Especialistas recomendam abordagens de cibersegurança holísticas

Deve ser definido um “programa de segurança robusto que contemple como pilares pessoas, processos, tecnologias e parceiros”, explica Sérgio Sá, associate partner da EY. Este programa deve ter capacidade de proteger, detetar e reagir, sendo que a “capacidade de reagir algo que poucas organizações possuem e vão necessitar de implementar”.
Nas palavras de João Barreto, vice-presidente de marketing estratégico da empresa de cibersegurança S21sec, “a aproximação deve ser holísica e sistemática devendo as medidas serem, de forma geral, de três naturezas: preventivas, de monitorização e reativas”. Assinala que “a prevenção é, efetivamente, a mais relevante e, na maioria dos casos, a menos executada. São, infelizmente, poucas as empresas que incluem a cibersegurança na sua prática de gestão de risco, identificando ameaças, antecipando riscos e definindo salvaguardas e medidas de monitorizar a sua concretização, idealmente ainda numa fase preparatória em que os cibercriminosos estão a ultimar ou a ativar as suas campanhas dirigidas”.

Para a Cilnet, a solução passa pela definição de políticas de segurança, formação e divulgação das mesmas, bem como a implementação de ferramentas de monitorização e correlação de eventos são a base para manter a consistência, privacidade e proteção dos dados”, refere Miguel Borges, administrador da empresa. “Para a implementação destas políticas de segurança deverão ser bem definidos os processos, a divulgação dos mesmos, a tecnologia adaptada a estes requisitos, nomeadamente soluções de backup, ferramentas de compliance, proteção de perímetro e de acesso”, conclui.

E João Rodrigues, diretor-geral da Schneider Electric Portugal, acredita que “para evitar ciberataques, não devemos isolar as nossas organizações/sistemas. A consequência de trabalhar em sistemas isolados, ou seja, não dialogantes, é certamente pior do o risco da exposição a um ciberataque”.

O responsável da Schneider menciona que “se num todo conseguimos dar respostas aos novos desafios que se impõem, a diferença poderá passar pela perceção individual face às três dimensões essenciais: pessoas, processos e tecnologias”. João Rodrigues não dúvida que “as pessoas desempenham o papel mais importante na segurança. Mantê-las informadas, de uma forma constante, é um fator chave para qualquer plano de segurança de uma empresa”.

Enquanto isso, Rui Ribeiro, da IBM, assinala que “transformação pode ser uma oportunidade para nos focarmos nos componentes essenciais” e, para que tudo funcione em pleno recomenda a “construção de uma cultura virada para a deteção e gestão de risco”, uma vez que “as pessoas são críticas em todas as organizações e, numa perspetiva de segurança, isso é absolutamente incontornável”. As empresas devem fazer uma “boa higiene de segurança”. Rui Ribeiro recorda que “as campanhas de Wannacry e as variantes Petya expuseram alguma fragilidade em processos básicos como as correcções (patching) nas organizações”. E assinala, “numa organização com uma cultura de gestão de risco, os controlos implementados estão associados ao risco existente, e ainda é frequente, nos controlos básicos, as organizações falharem”.

Muito mais que uma responsabilidade do IT

“Não é uma tarefa fácil conciliar os processos, tecnologia e fator humano”, diz Andreia Pinto Teixeira, da Aon Portugal, que também defende uma abordagem holística no combate às ameaças. “Quando falamos de ameaças à cibersegurança precisamos de ter em consideração a multiplicidade de riscos que podem afetar uma empresa: riscos legais, operacionais, financeiros, reputacionais, entre outros”, refere. Por isso, a defesa deve envolver várias áreas da empresa, desde “o IT aos recursos humanos, marketing, operações, jurídico, financeiro, colaboradores, e, não menos importante, a própria direção da empresa”.

Para além da implementação de um plano de resposta interno para a eventualidade de um incidente “cibernético”, uma matéria que “não deve ser da responsabilidade exclusiva dos especialistas da informática e área jurídica, mas um tema transversal aos administradores, ao departamentos de gestão de risco, de operações, recursos humanos e conformidade”, Carlos Figueiredo, da Marsh Portugal, recomenda a avaliação da exposição das organizações aos ciber-riscos (ou riscos cibernéticos na designação da Marsh), nomeadamente através de um Risk Assessment. Esta avaliação permite às empresas “analisar os impactos desses riscos, a possibilidade de sofrerem uma interrupção do negócio, quantificarem as respetivas potenciais perdas e analisarem soluções de mitigação e financiamento dos riscos, ao nível, por exemplo, da privacidade, disponibilidade e integridade”.

O responsável da Marsh Portugal recorda que “o reforço da proteção através de uma cobertura de riscos cibernéticos”, permite “transferir prejuízos, parte das responsabilidades e de custos imputáveis às organizações para o mercado segurador e, simultaneamente, garante uma componente de assistência em situações de crise”.

De volta à Aon, Andreia Pinto Teixeira recomenda o mapeamento dos riscos que podem estar relacionados com cada uma das componentes (pessoas, processos e tecnologia) e a construção de um “plano de adoção das metodologias necessárias para mitigar o seu impacto”. E se, no passado, “este assunto era de imediato delegado para o departamento de IT, atualmente tem de ser visto pelas diversas áreas da empresa”, pois os fatores a ter em consideração são muito vastos. Para mapear riscos, as empresas devem começar por responder às seguintes questões: (i) onde está o risco? (ii) de que forma pode afetar o negócio? (iii) qual é o plano de resposta e contingência a implementar? (iv) como difundir a cultura de prevenção do risco por toda em empresa?

Miguel Ramos, consultor sénior técnico da Evonic, salienta que é “necessário consciencializarmo-nos de que não existem sistemas 100% seguros”, sendo por isso importante que as empresas sejam tão inovadoras quanto os ataques e riscos a que estão sujeitas”. “A consciencialização dos executivos de topo nas empresas para dar prioridade à segurança é fundamental, assim como a modernização das estruturas de gestão de sistemas de informação e a continua formação de todos os seus colaboradores, aplicando metodologias de gestão de informação e processos adequados”, acrescenta. Atualmente, “38% das empresas já separam a gestão de segurança da gestão de IT”, uma medida que, em conjunto com o investimento em mecanismos modernos e inteligentes de deteção de intrusão e processos otimizados de resposta e mitigação, “são na nossa opinião, o caminho para a redução drástica das consequências de tais eventos”, defende. Para o efeito, recomenda o apoio de consultores qualificados e parceiros tecnológicos especializados “capazes de avaliar o todo na cadeia de produção, armazenamento, processamento e transmissão de dados “, conclui Miguel Ramos, da Evonic.