Segurança tecnológica na ótica da cibersegurança é o primeiro workshop realizado pelo Conselho de Segurança - iniciativa levada a cabo pelo Expresso, que conta com o apoio da Altice Empresas - e que, para esta sessão, pretende abordar os temas da governança ativa, prevenção ativa, proteção ativa, deteção ativa e contrarresposta e, por último, recuperação ativa. Estes são os cinco pilares de uma doutrina ativa de cibersegurança.
Saiba mais sobre cada um destes pilares, abaixo.
O que é e em que se baseia?
A governança ativa serve para garantir que os pilares da prevenção, proteção, deteção e contrarresposta e recuperação estão bem coordenados e estão adequadamente financiados, quer em meios tecnológicos, quer em meios humanos, para garantir que a empresa tem uma estratégia defensiva que terá sempre - inevitavelmente - algum risco associado.
Principais ideias-chave a reter:
- O cibercrime está uns passos à frente, logo exige táticas específicas;
- Governança ativa, prevenção ativa, proteção ativa, deteção ativa e contrarresposta e, por último, recuperação ativa são os cinco pilares de uma cibersegurança eficaz;
- Sem governança ativa, os cinco pilares estão comprometidos;
- Quem deve estar responsável pela segurança é a Comissão Executiva de cada empresa;
- O Chief Information Security Office (CISO) das empresas devem ser reputáveis, racionais, credíveis e criar uma boa empatia intelectual com a comissão executiva. Devem ajudar a aumentar a confiança das empresas em relação aos dados, manter os dados seguros, criar funções de gestão de risco e segurança e ter relação direta com a chefia;
- Para se cumprirem as regras para uma boa governança, o planos anuais de investimento devem incluir várias áreas, como por exemplo: boa tecnologia, bons serviços, processos e meios humanos;
- Investir numa boa governança tem por objetivo primordial obter um nível de segurança elevado durante 24 horas, os 7 dias da semana, mas é bom recordar que não há uma silver bullet, ou seja, uma solução simples para uma problemática tão complexa.
“A cibersegurança tem um problema estrutural que é fundamental perceber: quem nos ataca está tipicamente uns passos à nossa frente”, sublinha José Alegria, CISO da Altice Portugal
Como evitar um ataque?
- Para ter uma prevenção ativa é preciso, por um lado, investir na ciber-higiene ou gestão da superfície de ataque. Esta vertente relaciona-se com a avaliação contínua das vulnerabilidades dos sistemas e com a mitigação das mesmas;
- Por outro lado, existe a vertente das pessoas. Esta parte centra-se numa sensibilização adequada aos colaboradores, parceiros e subcontratados que têm acesso aos sistemas da empresa.
- Evitar comportamentos de risco, testar esses mesmos comportamentos e apostar em formação contínua (também sobre cibersegurança) são as formas de sensibilizar as pessoas;
- Ainda na vertente das pessoas, incluem-se os ataques de engenharia social que são englobados em três categorias: phishing (ataques via email usados para enganar as pessoas), smishing (ataques através de sms) e vishing (ataques perpetuados através de chamadas de voz).
- A organização deve promover as boas práticas do uso da internet, como por exemplo: ter passwords longas e diferentes para cada serviço, não guardar essas passwords em browsers e alterá-las com frequência, não usar redes WIFI públicas, não usar emails da empresa para fins pessoais e vice-versa, fazer logout ou bloquear o computador caso não esteja em uso, usar discretamente computador ou smartphone em lugares públicos.
- Cuidados da empresa relativamente ao teletrabalho: não usar o pc para fins pessoais, existir apenas um utilizador, usar usbs confiáveis e bloquear automaticamente os dispositivos, fazer backups regulares, entre outros;
“As organizações têm sempre que ter mecanismos de prevenção do ponto de vista do que é que as pessoas conseguem fazer, para que elas não causem danos na organização”, alerta Dinis Fernandes, diretor-geral da CyberSafe
O que é?
É o pilar baseado no bloqueio automático de ameaças de cibersegurança e está dependente da implementação de tecnologias de cibersegurança nos locais certos da infraestrutura da empresa.
Principais ideias-chave a reter:
- A implementação de tecnologia de cibersegurança nas empresas tem que se fazer a diversos níveis: nas redes, nas infraestruturas, ao nível da base de dados, de forma a cobrir todos os componentes que constituem a organização;
- Todas estas tecnologias deverão estar devidamente integradas no Centro de operações de Segurança (SOC);
- O SOC é um serviço que implementa processos para uma resposta a problemas de segurança e é composto - para além dos processos - por tecnologia e pessoas;
- Se não se conseguir proteger tudo, devem proteger-se, em primeiro lugar, os sistemas e servidores que são críticos para a empresa para que esta nunca deixe de funcionar;
- Os ataques de malware mais comuns são: Worms, trojans e spywares.
- O ransomware também é muito comum - e do qual vários grupos de comunicação têm sido alvo em Portugal -, que pretende encriptar ficheiros e impede o acesso ao utilizador, muito usado para um pedido de resgate em criptomoedas.
- O wipeware é outro tipo de malware e tem como objetivo a total destruição da informação;
- Há, também, o scareware que divulga informação falsa e leva o utilizador a adquirir software que pode conter vírus que se podem espalhar por todo o sistema;
- Cada vez mais as empresas estão dependentes da informática, dos seus servidores, dos seus acessos e dos seus serviços;
- As organizações devem investir numa política de Zero Trust Security, conceito que implica que as organizações não devam confiar em nada que esteja fora ou dentro da sua rede, o que obriga a uma autentificação para se ter acesso;
- É preciso uma equipa especialista em cibersegurança que possa avaliar o que é necessário mediante a realidade da empresa, pois todas são diferentes, de forma a fazer um planeamento que defina onde devem ser colocadas as tecnologias.
“As empresas devem ter a sua segurança na ordem do dia, deve ser a sua principal preocupação”, explica Pedro Inácio, diretor de cibersecurity & privacy da Altice Portugal
Deteção Ativa e Contrarreposta
Como atuar?
- A deteção ativa deve ser um processo continuado, que envolve sempre uma melhoria contínua;
- A deteção e a capacidade de resposta tem de ser 24 sobre 24 horas e toda a esfera da cibersegurança deve trabalhar de forma coletiva;
- A resposta deve operar à mesma velocidade da deteção do ataque;
- Quais são as medidas para uma boa resposta? Em primeiro lugar, ter equipas especializadas, em segundo, apostar na formação. Além destas, é preciso existir informação e conhecimento, conhecimento esse que também deve ser sobre a estrutura da organização e ativos mais importantes, entre outras medidas não menos importantes, como conseguir aliar o vector tecnológico ao humano;
- Em Portugal tem-se verificado que não existe uma deteção bem feita porque, muitas vezes, são os utilizadores a identificar o ataque e, nestes casos, quem falha é a organização;
- A contrarresposta tem três parâmetros essenciais: contenção, mitigação e recuperação. Mas sem deteção, a resposta não pode existir.
- A informação que está na dark web deve ser utilizada num contexto preventivo e não apenas reativo.
“A deteção ativa é um conjunto de atividades cujo pressuposto principal é conseguir detetar um ataque, identificar a sua origem, conter o ataque e conseguir mitigar o seu impacto”, esclarece João Manso, CEO da RedShift
O que garante?
- A recuperação ativa deve ser feita a partir de backups que a empresa deverá ter;
- Esta ação garante que a empresa consegue rapidamente recuperar os seus sistemas, repondo os seus serviços para voltar à normalidade o quanto antes;
- A empresa deve ter cópias de segurança - backups - fora das instalações e em modo offline;
- É necessário garantir que os backups seguem um processo sólido e robusto e o processo de recuperação deve ser testado regularmente;
- As áreas mais críticas são, em primeira mão, a ciber-resiliência, segurança e recuperação das infraestruturas de suporte à Microsoft Active Directory (AD) e ao sistema de backups. Se estas duas componentes forem atacadas - e falharem - será muito mais difícil recuperar as operações de uma entidade que trabalhe num ecossistema Microsoft - que é o usado pela maioria das empresas;
- Os incidentes de cibersegurança devem ser encarados como uma aprendizagem porque não há uma solução fechada para os ataques;
- Depois de recuperar de um ataque, devem rever-se processos e tecnologias;
- A prevenção é a melhor resposta e existem algumas dicas que os utilizadores devem seguir: Não devem navegar em anexos perigosos, assim como abrir emails ou sites suspeitos, não devem clicar em links duvidosos ou partilhar informação privada.
“A recuperação ativa significa recuperar algo, quer dizer que houve uma situação catastrófica, em que os sistemas foram afetados e é necessário repor a informação”, diz Pedro Inácio, diretor de cibersecurity & privacy da Altice Portugal
Conselho de Segurança
O mundo vive envolto num conjunto de ameaças que exigem uma resposta pronta. O Expresso, em conjunto com o Continente, Galp, Altice Empresas, Allianz, Morais Leitão e ACIN, lança um projeto para avaliar a nossa segurança tecnológica, militar, jurídica, na saúde, no Estado e nas empresas. Ao longo de seis meses queremos construir um Conselho de Segurança, lançando debates, promovendo temas, reunindo especialistas.
Tem dúvidas, sugestões ou críticas? Envie-me um e-mail: clubeexpresso@expresso.impresa.pt
Assine e junte-se ao novo fórum de comentários
Conheça a opinião de outros assinantes do Expresso e as respostas dos nossos jornalistas. Exclusivo para assinantes