“A perspetiva de cibersegurança mais equilibrada será a de trabalhar paralelamente em duas frentes”

Como se podem endereçar as preocupações dentro de uma organização relativamente a potenciais fugas de informação?

É hoje sabido que as fugas de informação dentro das organizações são, na sua esmagadora maioria, involuntárias e inusitadas, causadas por ações descuidadas dos utilizadores. A título de exemplo, todos nós já enviámos um e-mail para a pessoa errada sem qualquer intenção maliciosa; este e-mail poderá conter informação sigilosa, que deste modo irá ser recebida por uma pessoa que não deveria ter acesso à referida informação.

No entanto, também há fugas de informação de cariz intencional e pernicioso. Assim, o tema deverá ser endereçado nas suas diversas vertentes: deverão ser promovidas campanhas regulares para a sensibilização dos utilizadores para este tema; deverá ser implementada e operacionalizada uma política rigorosa de gestão de privilégios de acesso aos recursos da organização; e finalmente, como última linha de defesa, deverá ser implementada uma solução de DLP (Data Leak Prevention).

As lideranças de topo das empresas e entidades públicas têm literacia digital e percebem as ameaças que podem existir numa organização caso não se invista em cibersegurança?

A gestão de topo na maior parte das médias e grandes empresas e organismos públicos tem hoje consciência das ameaças existentes e do seu impacto para o negócio. Observamos três grandes dificuldades para que as empresas robusteçam mais a cibersegurança do seu negócio:

1. Uma visão parcial do que é a cibersegurança, preocupando-se apenas com parte do desafio;
2. A (falsa) sensação de que a empresa não é suficientemente grande ou interessante para ser atacada;
3. A disponibilidade financeira para implementar um plano holístico de cibersegurança. Sendo esta uma decisão da gestão, assistimos infelizmente a inúmeros casos em que o investimento considerado impossível é efetivamente realizado após um ciberataque, devido aos consequentes (e usualmente muito significativos) custos financeiros e reputacionais, pela paragem de atividade da empresa e degradação de imagem ocasionada.

É preciso investir em infraestruturas de IT, nos processos, na componente aplicacional e nos dados. Qual deve ser o ponto de partida no investimento?

Todas as empresas têm uma baseline de cibersegurança atual. A perspetiva mais equilibrada será a de trabalhar paralelamente em duas frentes:

1. A curto-prazo, identificando as vulnerabilidades mais graves de cibersegurança (através de auditorias a processos e testes de penetração e vulnerabilidades) e resolvê-las se possível no imediato;
2. A médio-longo prazo, criando um plano plurianual que calendarize o investimento com base em critérios bem definidos, como criticidade, literacia de cibersegurança dos colaboradores da empresa, impacto no negócio, dinâmica de negócio, cumprimento de pré-requisitos e/ ou normativos para iniciativas mais sofisticadas e disponibilidade de investimento.

São necessárias cada vez mais competências para tornar uma organização o mais segura possível. De que maneira é que a Nexllence pode ajudar as organizações?

A Nexllence tem características únicas em cibersegurança, uma vez que detém internamente todas as competências dos quatro pilares da cibersegurança: experiência no desenvolvimento e evolução de aplicações, onde utilizamos frameworks como security by design e DevSecOps, entre outras; grande capacidade na implementação e operação de infraestruturas de segurança perimétrica, na cloud e do utilizador final, assentes numa experiência de mais de 20 anos em setores críticos como banca, telecomunicações ou utilities; e através de um conhecimento profundo dos dados, sejam nos seus sistemas de armazenamento, backup, como nos sistemas de gestão de bases de dados e gestão de identidades, em contexto de data center físico ou na cloud. No quarto pilar, a definição de políticas e processos de segurança, temos também importantes referências, nomeadamente ao nível dos setores da saúde, retalho e distribuição.

Conteúdo co-produzido pela MediaNext e pela Nexllence