Artículo de Manuel Sánchez Gómez-Merelo, traducido y difundido por www.ceasbrasil.com.br
Manuel Sánchez Gómez-Merelo
Consultor Internacional de Segurança
Nos últimos anos, a cibersegurança tem vindo a assumir o protagonismo que merece, mas os níveis de sensibilização e envolvimento ainda estão longe de serem adequados.
As pessoas são o elo mais fraco da cadeia de segurança da informação, e as comunicações representam a porta de entrada para mais de 90% dos ataques cibernéticos que sofremos por meio dos meios digitais.
94% das empresas na Espanha sofreram um incidente de segurança cibernética no ano passado. Um fato alarmante, segundo estudo recente divulgado pela rede internacional de atendimento Deloitte.
De fato, a Espanha se posicionou em 2022 como o terceiro país do mundo em termos de ataques cibernéticos, depois de ter sofrido mais de 300.000 crimes de informática em 2021, o que é considerado a maior onda de cibercrimes no país até o momento.
Nos últimos anos, a cibersegurança tem vindo a assumir o protagonismo que merece, mas os níveis de sensibilização e envolvimento ainda estão longe de serem adequados.
As pessoas são o elo mais fraco da cadeia de segurança da informação, e as comunicações representam a porta de entrada para mais de 90% dos ataques cibernéticos que sofremos por meio dos meios digitais.
94% das empresas na Espanha sofreram um incidente de segurança cibernética no ano passado. Um fato alarmante, segundo estudo recente divulgado pela rede internacional de atendimento Deloitte.
De fato, a Espanha se posicionou em 2022 como o terceiro país do mundo em termos de ataques cibernéticos, depois de ter sofrido mais de 300.000 crimes de informática em 2021, o que é considerado a maior onda de cibercrimes no país até o momento.
Os ataques cibernéticos supõem uma vulnerabilidade muito grande nas organizações e, as perdas econômicas e de informação, além de serem muito importantes, representam danos à imagem e reputação pessoal e institucional.
Os cibercriminosos se aproveitam da ignorância, exposição e vulnerabilidades dos usuários para acessar as informações em nossos dispositivos, a fim de utilizá-las contra pessoas e organizações.
Quando uma organização sofre um incidente, as consequências são imediatamente conhecidas e o próprio impacto do ataque coloca em risco a confiança, a reputação, a credibilidade e o desenvolvimento da atividade da organização atacada. Consequentemente, os órgãos de governo das organizações devem fortalecer sua capacidade de resiliência no mesmo ritmo que fazem com a segurança cibernética, o que representa um desafio significativo.
Objetivos de conscientização
Os pilares fundamentais da segurança cibernética são pessoas, processos e sistemas e tecnologias.
Nesse sentido, o objetivo da conscientização das pessoas não é transformar os funcionários em especialistas em segurança da informação, mas sim transferir as melhores práticas em termos de prevenção e proteção para que adotem diretrizes de comportamento seguro nos diversos ambientes em que aqueles que exercem fora a sua atividade.
Desta forma, não só se melhora a cultura de segurança da organização, como também se otimizam os processos com garantias de proteção. Assim, identificará facilmente os riscos e ameaças a que está exposto, bem como as suas potenciais consequências.
Da mesma forma, é um objetivo importante saber como agem os cibercriminosos, suas motivações e modus operandi para saber como aplicar as medidas de segurança adequadas e, assim, prevenir a maioria dos ataques cibernéticos.
A comunicação de todos os aspetos relacionados com a cibersegurança de uma organização é também um objetivo importante.
Por fim, os processos de controle, supervisão e inteligência devem estar sempre atualizados, permitindo medir os resultados e desvios de forma a manter uma análise confiável e constante das informações provenientes da operação e estado de segurança de todos os processos derivados da atividade da organização.
Conscientização e participação
De forma a sensibilizar e envolver eficazmente todos os colaboradores, a política de segurança deve ser previamente definida na própria estrutura da organização.
Para isso, a primeira fase para evitar a materialização do risco ou qualquer ameaça cibernética é identificá-los ou conhecê-los para estabelecer medidas de prevenção.
Uma vez identificados os riscos e ameaças, estabeleceremos as medidas de conscientização e prevenção que devemos aplicar para minimizar ou, no melhor dos casos, eliminar as vulnerabilidades, riscos e ameaças aos quais estamos expostos.
Nesse sentido, o envolvimento da alta direção tem papel fundamental no fortalecimento do estabelecimento de medidas de segurança.
A sensibilização é, em todo o caso, uma prioridade maior do que nunca e exige o lançamento de iniciativas de sensibilização e formação para todos os colaboradores.
Segurança e cibersegurança
Por muito tempo, a segurança foi estabelecida com uma visão abrangente e integrada de segurança física e lógica, para a proteção dos ativos e informações das organizações.
Esta integração deve assentar numa perfeita sinergia também entre operações e segurança, garantindo assim que esta última, para além de garantir e proteger os interesses e ativos da organização, proporcione valor acrescentado, diferencial e competitivo. Esta circunstância só é possível quando os departamentos e gestores de segurança têm um conhecimento aprofundado da atividade e dos seus riscos.
Para tal, na definição de um plano de segurança, devem ser previamente identificados e quantificados os riscos, ameaças e vulnerabilidades implícitas na atividade e as pessoas e bens ou ativos a proteger.
Em seguida, devemos definir as políticas de segurança necessárias para proteger e prevenir as possíveis consequências dos riscos identificados, e que estas estejam alinhadas com a atividade.
Por todas estas razões, as medidas e meios de cibersegurança deixam de ser uma opção, devem ser integrados no Plano de Segurança para garantir a salvaguarda da informação e proteger ativos intangíveis, como a reputação da organização.
Neste sentido, o Conselho de Administração deve envolver-se e transmitir o seu compromisso à Direção de Segurança e restantes colaboradores, de forma a minimizar o impacto na sua organização e modelo de funcionamento.
Comunicação e Informação
Através desta formação, serão detectadas as vantagens e desvantagens do meio digital e como está a evoluir a prevenção e proteção na organização.
É essencial acompanhar todas estas políticas de segurança com medidas e protocolos complementares, tanto para controlo, verificação e monitorização, como para identificação de novos riscos e ameaças.
A título de conclusões
A tarefa de sensibilização exige o esforço e o envolvimento de todos na cibersegurança, pois tanto os cidadãos como as administrações, agências e organizações empresariais são responsáveis pelo comportamento nas comunicações, portanto, todas as ações têm consequências diretas sobre os demais atores que participam e só através do trabalho comum e da responsabilidade partilhada se pode garantir uma maior proteção dos meios de gestão e comunicação.
A utilização de novas tecnologias e equipamentos na realização de nossas atividades digitais, aliada à facilidade de acesso à Internet, tornou nossos trabalhos versáteis, podendo trabalhar de qualquer lugar e nos comunicar a qualquer hora.
Isso torna a conscientização e o envolvimento com a segurança da informação tratada pelos funcionários uma questão pendente no campo da cibersegurança, e é o elemento que causa inúmeras brechas de insegurança capazes de afetar organizações de qualquer porte.
Em resumo, vamos rediscutir sobre os pontos básicos que qualquer responsável pela segurança da informação deve ter em conta para minimizar o risco de insegurança causado pelo fator humano e são os seguintes:
– Devemos estabelecer políticas de conscientização para facilitar o envolvimento das pessoas na segurança cibernética.
– Avaliações periódicas e ações de conscientização devem ser realizadas entre os colaboradores para conhecer o nível e a cultura de proteção das informações que possuem.
– Periodicamente, simulações de ataques a informações e dados devem ser realizadas e os resultados analisados.
– É fundamental que todos os colaboradores conheçam a política de segurança da organização, e saibam muito bem o que se espera deles em termos de proteção de informações e dados online.
– Cada colaborador deve dispor dos meios e protocolos necessários para realizar o seu trabalho e manter a sua sensibilização e envolvimento.
– Os funcionários devem ser estabelecidos e incentivados a usar senhas fortes e alterá-las com frequência, fornecendo ferramentas e controles adequados que facilitem o cumprimento dos protocolos para alterá-las.
– Temos que garantir que os funcionários entendam as consequências de violações de segurança ou ataques de cibercriminosos, a fim de aumentar seu nível de alerta e preparação adequada para identificar qualquer ataque de engenharia social.
Em suma, vamos tornar a sensibilização e o envolvimento na cibersegurança uma parte importante da cultura organizacional, criando desafios que tornem visíveis os colaboradores que têm as melhores práticas.Os ataques cibernéticos supõem uma vulnerabilidade muito grande nas organizações e, as perdas econômicas e de informação, além de serem muito importantes, representam danos à imagem e reputação pessoal e institucional.
Os cibercriminosos se aproveitam da ignorância, exposição e vulnerabilidades dos usuários para acessar as informações em nossos dispositivos, a fim de utilizá-las contra pessoas e organizações.
Quando uma organização sofre um incidente, as consequências são imediatamente conhecidas e o próprio impacto do ataque coloca em risco a confiança, a reputação, a credibilidade e o desenvolvimento da atividade da organização atacada. Consequentemente, os órgãos de governo das organizações devem fortalecer sua capacidade de resiliência no mesmo ritmo que fazem com a segurança cibernética, o que representa um desafio significativo.
Objetivos de conscientização
Os pilares fundamentais da segurança cibernética são pessoas, processos e sistemas e tecnologias.
Nesse sentido, o objetivo da conscientização das pessoas não é transformar os funcionários em especialistas em segurança da informação, mas sim transferir as melhores práticas em termos de prevenção e proteção para que adotem diretrizes de comportamento seguro nos diversos ambientes em que aqueles que exercem fora a sua atividade.
Desta forma, não só se melhora a cultura de segurança da organização, como também se otimizam os processos com garantias de proteção. Assim, identificará facilmente os riscos e ameaças a que está exposto, bem como as suas potenciais consequências.
Da mesma forma, é um objetivo importante saber como agem os cibercriminosos, suas motivações e modus operandi para saber como aplicar as medidas de segurança adequadas e, assim, prevenir a maioria dos ataques cibernéticos.
A comunicação de todos os aspetos relacionados com a cibersegurança de uma organização é também um objetivo importante.
Por fim, os processos de controle, supervisão e inteligência devem estar sempre atualizados, permitindo medir os resultados e desvios de forma a manter uma análise confiável e constante das informações provenientes da operação e estado de segurança de todos os processos derivados da atividade da organização.
Conscientização e participação
De forma a sensibilizar e envolver eficazmente todos os colaboradores, a política de segurança deve ser previamente definida na própria estrutura da organização.
Para isso, a primeira fase para evitar a materialização do risco ou qualquer ameaça cibernética é identificá-los ou conhecê-los para estabelecer medidas de prevenção.
Uma vez identificados os riscos e ameaças, estabeleceremos as medidas de conscientização e prevenção que devemos aplicar para minimizar ou, no melhor dos casos, eliminar as vulnerabilidades, riscos e ameaças aos quais estamos expostos.
Nesse sentido, o envolvimento da alta direção tem papel fundamental no fortalecimento do estabelecimento de medidas de segurança.
A sensibilização é, em todo o caso, uma prioridade maior do que nunca e exige o lançamento de iniciativas de sensibilização e formação para todos os colaboradores.
Segurança e cibersegurança
Por muito tempo, a segurança foi estabelecida com uma visão abrangente e integrada de segurança física e lógica, para a proteção dos ativos e informações das organizações.
Esta integração deve assentar numa perfeita sinergia também entre operações e segurança, garantindo assim que esta última, para além de garantir e proteger os interesses e ativos da organização, proporcione valor acrescentado, diferencial e competitivo. Esta circunstância só é possível quando os departamentos e gestores de segurança têm um conhecimento aprofundado da atividade e dos seus riscos.
Para tal, na definição de um plano de segurança, devem ser previamente identificados e quantificados os riscos, ameaças e vulnerabilidades implícitas na atividade e as pessoas e bens ou ativos a proteger.
Em seguida, devemos definir as políticas de segurança necessárias para proteger e prevenir as possíveis consequências dos riscos identificados, e que estas estejam alinhadas com a atividade.
Por todas estas razões, as medidas e meios de cibersegurança deixam de ser uma opção, devem ser integrados no Plano de Segurança para garantir a salvaguarda da informação e proteger ativos intangíveis, como a reputação da organização.
Neste sentido, o Conselho de Administração deve envolver-se e transmitir o seu compromisso à Direção de Segurança e restantes colaboradores, de forma a minimizar o impacto na sua organização e modelo de funcionamento.
Comunicação e Informação
Através desta formação, serão detectadas as vantagens e desvantagens do meio digital e como está a evoluir a prevenção e proteção na organização.
É essencial acompanhar todas estas políticas de segurança com medidas e protocolos complementares, tanto para controlo, verificação e monitorização, como para identificação de novos riscos e ameaças.
A título de conclusões
A tarefa de sensibilização exige o esforço e o envolvimento de todos na cibersegurança, pois tanto os cidadãos como as administrações, agências e organizações empresariais são responsáveis pelo comportamento nas comunicações, portanto, todas as ações têm consequências diretas sobre os demais atores que participam e só através do trabalho comum e da responsabilidade partilhada se pode garantir uma maior proteção dos meios de gestão e comunicação.
A utilização de novas tecnologias e equipamentos na realização de nossas atividades digitais, aliada à facilidade de acesso à Internet, tornou nossos trabalhos versáteis, podendo trabalhar de qualquer lugar e nos comunicar a qualquer hora.
Isso torna a conscientização e o envolvimento com a segurança da informação tratada pelos funcionários uma questão pendente no campo da cibersegurança, e é o elemento que causa inúmeras brechas de insegurança capazes de afetar organizações de qualquer porte.
Em resumo, vamos rediscutir sobre os pontos básicos que qualquer responsável pela segurança da informação deve ter em conta para minimizar o risco de insegurança causado pelo fator humano e são os seguintes:
– Devemos estabelecer políticas de conscientização para facilitar o envolvimento das pessoas na segurança cibernética.
– Avaliações periódicas e ações de conscientização devem ser realizadas entre os colaboradores para conhecer o nível e a cultura de proteção das informações que possuem.
– Periodicamente, simulações de ataques a informações e dados devem ser realizadas e os resultados analisados.
– É fundamental que todos os colaboradores conheçam a política de segurança da organização, e saibam muito bem o que se espera deles em termos de proteção de informações e dados online.
– Cada colaborador deve dispor dos meios e protocolos necessários para realizar o seu trabalho e manter a sua sensibilização e envolvimento.
– Os funcionários devem ser estabelecidos e incentivados a usar senhas fortes e alterá-las com frequência, fornecendo ferramentas e controles adequados que facilitem o cumprimento dos protocolos para alterá-las.
– Temos que garantir que os funcionários entendam as consequências de violações de segurança ou ataques de cibercriminosos, a fim de aumentar seu nível de alerta e preparação adequada para identificar qualquer ataque de engenharia social.
Em suma, vamos tornar a sensibilização e o envolvimento na cibersegurança uma parte importante da cultura organizacional, criando desafios que tornem visíveis os colaboradores que têm as melhores práticas.
Manuel Sánchez Gómez-Merelo 