É inegável que a Internet faz parte do dia-a-dia de todos. Organizações e cidadãos utilizam diariamente as mais variadas ferramentas e aplicações que dependem da Internet para funcionar
Com o crescimento da transformação digital – principalmente depois do início da pandemia de COVID-19 –, as organizações tiveram que se adaptar a novas realidades. A cibersegurança é hoje um dos pontos fulcrais de qualquer organização – independentemente da sua dimensão. Mesmo as empresas mais pequenas precisam de algum tipo de segurança cibernética. O risco existe; interrupção de serviço e danos reputacionais são apenas dois desses exemplos. De acordo com o relatório “Cibersegurança em Portugal – Riscos & Conflitos 2021” do Centro Nacional de Cibersegurança (CNCS), 31% dos incidentes de cibersegurança registados pelo CERT.PT – equipa de resposta a incidentes do CNCS – ocorreram no âmbito da Administração Pública. Ainda que a percentagem de ataques seja ligeiramente menor em relação a 2020, o número de incidentes no país aumentou 79%. Diz o mesmo relatório do CNCS que o tipo de incidentes mais frequentes são os incidentes de phishing/smishing (43%) e que 12% dos ataques são sistemas infetados por malware. Atualmente, as organizações estão a abraçar as últimas tecnologias para se manterem competitivas numa economia cada vez mais global. No entanto, para que isso aconteça, as organizações têm de se expor mais ao risco digital. Torna-se importante que as organizações percebam quais são os seus riscos antes de fazerem investimentos; devem perceber o que pode correr mal ao adotar uma nova tecnologia e como é que esse impacto pode ser minimizado. Ao mesmo tempo, é preciso perceber, também, se existe alguma legislação em vigor que se aplique a uma determinada tecnologia, uma vez que as organizações podem correr o risco de não estarem de acordo com as necessidades regulatórias para as operações de negócios, retenção de dados ou práticas de negócio. Torna-se também necessário que as organizações identifiquem os seus ativos e façam um levantamento dos riscos a que estão expostas. As organizações devem estar preparadas com estratégias que minimizem os riscos previsíveis e os mitiguem – idealmente – por completo. Ao identificar estes ativos, as organizações estão mais perto de identificar as vulnerabilidades e a origem de potenciais ataques. O mundo tem cada vez mais ameaçasAo fazerem parte de um mundo conectado, as organizações estão expostas a um maior número de ameaças. O contacto com terceiros – como fornecedores externos por exemplo – podem ser uma porta de entrada de ameaças para as organizações. Nos últimos anos, têm crescido os seguros de riscos cibernéticos. Com o aumento de ataques e, simultaneamente, das ameaças a que as organizações estão sujeitas, uma eventual interrupção total ou parcial de sistemas informáticos pode ter um impacto negativo no negócio. Os seguros de riscos cibernéticos procuram ajudar as organizações a minimizar o impacto dos ciberataques depois destes acontecerem, ajudando, por exemplo, a recuperar dados ou a fornecer serviços no caso de uma extorsão cibernética. Ainda que estes seguros sejam relevantes, é importante que as empresas tenham uma ação preventiva na proteção dos seus dados, que passa por realizar backups da informação, contratar os serviços mais adequados para as suas infraestruturas e monitorizar regularmente quem, e através de que equipamentos, é que acede às infraestruturas críticas da organização. Não confiar para manter as organizações segurasArquiteturas como Secure Access Service Edge (mais conhecido como SASE) e Zero Trust Network Access (mais conhecido simplesmente como zero trust) são modelos que têm tido uma adoção cada vez maior. As frameworks zero trust incluem várias tecnologias que já eram utilizadas em grande escala pelas organizações para proteger os seus dados. No entanto, o zero trust representa o eixo central claro de como se deve pensar na defesa e na cibersegurança de uma empresa. Já o SASE é um termo relativamente recente no mundo da cibersegurança que combina as funções de segurança da rede com as capacidades WAN para suportar as necessidades de segurança de acessos dinâmicos dentro das organizações. Estas capacidades são tradicionalmente distribuídas como um serviço, ou as-a-Service, e baseiam-se na identidade da organização, no contexto em tempo real e nas políticas de compliance ou de segurança. Ter uma estratégia para toda a empresaO risco cibernético existe para além das tecnologias de informação; é necessário que as organizações tenham uma estratégia integral que agregue todos os vetores que envolvem a segurança digital. Essa estratégia tem de incluir os colaboradores, os processos executados e os dados processados. O Centro Nacional de Cibersegurança indica que “sem um elevado nível de maturidade em cibersegurança nas nossas organizações, não estão reunidas as condições para um efetivo e sustentável desenvolvimento económico”. Assim, é preciso que todas as organizações, independentemente da sua dimensão, apliquem as corretas medidas preventivas para minimizar o impacto das várias ameaças a que estão sujeitas. O Quadro Nacional de Referência para a Cibersegurança, desenvolvido pelo CNCS, permite às organizações reduzir o risco associado a estas ameaças, para além de disponibilizar as bases para que qualquer entidade possa cumprir os requisitos mínimos de segurança das redes e dos sistemas de informação. Automatizar a segurança cibernéticaUma das realidades que as tecnologias de informação vivem atualmente é a ausência de talento. A cibersegurança não é exceção e as organizações têm dificuldades em encontrar profissionais da área para proteger as suas operações. Com as organizações a apostarem em cada vez mais soluções e serviços fornecidos através da Internet, é importante que cada um desses produtos tenha a segurança como uma definição. Quando aplicada uma filosofia de security by design na construção de um novo produto, a segurança da informação é construída desde o início, o que permite mitigar os riscos, uma vez que ao implementar uma variedade de medidas de segurança na conceção de um novo serviço leva a que as falhas de segurança sejam removidas com maior eficácia do que apenas numa fase final de testes, ou quando o produto já está a ser comercializado. Uma das respostas a este problema passa pela contratação de empresas especializadas que fornecem serviços geridos de segurança. Assim, uma organização pode focar-se naquilo que é verdadeiramente o seu negócio – e que, possivelmente, nada tem a ver com tecnologia – e deixar a cibersegurança das suas operações para quem sabe. Os SOC – Security Operations Centers – são disso exemplo. Existem empresas que contam com estes serviços para agregar e partilhar informação entre as equipas de segurança que são responsáveis por monitorizar e analisar a cibersegurança das mais variadas organizações. Não há nenhuma organização que esteja 100% segura, mas é possível minimizar os impactos de um ciberataque. Cabe às empresas perceberem a sua realidade, identificando a informação crítica que pretendem que esteja segura, investirem em segurança para garantirem a integridade das suas infraestruturas e a segurança dessa informação – ao mesmo tempo que asseguram a continuidade dos negócios – para que possam trabalhar e desenvolver negócios em segurança num mundo cada vez mais digital. Na Altice Empresas a segurança informática é um dos pilares estratégicos na sua missão junto das empresas portuguesas. Através de equipas técnicas especializadas e certificadas nos principais fabricantes mundiais, tem vindo a desenvolver, através da cibersegurança, um vetor de crescimento para as organizações, preparando continuamente o seu futuro. Conheça aqui as soluções Altice Empresas que respondem aos atuais desafios de segurança e garantem a continuidade dos negócios.
Conteúdo co-produzido pela MediaNext e pela Altice Empresas |