Há alguns anos atrás, enquanto investigava um incidente de segurança numa grande empresa, foi surpreendente a resposta que Michelle (nome fictício) me deu quando lhe perguntei: “Se não deixa uma pessoa desconhecida entrar em sua casa, porque é que facilita e deixa um software desconhecido correr dentro do seu computador?”

A resposta da Michelle foi simples, mas elucidativa: “Eu sou contabilista. Ninguém me explicou que não deveria correr assim um software. Recebi um email a pedir a sua execução e eu simplesmente segui as instruções”.

Quando uma instituição disponibiliza um computador e acesso aos recursos da empresa a um profissional, nunca deveria assumir que o profissional é encartado em cibersegurança. Veja-se, se nos colocassem um carro nas mãos e se nos ensinassem simplesmente a conduzir, mas sem nos explicarem as regras da estrada, até que ponto seríamos responsáveis por não ter parado no cruzamento quando vínhamos pela esquerda ou por termos entrado na rotunda em contramão?

Ao contrário do que acontece com o carro, no qual somos sujeitos a uma aprendizagem e a um conjunto de exames antes de podermos conduzir, os profissionais das diferentes áreas a quem disponibilizamos uma ferramenta informática não são, nem devemos assumir que são, encartados em cibersegurança. Quer isto dizer que só deveríamos disponibilizar o acesso a um computador ou a um telemóvel a encartados? Não necessariamente, mas este caso da Michelle torna evidente que também não devemos simplesmente passar-lhe o “volante” para as mãos.

É este o propósito da iniciativa global de Consciencialização em Cibersegurança. Atualmente, Outubro é o mês da consciencialização em cibersegurança, quer a nível global, quer a nível europeu. O propósito desta iniciativa é muito pertinente no contexto em que se insere, porque, na realidade, para além das componentes tecnológicas e dos processos organizacionais há que considerar o fator humano, ou seja, as pessoas.

Naturalmente que este é um tema complexo e é difícil de reter todas as possíveis dicas às quais os utilizadores devem estar atentos, por isso criei uma abordagem mais intuitiva a que chamo de SOPA-D:

S de Salvaguardar: assuma sempre que alguém terá acesso ao seu computador (ou dispositivo) sem a sua autorização. Então tudo o que for confidencial tem que ser protegido para que mesmo que alguém aceda não consiga decifrar sem uma chave adicional. Assuma também que em determinado momento vai perder toda a informação que tem no dispositivo e salvaguarde a informação importante em backups que lhe permitam mais tarde recuperar a mesma.

O de Origem: principalmente em meios digitais, onde não estamos frente a frente com os nossos intervenientes, assuma sempre que eventualmente quem nos diz ser alguém pode não o ser. Muitas vezes também é possível que a origem de um determinado link não seja exactamente o que parece (típico nos ataques denominados de phishing). Sempre que se tratar de dados ou operações sensíveis confirme; explore mais, detalhe a origem, ligue de volta. Peça confirmação da origem que pensa tratar-se.

P de Passwords: as passwords têm sido a chave de acesso predominante nas tecnologias. Tenha especial atenção na sua definição, nunca utilize passwords fáceis de deduzir, não reutilize a mesma password em todos os sites, utilize um gestor de passwords, não as partilhe com ninguém e considere utilizar de forma complementar a autenticação de dois fatores.

A de Atualizar: todos os sistemas são suscetíveis de terem vulnerabilidades que podem ser uma porta de entrada. Sempre que os fabricantes desses sistemas tomam conhecimento dos problemas corrigem-nos nas atualizações de sistema. Caso não instale as atualizações ficará vulnerável, assim como se não instalar as atualizações do seu antivírus.

D de Desconfiar: faz parte da natureza humana facilitar a vida dos seus pares, no entanto, dado que no meio digital é possível apresentar-me com o número de telefone ou endereço de email de outra pessoa, desconfie sempre das abordagens, em particular das que envolvem dados ou operações sensíveis, e procure sempre confirmar, de preferência usando outra via que não a do contacto inicial. E nunca corra software de fontes desconhecidas, principalmente ignorando os avisos do seu equipamento quanto a estar a correr software potencialmente malicioso.

É fundamental que tanto do ponto de vista empresarial, como do ponto de vista pessoal, existam estratégias que permitam tirar o melhor partido possível das tecnologias da informação, mas com uma adequada informação e gestão dos riscos. Procure informar-se para ser o tão próximo quanto possível do encartado em cibersegurança. Michelle, SOPA-D 🙂