EM PARCERIA COM
SEGURANÇA
INFORMÁTICA
ESTUDO GLOBAL
Apesar de estarem mais
conscientes da necessidade
de garantir a segurança
da sua informação,
a generalidade das
empresas não está
devidamente preparada
para combater e prevenir
ataques informáticos.
Activar, Adaptar
e Antecipar são os três
estágios que as empresas
devem percorrer até atingir
a plena maturidade
nesta matéria.
ENTREVISTA
Ken Allan,
Global Cybersecurity Leader
da EY
Empresas nacionais
investem
na segurança
da informação
OPINIÃO
Ciber-segurança:
saiba por onde
começar
Jeffrey L Rotman / Corbis / VMI
BOAS PRÁTICAS
©
Este suplemento faz parte integrante do Diário Económico n.º 6068 de 10 de Dezembro de 2014 e não pode ser vendido separadamente.
Como lidam
as empresas
com o
cibercrime
As ameaças à ciber-segurança estão a aumentar em
número, persistência, grau de sofisticação e
perigosidade. Os criminosos têm hoje acesso a
financiamento, são mais pacientes e sofisticados do que
nunca e estão aproveitar as vulnerabilidades que o
advento digital deixa em aberto.
Um ataque à ciber-segurança pode prejudicar
gravemente um negócio, e as empresas parecem mais
conscientes disso, apesar de reconhecerem que há ainda
muito a fazer. Segundo o “17.º Global Information
Security Survey (GISS) 2014”, conduzido pela
consultora EY, anteriormente designada por Ernst &
Young, as empresas estão a fazer progressos na
construção das bases da segurança de informação, mas
a maioria das inquiridas admite ter apenas um nível
moderado de maturidade na matéria. Outras estão já
num nível mais avançado, procurando adaptar as
medidas de ciber-segurança às mudanças estratégicas
do negócio – como fusões e aquisições, a introdução de
um novo produto, a entrada em novos mercados, ou a
implementação de novo ‘software’ – e da envolvente
externa.
O estudo, que este ano assume a designação de “Get
Ahead of Cybercrime” e analisa a forma como as
empresas estão a gerir as ameaças à ciber-segurança e o
que precisam de fazer para se anteciparem aos
cibercriminosos, ressalva a importância de as empresas
deixarem de ser meramente reactivas às ameaças,
passando a ter bem presente o tipo de ciber-segurança
que precisam de implementar, em função da indústria,
do sector e da geografia em que operam.
A contribuir para o aumento da exposição das empresas
ao risco estão vulnerabilidades como a desactualização
dos controlos de segurança de informação, a falta de
consciência ou descuido dos funcionários, e a utilização
da computação móvel e na ‘cloud’, bem como o acesso
generalizado às redes sociais.
Já entre as principais ameaças que as empresas podem
sofrer, contam-se os ataques à ciber-segurança para
roubo de informações financeiras (dados pessoais e de
cartões de crédito), ou para interromper a actividade da
empresa e causar danos à sua imagem. Entre as
ameaças mais comuns, ou prováveis, contam-se ainda
os roubos de propriedade intelectual ou de dados, a
espionagem por parte de concorrentes, os ataques
internos de funcionários descontentes e ataques de vírus
e ‘spam’.
Segundo o documento produzido pela EY, e que contou
com a participação de 1.825 empresas, o caminho a
adoptar para alcançar a maturidade em matéria de ciber-segurança envolve três estágios: activar, adaptar e
antecipar.
PRIMEIRO ESTÁGIO:
ACTIVAR A CIBER-SEGURANÇA
Com a recente mediatização dos ataques à segurança de
informação, as empresas não podem dizer que
desconhecem os riscos, nem invocar argumentos para
descurar a segurança. Pelo contrário, estão cientes da
necessidade de adoptarem medidas que forneçam um
nível de defesa básico contra eventuais ataques.
O estágio “activar” compreende seis medidas urgentes.
Deve começar-se por uma avaliação do estado de
maturidade da segurança cibernética, analisando lacunas
e desenhando um plano de implementação em linha
com as melhores práticas, como a ISO 27001.
Passa ainda por procurar apoio junto da gestão para uma
transformação ao nível da segurança, pela revisão e
actualização de políticas e procedimentos, e pela
implementação de um sistema de gestão de segurança
da informação. Envolve ainda a criação de um Centro
de Operações de Segurança e o desenho e
implementação dos controlos de segurança cibernética,
no sentido de avaliar a eficácia dos processos de
prevenção de perda de dados e reforçar a segurança dos
activos de TI, como servidores e ‘firewalls’,
componentes de rede e bancos de dados. Por fim,
Um ataque à ciber-segurança pode gerar danos irreparáveis e a antecipação é a
forma mais eficaz de mitigar o risco. As empresas estão conscientes, mas têm
ainda muito a fazer para atingir a maturidade da sua segurança de informação.
©
Bernard Radvaner / Corbis / VMI
À FRENTE DO CIBERCRIME
2 Segurança Informática Dezembro 2014
Perspectiva económica
CONCLUSÕES
Quatro questões que ajudam a avaliar o impacto
real de um crime cibernético na marca e reputação
da sua empresa.
1) Qual o impacto no preço das acções?
2) Será que os clientes seriam afectados?
3) Iria traduzir-se em redução de receitas?
4) Quais os custos de ter de reparar danos nos
sistemas internos e/ou substituir ‘hardware’?
A RETER DO “GLOBAL
INFORMATION SECURITY
SURVEY 2014”.
Ataques externos são os
mais prováveis
Ao contrário dos inquéritos anteriores, o último
estudo conclui que, consideradas no seu conjunto, as
possíveis fontes externas de ataque à ciber-segurança (como organizações criminosas, atacantes
patrocinados por Estados, ‘hacktivistas’ e ‘hackers’
solitários) são mais frequentemente consideradas
como prováveis do que as internas (onde se incluem
os colaboradores).
importa testar os planos de continuidade do negócio e
procedimentos de resposta a incidentes.
Neste estágio de activação da segurança cibernética, o
foco está em salvaguardar o ambiente actual, tratando-se
portanto de uma abordagem estática. A segurança
cibernética não está ainda integrada no negócio, nem é
vista como uma actividade de valor acrescentado, mas
como um custo, que importa minimizar tanto quanto
possível. Quando se encontram neste estágio, as
empresas só conseguem lidar com ameaças num mundo
sem mudança.
SEGUNDO ESTÁGIO:
ADAPTAÇÃO À MUDANÇA
As empresas mudam e as ameaças também. Neste
segundo estágio, as empresas trabalham para manter a
ciber-segurança actualizada, isto é, adaptam-na às
mudanças do negócio, da envolvente e das próprias
ameaças à segurança de informação, sob pena de
ficarem cada vez mais vulneráveis a ataques. A ciber-segurança passa a estar incorporada no negócio e
focada na mudança da envolvente, ou seja, adopta uma
abordagem dinâmica.
Neste contexto, o plano de ciber-segurança deve
abranger uma rede mais ampla (onde se incluem clientes,
fornecedores e parceiros de negócio), um ecossistema
cujos limites devem ser claramente definidos, para que a
empresa consiga gerir riscos com eficácia.
Se a empresa está entre o estágio “activar” e o “adaptar”
deve desenvolver e implementar todo um programa de
transformação, recorrendo eventualmente a ajuda
externa, e decidir que funções devem ser asseguradas
internamente e quais devem ser asseguradas por
‘outsourcing’. Neste estágio de transição importa ainda
definir uma matriz de responsabilidade para ciber-segurança – também designada de RACI (Responsible,
Accountable, Consult and Inform) – e definir o
ecossistema da organização, no sentido aferir o impacto
de falhas de segurança em terceiros e de minimizar o
risco da interacção com os mesmos. É também
importante desenvolver e implementar um plano de
formação em ciber-segurança para os colaboradores.
TERCEIRO ESTÁGIO:
ANTECIPAR O CIBERCRIME
Num estágio mais avançado e mais maduro, as empresas
jogam em antecipação ao cibercrime, definindo
estratégias para detectar e minimizar potenciais ataques.
Devem ter presente o que precisam exactamente para
proteger as suas “jóias da coroa” e simular respostas
adequadas a eventuais ataques e incidentes.
Quando a empresa se sente pronta para avançar para
este nível, a EY aconselha a desenvolver e implementar
uma estratégia de inteligência à ameaça de segurança
cibernética e à sua utilização enquanto suporte às
decisões estratégicas relacionadas com o negócio.
A consultora sugere ainda a definição e incorporação de
um ecossistema de ciber-segurança que vá para além da
■ 43% das empresas prevê
manter o orçamento para
a segurança informática
nos próximos 12 meses e
5% admite uma redução
do mesmo.
■ 53% considera que a falta
de recursos qualificados é
um dos principais
obstáculos à segurança da
informação.
■ 5% apenas das empresas
conta com uma equipa
específica para ameaças
cibernéticas e só 6%
afirma ter um programa
de resposta a incidentes.
■ 42% não conta com um
Centro de Operações de
Segurança e 58% não tem
uma função ou
departamento focado nas
tecnologias emergentes e
no seu impacto na
segurança da informação.
■ 63% admite que
demoraria mais de uma
hora a detectar um
ataque.
empresa e promova a cooperação e a partilha de
recursos. Considera igualmente relevante adoptar uma
abordagem económica da ciber-segurança, no sentido de
perceber quais os activos mais importantes e qual o seu
valor para os criminosos, para, em seguida, reavaliar os
planos de investimento em segurança.
E sugere que a empresa se certifique de que todos
entendem o que está a acontecer, promovendo
comunicações regulares com os colaboradores, para que
possam agir como os “olhos e ouvidos” da organização.
Neste terceiro estágio, as empresas estão mais confiantes
quanto à sua capacidade em lidar tanto com ameaças
previsíveis, como com ataques inesperados. No estágio
“antecipar” a empresa tem uma abordagem e atitude
proactivas em matéria de ciber-segurança, resultado de
um foco no futuro, naquilo que será o seu negócio e a
sua envolvente.
As empresas conseguem assim reduzir a sua
atractividade enquanto alvo de ataques, aumentar a sua
resiliência e limitar os danos de eventuais ataques.
E estão aptas a aproveitar as oportunidades oferecidas
pelo mundo digital, enquanto minimizam a exposição ao
risco e o custo de ter de lidar com ele. Apenas neste
último estágio se pode dizer que as empresas estão à
frente do cibercrime e conseguem responder-lhe de uma
forma que os criminosos não estão à espera. É um nível
que está a emergir. Cada vez mais empresas estão a
utilizar a inteligência de ameaça à segurança cibernética
para se anteciparem ao cibercrime.
Dezembro 2014 Segurança Informática 3
Perfil
Ken Allan dirige o departamento de
Segurança da Informação da EY a nível global.
Lidera ainda o Centro de Excelência de
Segurança da Informação da consultora para
a Europa, Médio Oriente, Índia e África.
Reúne regularmente com líderes da indústria
e com a gestão de topo de empresas clientes
para debater questões relacionadas com a
ciber-segurança. Entre algumas das suas
atribuições, chefiou, por um período
intercalar de seis meses, o Grupo de
Segurança e Risco de TI na HBOS, antes de
esta se fundir com o Loyds Banking Group.
Ken está certificado como auditor de sistemas
de informação (CISA na sigla inglesa) e como
gestor de sistemas de segurança de
informação (CISM na sigla inglesa). Já deu
aulas a grupos de banqueiros de vários Bancos
Centrais – através de um programa de
educação do Banco de Inglaterra – e foi-lhe
atribuído um certificado de segurança por
parte da agência de investigação do
Ministério da Defesa do Reino Unido.
KEN
ALLAN
O líder global de
ciber-segurança da EY
adverte que, apesar
de se registar uma
evolução positiva
na consciencialização
das empresas para
o combate ao cibercrime,
o nível de acção
é ainda insuficiente.
Os ataques cibernéticos são cada vez mais
sofisticados e difíceis de combater. É
verdadeiramente possível às empresas
estarem “à frente do cibercrime”, como
sugere o último estudo sobre segurança
cibernética conduzido pela EY?
Sim, acreditamos que é possível. Não é certamente
fácil e nem todas as empresas estarão aptas a fazê-lo,
motivo pelo qual colocamos tanta ênfase no apoio ao
nível da gestão de topo. No entanto, as empresas que
apresentam as características de “Antecipar” dão a si
mesmas uma forte possibilidade de ficar à frente do
cibercrime. Para estar à frente do cibercrime existe um
conjunto de princípios a ter em atenção. É preciso, por
exemplo, estar alerta e pronto a agir e a responder de uma
forma rápida, ponderada e prática. Importa igualmente
saber quais as “jóias da coroa” da empresa, ou seja, quais
os seus activos de informação mais importantes.
E conhecer a envolvente interna e externa da empresa,
para atingir um elevado nível de consciência, quer do
contexto presente, quer da sua evolução futura. Importa
ainda aprender e evoluir continuamente e actualizar a
estratégia nesse sentido. Por fim, ter mecanismos de
confiança para resposta a incidentes e crises, exercitando
de forma regular e antecipando aquelas que poderão ser
as suas maiores lacunas.
A maioria das empresas revela ter apenas um
nível moderado de maturidade no que toca à
4 Segurança Informática Dezembro 2014
protecção contra as crescentes ameaças
cibernéticas. Verifica-se uma evolução positiva
relativamente aos inquéritos anteriores
realizados pela EY?
Sim, é justo dizer que se verifica uma evolução
positiva, nomeadamente no que toca à compreensão
desta matéria ao nível dos conselhos de administração.
No entanto, os nossos dados revelam que para muitas
empresas esta evolução não está a traduzir-se num nível
de acção suficiente.
Porque é esta diferença tão preocupante?
Pode apontar alguns exemplos do perigo que
enfrentam as empresas, mais concretamente
dos cibercrimes mais comuns e do impacto que
estes podem ter nas empresas?
Existem vários motivos pelos quais esta lacuna
é preocupante. Em primeiro lugar, os criminosos estão
a ficar cada vez mais sofisticados, o que significa que a
capacidade de atacar é maior e que o ataque é mais
difícil de detectar. Em segundo lugar, as empresas
sabem que têm de se tornar mais “digitais” para
manterem a competitividade, o que significa que
existem mais aspectos da empresa que correm o risco
de serem atacados. Em terceiro lugar, as empresas
estão cada vez mais dependentes de outras entidades –
aquilo que designamos de “ecossistema cibernético”.
Tudo isto contribui para aumentar a probabilidade de
um ataque cibernético vir a ter consequências
Spotcatch Westend61 / Corbis / VMI
©
NÚMEROS
MAIS ALGUMAS CONCLUSÕES
DO ESTUDO DA EY.
■ 37% das empresas não tem disponível,
em tempo real, informação sobre riscos
cibernéticos.
■ 55% não inclui a segurança da informação
nas avaliações dos colaboradores.
■ 56% considera pouco provável conseguir
detectar um ataque cibernético sofisticado.
■ 74% admite que a segurança cibernética
cumpre apenas parte das necessidades
da empresa.
■ 25% das empresas revela não ter
capacidade para identificar
vulnerabilidades.
Limitações no combate
ao cibercrime. Para que a segurança
cibernética inteligente e proactiva se torne
regra, retirando poder ao ‘hacker’ e
antecipando-se ao cibercrime, as empresas
têm ainda de superar limitações como a
falta de agilidade para actuar com a rapidez
necessária, a falta de qualificações
relacionadas com a segurança cibernética e
as limitações de orçamento.
negativas graves, podendo mesmo levar ao
encerramento de uma empresa. Entre os exemplos de
cibercrime mais comuns contam-se o roubo de dados
pessoais e de informações valiosas para vender, como
detalhes de cartões de crédito. No entanto, existe
também o roubo de propriedade intelectual e de
informações comerciais, como as relacionadas com
fusões ou aquisições.
As empresas com mais recursos financeiros
estão mais preparadas para o cibercrime, ou
não é necessariamente assim?
Não necessariamente. O financiamento é
importante, mas é essencial que as empresas estejam
preparadas, no sentido de saberem as ameaças a que
estão sujeitas, assumirem que é plausível a possibilidade
de ataque e apostarem num nível de organização que
permita detectar e conter esses ataques. Os recursos
financeiros são um factor tão importante como priorizar
e utilizar os recursos com eficácia.
outros grupos que são motivados por ideologia
religiosa, por preocupações ambientais ou por
insatisfação social. Depois existem outros, geralmente
indivíduos, que procuram apenas a satisfação que
resulta do facto de serem capazes de romper as medidas
de segurança de empresas ou de agências
governamentais.
O estudo mostra ainda que muitas empresas
continuam a resistir à adopção de medidas
preventivas do cibercrime. Quais os principais
motivos dessa resistência?
Quais são as principais motivações de quem
pratica o cibercrime? O que pretendem das
empresas?
Em alguns casos, como o retorno do
investimento é difícil de avaliar, os orçamentos são
limitados. Em segundo lugar, é preciso ter presente que
as medidas preventivas, por si só, não fornecem um
nível de segurança adequado. Detectar e responder são
factores igualmente importantes. Isto pode parecer
esmagador para muitas empresas, mas, como em
qualquer boa estratégia de gestão de risco, é preciso
uma abordagem equilibrada que inclua um bom nível de
conhecimento das ameaças a que a empresa pode estar
sujeita e que ponha em prática as medidas necessárias
para proteger o valor do accionista.
As motivações são diversas. Os ataques
fomentados por Estados são motivados sobretudo por
objectivos económicos, mas podem ter também
motivações políticas. O crime organizado é quase
sempre motivado por ganhos financeiros. Mas existem
Que tipo de empresas, e de que geografias,
estão mais expostas aos perigos do
cibercrime? As entidades ou serviços públicos
estão incluídos nesse grupo?
Todas as organizações (e indivíduos), públicas ou
privadas, com ou sem fins lucrativos, estão expostas aos
perigos do cibercrime. Existem muitos motivos para o
cibercrime, pelo que a maioria das entidades – se não
todas – está em risco.
É possível que uma empresa esteja a ser alvo
de um ataque à segurança da informação sem
o saber?
Sabemos por experiência que não só é possível,
como praticamente todas as organizações estão a ser
alvo de ataque, e apenas 50% está ciente disso.
Quais são as principais vantagens competitivas
da EY no que toca à segurança cibernética
para as empresas?
A EY é uma empresa global de serviços
profissionais, com milhares de especialistas em
segurança cibernética a trabalhar em conjunto, em todo
o mundo, para ajudar os clientes a lidar com o crime
cibernético. A EY é a empresa mais conectada para a
oferta deste tipo de serviços, ao conseguir prestar
serviços consistentes e de alta qualidade em qualquer
local onde os nossos clientes estejam a fazer negócios.
Enquanto muitos prestadores deste tipo de serviços se
focam nas questões tecnológicas, a abordagem da EY
passa primeiro por compreender e apoiar as questões
relacionadas com o negócio, seguindo depois com uma
abordagem tecnológica profunda.
Dezembro 2014 Segurança Informática 5
Michael Prince / Corbis / VMI
©
EMPRESAS PORTUGUESAS
VALORIZAM A CIBER-SEGURANÇA
As empresas nacionais dão grande importância à gestão da segurança de informação
e algumas prevêem mesmo aumentar o orçamento nesta área.
Muitas das empresas portuguesas que participaram no
“17.º Global Information Security Survey 2014”,
conduzido pela EY, dão grande importância à gestão da
ciber-segurança, como revela o facto de, em 42% dos
casos, o responsável dessa área reportar directamente ao
presidente executivo, em vez de à área de Sistemas de
Informação. Uma parte considerável dos inquiridos
(74%) revela ainda grande preocupação com o
alinhamento entre a estratégia de segurança de
informação e a estratégia de negócio.
Aumentar o orçamento destinado à segurança da
informação está mesmo nos planos de 35% das
empresas inquiridas, para os próximos 12 meses e num
aumento entre 5% a 15%, enquanto 37% prevê a sua
manutenção e apenas 6% admite uma redução do
mesmo. E se a despesa total em segurança da
informação (incluindo custos com pessoas, processos e
tecnologia) é para 61% das empresas inferior a um
milhão de dólares, 17% reconhece gastar entre dois e
dez milhões de dólares nesta área.
6 Segurança Informática Dezembro 2014
Em contrapartida, nota-se que algumas das empresas
nacionais que participaram no estudo avaliam o risco de
terceiros mais com base em informação externa do que
na sua própria análise e inspecção. Este facto é
comprovado pela grande dificuldade em conseguir ter
nas suas equipas elementos com todo o conhecimento
técnico necessário e actualizado. Mais de 60% das
empresas inquiridas aponta a falta de recursos
qualificados como um dos principais obstáculos à
segurança da informação, enquanto para 56% são as
limitações financeiras que figuram no topo da tabela.
Uma área relativamente à qual algumas organizações
nacionais reconhecem uma importância significativa é a
necessidade de ter métricas maduras, objectivas e
consistentes que permitam monitorar e avaliar os riscos
de ciber-segurança, e agir de modo informado e
consequente. Este facto poderá resultar da menor
frequência com que se têm verificado incidentes sérios
desta natureza Portugal, comparativamente à realidade
de outros países. Apenas 26% das organizações
inquiridas (quase metade face à média global) revela
não ter um Centro de Operações de Segurança, e entre
as que têm, 39% considera estar capacitada para reagir
em menos de uma hora a um incidente.
Entre algumas empresas portuguesas nota-se ainda um
grau de desenvolvimento superior à média global no que
diz respeito ao recurso a serviços especializados
externos, para rastreamento de vulnerabilidades e testes
de penetração nas defesas digitais.
Uma área de crescente preocupação para as
organizações nacionais é o grau de sofisticação dos
ataques, nomeadamente os que recorrem a técnicas da
chamada “engenharia social”. Quanto às origens mais
prováveis de ataque, para 47% das empresas inquiridas
serão os próprios colaboradores, seguindo-se fontes
externas como os ‘hacktivistas’, ‘hackers’ solitários e
entidades contratadas para trabalhar nos ‘sites’ das
empresas. Este resultado contraria a média global, em
que as empresas consideram mais provável um ataque
externo.
EXEMPLOS DE BOAS PRÁTICAS
Opinião Bruno Padinha,
Executive Director
da EY
UM TEMA QUE ESTÁ
NA ORDEM DO DIA
Critical Software
Foco deve estar na
protecção da informação
Tem como clientes empresas de elevado
perfil, como bancos e até a NASA,
e na sua génese o desenvolvimento
de soluções para suporte de sistemas
críticos, orientados à segurança, missão
e negócio de empresas. Trata-se da
Critical Software, cujo responsável pela
Segurança de Informação contactámos
no sentido de saber a que tipo de
ataques, no domínio da Internet, estão
sujeitas as entidades. “Quanto maior a
exposição no domínio público, por via
da disponibilização de serviços ou da
complexidade dos sistemas subjacentes,
maior a superfície de ataque disponível
para ser aproveitada”, adverte Paulo
Lourenço, lembrando que as principais
motivações passam por obter
informação relevante (vantagens
competitivas, ganhos financeiros),
causar indisponibilidade dos serviços,
danificar deliberadamente as infra-estruturas e obter notoriedade.
O responsável recomenda às empresas
uma abordagem focada na protecção
da informação. Segundo Paulo
Lourenço, proteger os activos infra-
-estruturais é
uma tarefa
relativamente
simples e
acessível.
Ainda assim,
é na
protecção da
informação,
enquanto está
armazenada,
que o foco
deve estar.
“Proteger o
perímetro, os
protocolos de
comunicação
e até o meio
onde a
informação reside
é claramente importante e uma mais-valia; no entanto, todos estes controlos
podem revelar-se insuficientes se a
informação não estiver protegida”,
adverte, lembrando que “uma simples
análise ao ciclo de vida da informação
criada e gerida por uma organização
é tipicamente complexa, com imensos
intervenientes, sendo fácil perder-lhe
o rasto”. Para Paulo Lourenço, a chave
está na sua protecção.
Centro Nacional de Cibersegurança
Sabotagem e espionagem são as principais ameaças
A sabotagem e a espionagem representam os dois principais tipos de ataques
informáticos às infra-estruturas do Estado. Os primeiros são realizados por
indivíduos ligados ao activismo político, contra alvos específicos dentro das infra-estruturas do Estado. Os segundos estão ligados a campanhas internacionais de
espionagem, não necessariamente focalizadas nas infra-estruturas nacionais.
A explicação é dada por José Carlos Martins, coordenador do recém-criado Centro
Nacional de Cibersegurança, entidade que tem prevista “uma estratégia comum,
com o objectivo de contribuir para a segurança dos Sistemas de Informação e
Comunicação do Estado”, estratégia essa que passará
pelo “aproveitamento de sinergias de entidades com
preocupações nesta matéria e pela sensibilização e
prevenção dos diversos actores que operem SI/TIC”. Das
linhas dessa estratégia fazem ainda parte a “promoção
e criação de núcleos de resposta a incidentes, produção
de normativos, referências e boas práticas e formação
e qualificação de recursos humanos com vista à
formação de uma cultura de ciber-segurança”, explica
o responsável.
José Carlos Martins considera que o nível de
maturidade e sensibilidade na Administração Pública para as questões relacionadas
com a cibersegurança variam em função da criticidade dos serviços electrónicos
prestados ao cidadão e do tipo de serviços ‘on-line’ disponibilizados. “Os serviços
da Administração Pública que mais cedo se informatizaram, com mais experiência
na prestação de serviços ‘on-line’, ou maior cultura de segurança, estão claramente
mais bem preparados para responder aos desafios”, conclui.
Por onde
começar?
O
desafio da segurança da informação nas organizações é um problema de gestão – gestão
de risco, ciber-segurança –, que pode ser analisado pelo prisma da guerra, já que se manifesta muitas vezes na forma de ataque informático ou cibercrime.
Nesta perspectiva, há uma premissa bem respeitada: “Conhece o teu inimigo” (Sun Tzu,
general chinês do século VI a.C.). Com efeito,
diagnósticos de organizações em todo o mundo evidenciam a falta de conhecimento interno
como frequente origem dos problemas.
Desde logo, apesar da ubiquidade de tecnologias como os ‘smartphones’, persiste ainda
muita falta de cuidado com aspectos de segurança da informação confidencial, resultando
em episódios de devassa da vida privada, como
sucedeu recentemente com as fotos de celebridades inadvertidamente armazenadas no serviço ‘cloud’ dos seus telemóveis
Ora, este desconhecimento, e resultante desleixo e negligência, facilmente se transportam
para o mundo das grandes empresas e organizações, quando a gestão de topo não compreende cabalmente os riscos da informação,
particularmente os que advêm da exposição
dos sistemas e das pessoas a redes públicas
como a Internet.
Mesmo quando há uma reflexão séria sobre as
ameaças para o negócio e os clientes, sucede,
por vezes, outro tipo de desconhecimento:
a protecção da informação é feita de forma indiscriminada, em vez de proporcional à importância de cada activo (seja uma peça de informação, um arquivo documental ou um sistema
crítico) e dos seus riscos e vulnerabilidades.
O que fazer, então, na prática? Por onde começar, que medidas pragmáticas poderão melhorar efectivamente a protecção e a ciber-segurança?
A abordagem à segurança da informação tem
de ser sistemática: estudar bem o que implica e
quais os seus custos e outros impactos, compreender exaustivamente os benefícios de
cada estratégia e decidir de forma sustentada
sobre os mecanismos, a orgânica e os serviços a
empregar.
Não obstante, um primeiro passo não tem deser difícil nem moroso: um rápido diagnóstico
de práticas e processos, uma bateria de testes
externos de segurança ou a criação de um rudimentar Centro Operacional de Segurança darão um bom impulso para aumentar a protecção dos activos de informação de uma organização.
Dezembro 2014 Segurança Informática 7
PUB