Marla Mendes, responsável pela Check Point Software Technologies no mercado moçambicano
Durante a minha carreira na área de cibersegurança, observo que, embora a tecnologia desempenhe um papel significativo na protecção das organizações, o elemento humano é igualmente crucial. Diz-se muitas vezes que os protocolos de segurança mais sofisticados podem ser afectados por um único clique de um funcionário desinformado ou descuidado. Por isso é que cogito falar no “factor humano”, frequentemente negligenciado, e fornecer recomendações para ajudar as empresas a reforçar este elo mais fraco da cadeia de cibersegurança.
O Actual Cenário de Ameaças
O panorama global da cibersegurança é complexo e está em constante mudança, com novas vulnerabilidades e ameaças a surgirem quase diariamente. Percorremos um longo caminho na implementação de Arquitecturas de Confiança Zero, implementando algoritmos avançados de inteligência artificial (IA), firewalls, sistemas de detecção de intrusão e muito mais para proteger as nossas organizações. No entanto, é surpreendente constatar que a maioria dos incidentes de segurança não são apenas o resultado de técnicas sofisticadas de hacking, mas são frequentemente ajudados por erro humano.
Os erros humanos, como cair em emails de phishing, práticas de palavras-passe fracas ou fugas acidentais de dados, podem tornar vulnerável a rede robusta de uma organização. Estes erros não se limitam apenas ao pessoal mais jovem; até os executivos são vítimas destes ataques. É evidente que ninguém está imune, tornando os factores humanos uma preocupação urgente para todas as organizações. Por exemplo, a recente violação da MGM Resorts foi o resultado de uma simples engenharia social. O agente da ameaça enganou o funcionário do serviço de assistência para que redefinisse uma palavra-passe sem informações suficientes.
O Custo da Negligência
Negligenciar o factor humano pode resultar em perdas financeiras consideráveis, prejudicar a reputação e perder a provocar a perda de confiança dos clientes. Por vezes, os danos são irreversíveis. Na sequência de um incidente, as organizações apercebem-se frequentemente de que poderiam ter evitado a violação se tivessem investido em medidas de segurança adequadas centradas no factor humano.
Estratégias para Reduzir Riscos de Origem Humana
Num mundo saturado de ciberameaças, concentrar-se apenas em soluções tecnológicas é o mesmo que construir uma fortaleza, mas deixar o portão desprotegido. De facto, Rupal Hollenbeck, Presidente da Check Point, diz muitas vezes que a cibersegurança tem realmente a ver com “pessoas, processos e tecnologia — por esta ordem”. Ao aumentar a consciencialização e a compreensão do factor humano na cibersegurança, as organizações podem construir uma defesa mais robusta e abrangente contra as ciberameaças.
Como Country Manager da Check Point Software Technologies em Portugal, defendo integrar estratégias centradas no ser humano na sua abordagem de cibersegurança. Não se esqueça de que a estratégia de segurança mais eficaz é aquela que tem em conta as vulnerabilidades das máquinas e dos seres humanos.
Ao longo do meu percurso, tenho visto os CISO a efectuarem determinadas alterações para reduzir este risco, entre elas:
— Ataques de Phishing: A arte do engano é a melhor ferramenta de um hacker. Os funcionários são frequentemente vítimas de emails ou mensagens que parecem genuínos, mas que são concebidos para recolher informações sensíveis ou instalar malware. A maioria das organizações mantém a sua defesa limitada ao correio electrónico empresarial e ignora o maior vector de ameaça em torno da Defesa contra Ameaças Móveis — proteger os funcionários de serem vítimas de um ataque de mensagens de texto ou smishing através de diferentes aplicações de mensagens, ou do correio electrónico pessoal executado no mesmo dispositivo móvel. De facto, o custo médio de uma violação de phishing é de 4,76 milhões de dólares. É evidente que este aspecto tem de ser um foco para uma melhor protecção.
– Formação Cibernética: A maioria das organizações efectua um exercício de phishing único para satisfazer as necessidades de conformidade e esquece que as ciberameaças estão em constante evolução. Os funcionários devem actualizar continuamente as suas defesas contra estas ameaças. Uma formação regular sobre “boa higiene” cibernética é muito importante para reduzir as hipóteses de um erro humano causar uma violação. A boa notícia é que existem muitas opções de formação — desde Escape Rooms virtuais a jogos de phishing e cursos avançados de cibersegurança.
– Gestão de Credenciais: Os líderes de segurança de todas as indústrias têm a difícil tarefa de garantir que os activos digitais da sua organização estão protegidos. Um dos principais aspectos desta tarefa é a gestão de palavras-passe. Eis algumas das melhores práticas recomendadas.
- Arquitectura de Confiança Zero: Adoptar um modelo de confiança zero em que nenhum utilizador ou sistema é de confiança por defeito. Todos devem passar por verificação e autenticação, independentemente de sua localização em relação ao perímetro da rede.
- Single Sign-On (SSO): Considere a implementação de soluções SSO para reduzir o número de palavras-passe que um funcionário tem de memorizar. No entanto, certifique-se de que a própria solução SSO é extremamente segura.
- Autenticação multifactor (MFA): A implementação da MFA acrescenta uma camada extra de segurança, normalmente envolvendo algo que o utilizador sabe (palavra-passe) e algo que o utilizador tem (um dispositivo móvel para receber um código único numa aplicação de autenticação ou mensagem de texto).
- Auditorias periódicas: realize auditorias regulares para garantir que as políticas de palavra-passe estão a ser seguidas. Muitos sistemas modernos permitem que os administradores vejam se os utilizadores estão a reutilizar as palavras-passe ou se não as alteram com frequência suficiente.
- Políticas de bloqueio de contas: Implemente uma política de bloqueio de contas que bloqueie temporariamente as contas após um determinado número de tentativas de início de sessão falhadas. Isto pode impedir ataques de força bruta, mas deve ser equilibrado para não bloquear involuntariamente utilizadores legítimos.
- Fim do prazo e alteração de senhas: Exigir regularmente que os utilizadores alterem as suas palavras-passe pode impedir que os atacantes obtenham acesso prolongado a uma conta. No entanto, esta medida tem de ser equilibrada, uma vez que alterações muito frequentes podem levar a más escolhas de palavras-passe.
Alterações ou melhorias não tecnológicas para reduzir o risco
Com base nos dados e inquéritos disponíveis no sector, os CISO e os CEO também tiram partido das seguintes soluções não tecnológicas para proteger as suas organizações:
– Implementar um sistema de controlo/gestão de alterações: nunca é demais realçar a importância da implementação de um sistema de controlo de alterações com vários níveis de aprovação. Numa era de ameaças cibernéticas complexas, o elemento humano torna-se frequentemente uma vulnerabilidade. Um processo de aprovação a vários níveis permite-nos adicionar camadas de escrutínio, envolvendo várias funções, desde especialistas em tecnologia a executivos, reduzindo efectivamente os pontos únicos de falha. Esta abordagem minimiza os riscos associados a erros humanos e garante o alinhamento com as nossas estratégias de cibersegurança. Funciona como um sistema vital de controlo e equilíbrio, tornando a nossa ciberdefesa mais resistente e adaptável ao cenário de ameaças em evolução.
— Cultura de responsabilização:
- Programas de recompensa: Implementar programas de recompensa pela comunicação de vulnerabilidades ou riscos potenciais;
- Transparência: Manter um diálogo aberto sobre a importância da segurança.
— Gestão do risco do fornecedor:
- Diligência prévia: Efectuar a diligência antes de integrar novos fornecedores. Certifique-se de que cumprem os padrões de segurança da sua organização;
- Monitorização contínua: faça uma auditoria regular à conformidade de segurança do fornecedor.
— Quadro jurídico:
- Acordos de não-divulgação (NDAs): Obter contractos legais para proteger informações sensíveis;
- Auditorias regulares: assegurar a conformidade com as leis de protecção de dados e as normas da indústria.
— Plano de resposta a incidentes: no cenário em constante evolução das ameaças à cibersegurança, já não é uma questão de saber se um incidente de segurança vai acontecer, mas sim quando. Isto faz com que ter um Plano de Resposta a Incidentes (IRP) eficaz e uma Equipa de Alerta interna seja indispensável para qualquer organização que leve a sério a sua postura de cibersegurança.
— FIM-
Descubra mais sobre Jornal Visão Moçambique
Assine para receber nossas notícias mais recentes por e-mail.