O Regulamento Geral de Proteção de Dados (RGPD) veio incutir nas empresas um sentido de urgência no que respeita à proteção dos dados pessoais que lhes são confiados e, ao mesmo tempo, reforçou nos clientes o seu direito à privacidade e ao tratamento legal dos seus dados.
Assim sendo, como é que as organizações conseguem respeitar este direito se não conseguem garantir a segurança dos sistemas e bases de dados que armazenam estes dados?
Resumindo, através da implementação de técnicas de proteção de sistemas, programas e infraestruturas contra aquilo que se chama de ataques informáticos, ou ciberataques.
Este conjunto de técnicas chama-se cibersegurança e torna-se um ponto fulcral que deve ser visto como prioridade por parte das empresas que esperam, para além de cumprir com a lei, manter a confiança dos seus clientes.
Muitas organizações lidam com a situação internamente e acabam por cometer erros que podem prejudicá-las e colocar em risco as suas operações e reputação.
Estes são alguns dos seus erros no domínio da cibersegurança:
O investimento em algo que não traz resultados visíveis e imediatos costuma ser uma situação a evitar, especialmente no caso de startups ou organizações de pequena e média dimensão.
As prioridades de cibersegurança tendem, assim, a ser consideradas secundárias em detrimento de algo mais concreto.
Este é um dos maiores erros cometido pelas organizações. O investimento em segurança pode não trazer resultados visíveis, mas a falta de investimento nesta área pode trazer consequências imediatas.
Um ciberataque apresenta um risco de multas e pagamento de coimas de valores bastante elevados, causando ainda danos à reputação das empresas e demais organizações.
Uma organização até pode ter responsáveis de TI com conhecimentos de cibersegurança e que sejam proactivos na instalação de firewalls e antivírus seguros.
Contudo, apesar de ser um passo em frente e um dos princípios básicos essenciais para a segurança de uma organização, isto não é suficiente. Os ciberataques estão constantemente a evoluir, e estão em constante competição com as técnicas desenhadas para os impedir.
Desta forma, nunca sabemos ao certo como irão evoluir no futuro e, nesse sentido, é bastante importante que a gestão dos sistemas de segurança seja um processo contínuo e de constante atualização. É igualmente importante a execução frequente de testes de penetração para aferir a segurança dos sistemas.
Assim sendo, é recomendável que se construa uma parceria com uma empresa como a Plan4PrivacyTM, com conhecimento e experiência na área de cibersegurança e capacidade de ajudá-lo nessa gestão.
A grande maioria das vulnerabilidades dos sistemas das organizações são provenientes de erros humanos, derivados de uma falta de know-how no que toca a políticas de segurança da informação e das respetivas medidas de proteção.
O investimento em cibersegurança inclui a capacitação dos recursos de uma organização, visto que são eles que estão envolvidos na defesa de potenciais ataques às suas operações e sistemas informáticos.
Assim sendo, é extremamente importante que as organizações forneçam aos seus recursos o conhecimento necessário em cibersegurança, através de cursos especializados, com um modelo aprendizagem hands-on e com laboratórios virtuais onde seja possível simular as diferentes formas de ataque, e defesa, em ambiente controlado e seguro.
Veja aqui as soluções de formação adequadas às necessidades do mercado.
Por outro lado, ao nível dos utilizadores, a cibersegurança parece ser um tema tão complexo que às vezes se esquecem que parte da solução passa por princípios básicos. Um destes princípios é a criação de passwords fortes.
A necessidade de passwords para a proteção de informação é inquestionável, contudo, é um conceito que continua a ser implementado sem grande critério. Muitas pessoas utilizam passwords fracas ou, pior ainda, usam a mesma password para todos os sistemas ou aplicações com as quais interagem.
As passwords devem, não só, ser únicas por sistema ou aplicação, mas também ser difíceis de descodificar, para além de ser necessário proceder à sua alteração com alguma frequência. A combinação de letras com números e símbolos é recomendada, bem como a não-utilização de palavras, datas ou nomes que possam facilmente ser associados à pessoa em questão.
É errado pensar que apenas os dispositivos da organização necessitam de ser expostos às medidas de segurança implementadas. Atualmente, os dispositivos pessoais de cada trabalhador são utilizados para questões de trabalho e podem conter informação sensível que provavelmente estará armazenada em sistemas e plataformas externas à organização.
Isto pode constituir um risco enorme de violação de informação pois a organização não tem controlo sobre estas plataformas.
Assim sendo, deverá ser encorajado o uso da rede interna da organização para armazenamento de qualquer tipo de dados, rede essa que, se necessário, poderá ser acedida remotamente, visto que este é um dos principais motivos da situação acima descrita.
Contudo, estes acessos deverão ser controlados e ser apenas fornecidos a quem realmente os necessita, sob fortes medidas de proteção.
Nem todos os utilizadores precisam de ter acesso a tudo. Os acessos devem ser fornecidos apenas a quem realmente necessita. Isto deve ser feito através das permissões dos sistemas e plataformas que controlam o nível de informação a que cada utilizador poderá ter acesso.
Infelizmente, o problema não passa só por controlar o que está dentro, mas também o que está fora. Mesmo que os processos internos de uma organização estejam em cumprimento com as medidas de segurança, os parceiros a quem foram fornecidos acessos podem não ser seguros.
Acontece que, muitas vezes, uma organização é vítima de ataques não através dos seus próprios sistemas, mas através dos sistemas de organizações parceiras que têm acesso à organização em questão.
É, então, extremamente importante que sejam controlados os acessos dados a parceiros e que estes sejam regularmente monitorizados de forma a serem removidos quando já não necessários.
É de notar que muitos dos erros comuns das organizações relativamente à cibersegurança podem ser facilmente evitados através de investimento nesta área, quer seja em termos de sistemas e softwares, da formação dos colaboradores ou da contratação de técnicos de cibersegurança experientes.
Relativamente à cibersegurança em Portugal, de acordo com o Relatório Anual de Segurança Interna, em 2018, o Centro Nacional de Cibersegurança em Portugal recebeu 2456 notificações de ataques cibernéticos, sendo que apenas 629, cerca de 25%, foram devidamente analisados e resolvidos.
Tendo em conta estas estatísticas, a prevenção é altamente recomendada e para isso a Plan4PrivacyTM é um parceiro a ter em conta.