Como manter a sua empresa à prova de hackers em três passos

As empresas ainda subestimam os riscos da cibersegurança. Um estudo recente da corretora Aon concluiu que nos últimos dois anos 38% das organizações sofreram uma perda financeira relacionada com ciberriscos, mas apenas 15% das potenciais perdas de informação de ativos estão cobertas por seguros.

Numa perspetiva mais ligada à realidade portuguesa, o coordenador do Centro Nacional de Cibersegurança, Pedro Veiga, disse recentemente em entrevista ao Ntech.news que «os maiores problemas resultam da falta de atenção dos gestores de topo para a necessidade de investir recursos na cibersegurança».

Estas são apenas duas perspetivas de como a cibersegurança nas empresas ainda não merece a atenção necessária por parte dos executivos. Os avisos sucedem-se, mas isso não tem impedido o aparecimento de ataques de larga escala – como o WannaCry – e cuja solução era muito simples – bastava ter o sistema operativo Windows atualizado.

Simon Reed esteve na semana passada em Portugal. O britânico é o líder da unidade de investigação da Sophos, uma das maiores empresas de cibersegurança do mundo. Simon Reed passou por Lisboa para falar da evolução constante das ameaças informáticas contra utilizadores e empresas.

Se houve épocas em que o hacktivismo era um dos tópicos dominantes, atualmente é o ransomware a dar cartas no mundo do cibercrime. Se o número de equipamentos conectados está a aumentar nas casas das pessoas, a base de ataque nas empresas também está a aumentar de forma exponencial devido aos dispositivos móveis e também à Internet das Coisas.

O Ntech.news entrevistou Simon Reed e quis saber quais devem ser, na opinião do especialista, as principais prioridades de cibersegurança nas empresas. A resposta veio dividida em três partes.

Trilogia sagrada

«Em primeiro lugar tens de fazer bem os básicos, não só da perspetiva da cibersegurança, mas ao construir uma infraestrutura. Tens de fazer os básicos muito, muito bem. Elementos como tipologia de rede, corrigir máquinas e corrigir sistemas». Resumindo, manter todo o parque tecnológico da empresa o mais atualizado possível.

Nesta perspetiva Simon Reed defendeu também que a complexidade e a diversidade é inimigo das boas práticas, pois isso torna não só mais difícil fazer esta correta atualização, como torna-se numa barreira extra para o tempo de reação em caso de ataque informático. «Façam os básicos muito, muito bem de um ponto de vista das infraestruturas, é absolutamente crítico», acrescentou.

O segundo conselho de Simon Reed é para que as empresas apostem nos melhores produtos de segurança informática que conseguirem encontrar. Se fazer os básicos ajuda a prevenir os ataques mais básicos, só ferramentas mais sofisticadas poderão dar resposta a ataques que são também eles mais avançados. Além disso as empresas devem garantir que a camada adicional de software de cibsegurança está devidamente configurada, pois o mais pequeno dos erros pode significar uma ‘grande porta’ de entrada para os piratas informáticos.

«Em terceiro lugar é tudo sobre o aspeto humano – podes ter uma infraestrutura sólida como pedra e os melhores produtos de segurança, mas se os teus funcionários não souberem boas práticas de segurança, isso torna-se num elo fraco. Práticas como testes de phishing, saber reconhecer telefonemas de engenharia social, treinar pessoas que encontram um USB no parqueamento a não colocá-lo no portátil de trabalho, coisas simples como estas». Este conselho não é novo, mas também nunca fica velho: o humano ainda é o elo mais fraco na cadeia de segurança de uma empresa.

Também é sabido que não há ambientes empresariais 100% seguros, mas na opinião de Simon Reed, se os executivos respeitarem pelo menos estes três passos, estarão a contribuir para que as suas empresas evitem uma grande parte dos problemas.

---