Rumo a um novo paradigma de Cibersegurança e Proteção da Informação


Artículo de Manuel Sánchez Gómez-Merelo, traducido y difundido por www.ceasbrasil.com.br


Manuel Sánchez Gómez-Merelo
Consultor Internacional de Segurança

O Dia Internacional da Segurança Informática foi comemorado em 30 de novembro. Uma comemoração que surgiu em 1988, após o primeiro caso de malware se espalhando globalmente na rede registrada no mundo, conhecido como «Morris Worms», que afetou 10% de dois sistemas ligados à Internet naquela altura.

Hacia un nuevo paradigma de Ciberseguridad y Protección de la información, por Manuel Sánchez Gómez-Merelo

Esses dados servem para nos lembrar a todos da necessidade e obrigação que temos de proteger nossas informações e sistemas contra qualquer tipo de ação maliciosa ou criminosa que possa ocorrer no plano digital.

Uma oportunidade para conscientizar sobre a importância da segurança da informação e relembrar as medidas que, como usuários, podemos tomar para evitar sermos afetados por possíveis ataques, principalmente em períodos, como o que vivemos, onde somos inundados diariamente por e-mail ou caixas de correio telefônico com campanhas promocionais, descontos atraentes para Black Friday, promoções de vendas de Natal e viagens, etc.

Evolução dos riscos e ameaças. Novos desafios

Na atual conjuntura, em que os riscos e ciberataques aumentaram consideravelmente, principalmente com o ransomware como principal ameaça e com a implementação do modelo de trabalho híbrido e teletrabalho na grande maioria das organizações públicas e privadas, é cada vez mais necessário incorporar estratégias de segurança que fortalecem o acesso a dados e informações de qualquer ponto e em qualquer dispositivo.

Nesse sentido, a segurança cibernética deve se concentrar na proteção de sistemas e dispositivos, bem como na proteção de informações e usuários e garantir e verificar sua legitimidade, independentemente de sua origem, o que pode garantir que apenas usuários e dispositivos autorizados tenham acesso a esses dados específicos.

Devemos ter em mente que, atualmente, 85% dos ataques contra ativos digitais são resultado de erro humano e, consequentemente, de acordo com as últimas análises da IDC Research, a cibersegurança deverá crescer novamente este ano em 7,7%, desde os ciberataques não param de aumentar e estima-se que até 2022 tenham afetado 90% das organizações, de alguma forma, sem esquecer que o fator humano é o elo mais fraco da cibersegurança.

Também devemos considerar que a Espanha tem outra questão pendente e que precisa de mais de 80.000 profissionais de segurança cibernética.

Segurança cibernética para todos

Recorde-se que garantir a cibersegurança individual e coletiva, pessoal e pública é uma questão de todos que começa na esfera pessoal.

Assim, devemos sublinhar a importância que todos os especialistas e organizações ligadas ao sector da prevenção e proteção da informação, sistemas, redes e dispositivos têm hoje e sensibilizar para os problemas desta necessária segurança informática e, acima de tudo, encorajar-nos a proteger nossa privacidade e informações pessoais armazenadas em nossos computadores como a melhor contribuição para a segurança de todos.

Para isso, devemos dar o protagonismo que tem à necessária nova cultura de cibersegurança. Assim, a Lei 36/2015, sobre a Segurança Nacional, inclui a importância da promoção de uma Cultura de Segurança Nacional “que favoreça o envolvimento ativo da sociedade na sua preservação e garantia, como requisito essencial para o gozo da liberdade, da justiça, do bem-estar , o progresso e os direitos dos cidadãos”. Adicionalmente, e em 2021, o Conselho de Ministros aprovou o Plano Integral para a Cultura de Segurança Nacional, que visa desenvolver ações para que, enquanto cidadãos e sociedade, tomemos consciência de que a segurança é condição essencial para o crescimento da humanidade ser e o normal desenvolvimento da nossa vida quotidiana, cuja proteção exige o esforço e a co-responsabilidade de todos.

Gerenciamento de riscos e segurança global

Nos últimos tempos, surgiram novos riscos e demandas derivadas da situação gerada pela pandemia, tanto no nível da segurança global quanto da segurança particular do mundo que compartilhamos, na dimensão pessoal (mundo, país, cidade, bairro, morada, pessoa).

Assim, é necessário ressegurar: Atividades (industriais, comerciais, sociais); Transporte (internacional, nacional, local); Economia (global, local); Educação e formação (nacional, local, pessoal); Segurança (prevenção, proteção); Trabalho (comercial, autônomo); Saúde (global, local, pessoal) e um longo etc.

Como base de trabalho, consideramos novos modelos de gestão integral e integrada do risco global e da segurança e, com base em um novo esquema holístico de visão de gestão do risco cibernético, propomos o desenvolvimento de novas plataformas de gestão de riscos, ameaças e vulnerabilidades de todos os tipos de organizações.

Atualmente, é altamente recomendável que sejamos flexíveis e dinâmicos porque, especialmente com a pandemia do COVID-19, aprendemos a nos adaptar à medida que avançamos; portanto, ao desenvolver nossas prioridades atuais, devemos fazê-lo abordando nossos objetivos e interesses de um ponto de vista perspectiva diferente.

Tudo isso deve nos levar a considerar como aspecto importante que nossas organizações, nossos objetivos, acordos e atitudes sejam reorganizados e modificados, e que a segurança global seja valorizada no primeiro plano de nossas prioridades.

Em relação à segurança global, é aquela que afeta toda a humanidade e não apenas uma nação ou outra e é isso que faz com que certos ataques ou vírus tenham a capacidade de convocar a engenhosidade mundial, como nunca antes visto, porque a abordagem de cibersegurança deve ser completamente transversal.

No âmbito das organizações, convém rever os planos de continuidade, e os sistemas para os gerir, bem como os controlos internos para poder antecipar e responder a uma ameaça de ciberinsegurança como a que resultou da eclosão de uma pandemia em escala global.

Assim, recentemente, e como consequência do risco crescente de ciberataques, o Conselho da UE adotou legislação para elevar um nível comum de cibersegurança em toda a União Europeia, de forma a continuar a melhorar a resiliência e as capacidades de resposta. incidentes nos setores público e privado.

A nova Diretiva, denominada “NIS2”, substituirá a atual Diretiva sobre segurança de redes e sistemas de informação (Diretiva NIS).

Além disso, a nova Diretiva foi alinhada com a legislação específica do setor, em particular o Regulamento de Resiliência Operacional Digital para o Setor Financeiro (DORA) e a Diretiva de Resiliência de Entidades Críticas (CER), para fornecer clareza jurídica e garantir a conformidade. NIS2 e estes atos.

Assim, e para estarmos operacionais e contribuir para os nossos objetivos, é necessário ter uma visão proativa e inovadora do futuro e continuar a estar tão profundamente envolvido com a organização para avaliar tanto os seus riscos como as suas necessidades, o que implica cada vez mais, não apenas considerações operacionais, mas também riscos estratégicos e fatores do ambiente externo que atuam sobre a organização. Para isso, é importante aprimorar o posicionamento do CISO (Chief Information Security Officer), pois a função do CISO reflete o grau de maturidade de uma organização.

Segurança sistemática planejada

Para manter um monitoramento e controle sistemático, as organizações devem possuir, no mínimo, um Plano de Contingência e Continuidade cujo principal objetivo seja antecipar possíveis situações de materialização de riscos para que, caso ocorram, o impacto e as consequências sejam os menores possíveis com base em:

  • Medidas preventivas, como organização do trabalho e processamento de informações, minimizando o número de pessoas com acesso a dados sensíveis.
  • Meios de proteção, como sistemas de controle e segurança para sistemas de informação e comunicação.
  • Procedimentos de ação, para mitigar os efeitos adversos da eventual contingência ativando medidas que permitam o desenvolvimento da atividade de forma alternativa ou paralisem as tarefas temporariamente.

Atualmente, a maior parte da informação sensível das organizações encontra-se na Internet, mais concretamente nas diferentes nuvens, sendo os colaboradores os primeiros responsáveis por proteger esses dados e não os partilhar por qualquer outro meio que possa pôr em risco a informação. Devemos ter em mente que os funcionários são o primeiro escudo de proteção.

Em resumo, e para nos juntarmos a esta nova celebração do Dia Internacional da Segurança da Informação, vamos relembrar e partilhar algumas dicas básicas que todo internauta deve cumprir:

  1. Defina e gerencie bem suas senhas e acesso a informações confidenciais.
  2. Não confie em conexões Wi-Fi públicas ou abertas.
  3. Mantenha seus programas e aplicativos atualizados.
  4. Não baixe informações de fontes desconhecidas ou duvidosas. Gerencie as informações do celular como as do computador.
  5. Antes de abrir um e-mail, acessar um link, baixar um arquivo anexado, preste atenção: ao endereço do remetente; os links possíveis; o pedido de credenciais ou dados pessoais; o suspeito no corpo da mensagem.

Por último, recorde-se a recente campanha de proteção de informação ‘Cyberprotect yourself’ que decorrerá até 31 de dezembro, lançada pelo INCIBE (Instituto Nacional de Cibersegurança) que aproveitámos para a partilhar, bem como recomendar o seu “Guia para ataques cibernéticos. Tudo o que você precisa saber no nível do usuário” e “Guia de Cibersegurança. Cibersegurança ao alcance de todos”, para ampliar informações e conhecimentos sobre o assunto.


Manuel Sánchez Gómez-Merelo
Presidente · Director General de GET – Grupo Estudios Técnicos
Director de Programas de Protección de Infraestructuras Críticas en el Instituto Universitario General Gutierrez Mellado IUGM-UNED. España
Miembro permanente de la Comisión de Seguridad del Ministerio del Interior. España http://www.manuelsanchez.com

Un comentario

Deja una respuesta

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Salir /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Salir /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Salir /  Cambiar )

Conectando a %s

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.