Partilhe nas Redes Sociais

Estamos realmente prontos para a 2ª vaga do teletrabalho e dos negócios à distância?

Publicado em 9 Novembro 2020 por Cristina A. Ferreira - Ntech.news | 374 Visualizações

O que mudou verdadeiramente na relação das empresas com a cibersegurança nos últimos meses em Portugal com a pandemia e o que ainda falta fazer? O tema deu mote para uma conversa com Rui Shantilal, especialista em cibersegurança e fundador da Integrity, que aqui deixa a visão de quem compara todos os dias realidades em 16 países. 

Os últimos meses foram desafiantes para as empresas e os próximos prometem não ser muito diferentes, com todas as mudanças repentinas que continuamos a ter de acomodar na forma como trabalhamos, compramos, interagimos em sociedade ou nos divertimos.   

Mudanças que esperávamos em anos aconteceram afinal em semanas, como a adoção massiva do teletrabalho, uma adesão mais alargada das PME ao comércio eletrónico, ou mesmo o acesso fácil a consultas à distância.   

Nesta transferência da vida e do trabalho para o mundo digital, a cibersegurança é (ou deveria ser) um tópico central, mas será que a este nível a realidade se transformou à mesma velocidade nos últimos meses? Estão as nossas empresas hoje melhor preparados para uma segunda vaga de um “mundo à distância”?

«Observámos [nestes últimos meses] um maior investimento por parte das empresas, sobretudo das médias e das grandes, mas uma das grandes dificuldades que continua a existir, para motivar as administrações a investirem nesta área é que, ao contrário de outros investimentos, o retorno do investimento em cibersegurança é um pouco mais intangível», reconhece Rui Shantilal.

Não há um ganho direto em produtividade, como resulta de outros investimentos que a empresa faz. Esta é antes uma via para poder continuar a produzir sem potenciais disrupções, nem sempre percecionada desta forma. Mas há boas notícias. Os casos que têm vindo a público de disrupções provocadas por ataques ciber têm sido um fator de consciencialização. A regulação cada vez mais exigente, como o RGPD – que embora focado nos temas da privacidade implementa princípios de cibersegurança – também estará a funcionar com um acelerador de investimentos neste domínio. 

Portugal está na 2ª divisão da cibersegurança 

Rui Shantilal coloca por isso Portugal numa espécie de 2ª divisão da cibersegurança, onde também encaixa países como a Itália, França ou Bélgica. A preocupação com o tema e os recursos direcionados estão a crescer, mas a estratégia continua arredada da primeira linha de decisão das empresas, ao contrário do que se verifica em países como a Alemanha ou o Reino Unido, «onde é impensável não haver um security manager numa empresa média ou grande», garante o responsável.   

Nas diferentes realidades que a Integrity observa nas 16 geografias onde presta serviços de cibersegurança, Portugal junta-se aos países que estão a meio de uma curva ascendente. «Não estamos melhor nem pior que os nossos pares, mas há um largo caminho a percorrer», nomeadamente no que se refere ao posicionamento da cibersegurança na estrutura de decisão das empresas. 

Responsável de tecnologia e de cibersegurança continuam, em muitos casos, a ser uma mesma pessoa nas empresas em Portugal, ou a reportar à mesma divisão. Em mercados mais maduros, a tendência passa cada vez mais por dissociar as duas áreas e colocar a cibersegurança a reportar diretamente à administração.Para o especialista este tem de ser o caminho e é a via para evitar conflitos de interesses: a prioridade da tecnologia é cumprir os prazos do negócio no deploy de uma aplicação; a cibersegurança sobrepõe o cumprimento de requisitos de segurança a qualquer outra prioridade.  

Volume de investimento em cibersegurança não mudou radicalmente, mudou a forma de investir

Em volume de investimento, os últimos meses trouxeram alguma variação mas nada muito significativo, pelo menos de acordo com a experiência da Integrity. «As empresas que já estavam a investir em cibersegurança continuam a fazê-lo, agora de uma forma mais focada, pela janela de oportunidade [para os atacantes] que foi criada com o teletrabalho. As empresas que não estavam a investir não foi por causa disto que começaram a fazê-lo», diz Rui Shantilal.

E deve o teletrabalho ser uma preocupação séria para as empresas? Sem dúvida, garante o especialista. Há um mundo de riscos na rede doméstica e nas potenciais más configurações dos dispositivos conectados que temos em casa, que podem ser o rastilho para um ataque aos sistemas das empresas. 

«No limite, uma chaleira ligada à internet em casa de um colaborador pode servir de porta de entrada para um ataque que afeta a organização toda», Rui Shantilal.

«Um tema que hoje deve preocupar muito quando estamos em casa é o tema do IoT. As pessoas têm aspiradores ligados à internet, lâmpadas que mudam de cor, sistemas de som Wi-fi, relógios conectados e o problema é que esses equipamentos muitas vezes não são de nível empresarial. São equipamentos domésticos, cujo layer de segurança não é necessariamente compatível com o de uma grande empresa». 

Quando um colaborador trabalha remotamente e estende a rede da empresa até à sua casa, os equipamentos IoT que lá existem podem passar a fazer parte da rede corporate, se os controlos que o podiam impedir não estiverem bem montados. «No limite, uma chaleira ligada à internet em casa de um colaborador pode servir de porta de entrada para um ataque que afeta a organização toda», alerta Rui Shantilal.

Análises de risco têm de ser refeitas a pensar no teletrabalho a médio longo prazo 

As empresas que investem em cibersegurança, nos últimos meses direcionaram esforços para estas preocupações, mas o facto de o teletrabalho ter sido encarado num primeiro momento como uma situação de curto prazo, ameaça a eficácia das medidas de mitigação implementadas na sequência desta avaliação.

«O papel da cibersegurança é garantir que o negócio consegue operar, tendo em conta o equilíbrio entre o custo e o benefício. Se quisermos cobrir o risco todo, a oportunidade passa a ser residual». Quando os colaboradores entraram em teletrabalho, a avaliação de risco que muitas empresas fizeram considerou um cenário de curto prazo, onde a probabilidade de sofrer ataques seria relativamente baixa e implementaram medidas para remediar a situação, procurando evitar investimentos mais avultados. 

«O papel da cibersegurança é garantir que o negócio consegue operar, tendo em conta o equilíbrio entre o custo e o benefício. Se quisermos cobrir o risco todo, a oportunidade passa a ser residual»

Sem o fim à vista da pandemia, é urgente rever tudo e refazer análises de riscos. «Um dos exercícios importantes a fazer agora é refletir sobre o tempo que esta situação pode durar e encará-la como uma realidade a médio/longo prazo», alerta Rui Shantilal. O desafio é tanto maior quanto maiores são as empresas e o tamanho da vantagem económica que a sua informação pode proporcionar aos atacantes. 

«O cibercrime hoje em dia está segmentado e é cada vez mais organizado e profissional. Há pessoas que têm horários, que se organizam em escritórios, em call centers. Os cibercriminosos hoje estão efetivamente organizados». 

Atacantes especializaram-se em segmentos de mercado, como qualquer empresa 

Tal como as empresas se organizam em B2B, B2C, mercado residencial, empresarial, etc, no mundo do cibercrime é igual, garante o especialista. Há grupos segmentados para trabalhar os utilizadores finais, dedicados a esquemas que podem render até 1000 dólares. Há quem trabalhe especificamente as PME, fazendo sobretudo encriptação de discos e pedindo entre 1000 e 10 mil dólares pelo acesso à informação retida. Há os cibercriminosos focados em grandes empresas, dedicados a ataques que podem render até um milhão de dólares e, finalmente, há um esquadrão high end, altamente segmentado, que trabalha as grandes corporações e cujos ataques podem render vários milhões de dólares. 

«Para as PME se protegerem não é preciso inventar muito. Se se focarem no ABC da cibersegurança, 80 a 90% dos problemas ficam mitigados»

Para as PME esta segmentação deve provocar uma sensação agridoce. Deixa claro que não pode acontecer só aos outros, já que há por todo o mundo grupos dedicados a encontrar caminhos para entrar nestas empresas e roubar-lhe dados. Por outro lado, indica que manter um nível de defesa relativamente robusto para se proteger das técnicas mais usadas nos ataques dirigidos ao seu segmento, não exige necessariamente os recursos especializados e caros de cibersegurança que uma PME tem dificuldade em pagar. 

«Para as PME se protegerem não é preciso inventar muito. Se se focarem no ABC da cibersegurança, 80 a 90% dos problemas ficam mitigados», sublinha Rui Shantilal. Cabem neste abecedário, os clássicos: cuidado com as passwords, atualizações são para fazer, backups são essenciais, desconfiar de abordagens estranhas ou implementar firewalls. Lições antigas, mas nem por isso bem estudadas. 

Rui Shantilal recordou ainda nesta conversa que a cibersegurança deve ser hoje encarada pelas empresas como «um risco de negócio» e, como tal deve ser pensada de raiz, desde o início de cada projeto (Security by Design). Lembrou também que as melhores práticas para minimizar riscos estão documentadas e contam com anos de investigação, vertidos em normas como a ISO 27001, que apontam claramente o caminho a quem quer seguir na direção certa. 


Publicado em:

Atualidade

Partilhe nas Redes Sociais

Artigos Relacionados