPD, e o impacto que poderá haver nos negócios. Isso justifica, em parte, o aumento da procura de profissionais de segurança da informação, especialmente na área de cibersegurança, bem como a adoção de padrões internacionais como referência de boas práticas, por exemplo a ISO/IEC 27001, que é uma norma de referência internacional l para a gestão da segurança da informação. A Crossjoin entende que é imperativo proteger-se contra riscos cibernéticos e de segurança da informação e, por este motivo, investimos em melhorias com a adoção de uma cultura de segurança da informação, demonstrada com as contínuas auditorias no âmbito da nossa certificação ISO/IEC 27001. Além disso, reforçamos esta necessidade junto aos nossos clientes e parceiros, de modo que é percetível um aumento nos investimentos nesta área, mas ainda insuficientes contra o nível de ataques a que estão sujeitos.

Há nas organizações uma consciência crescente dos perigos e uma maior aposta e investimento em soluções de cibersegurança?

Consideramos que tem havido avanços no autoconhecimento da sociedade, fruto da experiência como vítimas de ataques/burlas informáticas, mas também graças ao aumento de cobertura dos media aos ataques informáticos. No entanto, em geral, a sociedade ainda não está devidamente consciente dos cuidados a ter relativamente à exposição e à transmissão de dados, nem do impacto que certos ataques de cibersegurança podem causar nas suas vidas. Por este motivo, ainda vemos imensos casos por falta de atenção ou descuido. Infelizmente, muitas empresas não prestam a devida atenção ao tema da cibersegurança, privacidade dos dados e/ou não têm capacidade financeira para se instruírem ou preparar para as ameaças, por exemplo, de exposição de dados críticos de clientes.

Está ultrapassado o mito de que os ataques informáticos só acontecem nas grandes empresas?

Ataques às grandes empresas acabam por ganhar maior notoriedade nos media pelo impacto direto, visto nos valores financeiros e utilizadores afetados. Por outro lado, pequenas empresas não são imunes, sofrem com ataques em escala e tornam-se escolha de estratégia por parte de atacantes oportunistas que exploram vulnerabilidades técnicas, especialmente com a falta de capacidade de investimento em tecnologia, bem como ataques de engenharia social e
com a falta de uma cultura de segurança da informação.

Portugal tem sido um dos países do mundo com mais ataques informáticos. Porque é que isto acontece?

Em 2022, Portugal foi o terceiro país da Europa com mais ataques informáticos tendo, os de maior impacto, a finalidade de exfiltração de informação. Isto deve-se a uma soma de vários fatores, entre os principais a falta de consciência dos cuidados a ter relativamente à exposição e à transmissão de dados ou dos seus impactos por parte dos portugueses. Além disso, software desatualizados ou descontinuados/sem manutenção ou com manutenção desadequada, aumenta a superfície de ataque. No entanto, não foi apenas o nosso país que foi alvo de um aumento de ataques informáticos, na verdade, observou-se esse fenómeno mundialmente.

Fala-se muito da falta de literacia dos utilizadores que continuam a ser o ‘elo mais fraco’ nos ciberataques. O que pode e deve ser feito para alterar este panorama? 

A verdade é que grande parte dos ciberataques são decorrentes de engenharia social, como ataques de phishing. Estes ataques têm uma elevada taxa de sucesso, pois a sociedade digital não está suficientemente preparada para reconhecê-los. Apesar de o investimento necessário para mitigar este tipo de ataques ser baixo, se comparado a outros tipos de ataque, é uma ação que exige a criação de uma cultura de cuidado com segurança da informação, na qual as preocupações são diárias e contínuas. Desta forma, a melhor defesa para os ataques de engenharia social, mais especificamente o phishing, é a sensibilização e consciencialização. Mas este cuidado não se deve restringir aos ambientes corporativos e empresas. A consciencialização sobre princípios de segurança da informação, navegação segura, segurança em redes sociais, bem como as possíveis ameaças, os tipos de ataques e efeitos, devem começar o mais cedo possível. A exposição à internet e ao mundo digital começa cada vez mais cedo, de modo que os cuidados e sensibilização deveriam começar com os mais jovens, na sociedade púbica, nas escolas, universidades, etc.

Que apoio pode a Crossjoin dar às empresas nesta vertente?

Da mesma forma que a tecnologia está constantemente a evoluir, forçando a uma rápida resposta no que toca à cibersegurança, os serviços fornecidos nesta área também evoluem. Evoluímos continuamente os nossos serviços de segurança da informação e cibersegurança, de modo a incorporarmos esta componente em qualquer tipo de projeto. Assim, ajudamos os nossos clientes com uma abordagem de Information Security By Default & By Design, com a integração de segurança da informação nos processos, bem como as auditorias e consultoria de segurança em desenvolvimento, com integração de segurança no fluxo aplicacional. Com as tendências atuais, também podemos auxiliar na integração de soluções SaaS e Cloud, com análise e diagnóstico de ‘Cloud Security’, bem como um serviço dedicado à gestão da segurança da informação (‘Information Management Security Check’).

Internamente, a Crossjoin tem um centro de competências em segurança. Qual o papel deste centro?

Internamente temos o nosso próprio centro de competências de cibersegurança (SIG = Special Interest Group) que nos permite uma constante atualização e melhoria em temas de cibersegurança, tanto para consumo interno como para os nossos clientes, tendo como responsabilidades a segurança das nossas informações, investindo numa equipa altamente especializada nesta área, sensibilizando os nossos colaboradores e prevenindo contra ameaças, com o objetivo de minimizar os riscos de possíveis ataques e os seus respetivos impactos.

O que diferencia a vossa oferta num setor tão competitivo como este? 

A nossa oferta distingue-se do resto do setor na metodologia e a cultura que define a aproximação aos problemas. Definimos o objetivo, o que nos falta para atingir esse objetivo e, posteriormente, o caminho para o objetivo, nunca fazendo assumptions. Esta abordagem permite-nos chegar à solução mais viável e conseguir resolver problemas considerados impossíveis por muitos outros no nosso setor.

Quais os vossos desafios internos, e quais os que se colocam às organizações em geral no que se refere a cibersegurança? 

Os nossos desafios são os mesmos que os de todas as outras organizações: manter-nos atualizados sobre as novas tecnologias desenvolvidas todos os dias, e manter todos os nossos colaboradores preparados para possíveis tentativas de ataque.

Que alertas deixaria aos empresários sobre o tema da segurança?

Os alertas que deixamos é estar sempre em alerta e em contínua evolução. A cibersegurança é uma maratona sem fim, na qual basta o nosso adversário ultrapassar nos por um milímetro, uma vez, para a ganhar. Temos de estar sempre aptos e sempre em alerta ao utilizar o ciberespaço. Por isso é necessário estar sempre atualizado em relação às novas tecnologias e aos novos métodos de defesa e de ataque que são desenvolvidos.

Equipa SIG na Exame Informática

Partilhe este artigo: