Em poucos anos, o cibercrime aumentou exponencialmente: “Tornou-se uma economia real, com profissões, especialistas e até convites para a apresentação de propostas ... Nós passámos de uma realidade com perfis ‘amadores’ para máfias, ou até estados” explica Dimitri Druelle, Cybersecurity & Privacy Group Practice Manager na Gfi.

Para medir a extensão deste fenómeno, temos apenas de olhar para os números: diferentes fontes concordam que este mercado está estimado em 400 mil milhões de dólares por ano. Quando sabemos que o “crime tradicional” (tráfico de drogas, tráfico humano, tráfico de armas, etc.) representa 1 bilião de dólares, percebemos a importância deste mercado invisível.  

“A cibersegurança é um jogo do gato e do rato sem fim e, infelizmente, os cibercriminosos estão sempre um passo à frente das empresas. Ainda mais quando as empresas têm falta de conhecimentos e recursos: em França, por exemplo, de acordo com a ANSSI (Agência nacional francesa para a segurança dos sistemas de TI), apenas 25% das ofertas de emprego de cibersegurança são preenchidas.”

Não obstante este panorama, Dimitri Druelle é encorajador: “Existem algumas regras a serem seguidas para proteger as empresas. Muitas vezes, os ataques são bem-sucedidos porque as empresas não fazem o mínimo esforço para se protegerem. Este foi o caso do WannaCry, um malware que, como o worm Blaster de há quinze anos, aproveitou uma falha no Windows para atacar, falha esta cuja correção tinha sido lançada meses antes, mas que as empresas demoraram o seu tempo a implementar. O bom uso das Tecnologias de Informação (TI) permite proteger as empresas contra os ataques mais simples.”

Do ponto de vista global, é importante entender que o assunto da cibersegurança mudou, não só em escala, mas também ao nível do seu modelo. “No passado, trabalhávamos de acordo com um forte pilar: o Sistema de Informação operava por detrás de uma espessa parede de equipamentos de segurança (Firewall, DMZ, proxy, entre outros) e esperávamos, dessa forma, afastar os “assaltantes”. Hoje, os smartphones, a mobilidade, a cloud e a transformação digital levaram os Sistemas de Informação a abrirem-se para o exterior. Construir barreiras já não faz sentido. Devemos implementar um novo modelo, que pode ser comparado com o sistema de saúde: estamos constantemente cercados por vírus e bactérias nocivas que respiramos todos os dias, mas se temos uma boa higiene e boas práticas (como as vacinas), não ficamos doentes ...”

Neste sentido, é importante fortalecermos o Sistema de Informação, assim como fortalecemos o nosso sistema imunitário. A comparação é relevante em mais do que um aspeto: “É muito complicado protegermo-nos de uma doença infeciosa e letal sem medidas sanitárias, mas se reforçarmos o nosso sistema com vacinas, podemos evitar o contágio de gripes que podem ser mortais para os mais vulneráveis.”

Para um Sistema de Informação, praticar uma boa “higiene” significa: atualizar regularmente a infraestrutura de TI, ter um antivírus atualizado, ter um bom conhecimento do seu sistema, realizar continuamente auditorias ao sistema, etc. O objetivo de um CISO(Chief Information Security Officer) é proteger a empresa de ataques como o “frio” ou a “gripe”, garantindo que o sistema não é atacado. “Se um cibercriminoso quiser entrar no seu Sistema de Informação, irá conseguir. No entanto, se encontrar resistência, há uma hipótese de tentar outra empresa, e será prejudicado pela escolha.” O guia de boas práticas de TI da ANSSI (“40 Essential Measures For A Healthy Network”) é uma boa referência sobre as medidas básicas a serem implementadas por qualquer empresa.

O quadro regulamentar existe e está em constante revisão e melhoramento. “Como empresa, você tem a obrigação de implementar as medidas de segurança exigidas por lei, de acordo com a sua atividade e o seu estado atual”, explica Dimitri Druelle. “O GDPR (General Data Protection Regulation ou, em português, Regulamentação Geral de Proteção de Dados), que entrará em vigor em maio de 2018, inclui, obviamente, a questão da segurança dos dados pessoais, bem como do respeito pelos direitos dos cidadãos. As fortes sanções previstas (até 4% do volume de negócios global) estão a começar a atrair a atenção dos Comités Executivos. Mesmo sem esperar pela regulamentação europeia, a lei da República Digital, publicada em França no ano de 2016, já aumentou as multas administrativas da CNIL (Autoridade Francesa de Proteção de Dados) de 150 mil para 3 milhões de euros. Além das participações financeiras, há também questões de responsabilidade. Recentemente, no contexto de grandes fugas de dados, como foi o caso da Equifax (empresa americana de serviços de proteção ao crédito) e Target (rede americana de lojas de retalho), o CISO, CIO e também CEO foram demitidos.”

Outros textos são também importantes, como a Diretiva Europeia de “Segurança da Informação em Rede”, atualmente transposta para o direito Francês, que incorpora o espírito da Lei da Programação Militar Francesa e o estende aos Operadores de Serviços Essenciais - mais de 1.000 empresas privadas e da administração pública - que terão de implementar medidas de segurança específicas, incluindo o uso de serviços de confiança especificados pela ANSSI, são também importantes.

“Se estiver na posse de dados relativos à saúde”, acrescenta Dimitri Druelle, “deve cumprir outras obrigações, como o Depósito de Alojamento de Dados de Saúde. E assim em diante, caso a caso. A existência da norma ISO 27001 deve ser, de igual modo, tida em consideração. Aplica-se a todos e gere a segurança através do risco. É a base para a implementação de processos duradouros e para uma melhoria contínua do sistema de segurança.”

Em conclusão, para se proteger de atos maliciosos e de negligência (extremamente perigoso), o primeiro passo é desenvolver uma auditoria interna de cibersegurança para compreender a que tipo de riscos a sua empresa está vulnerável. Esta ação levará à identificação de medidas prioritárias. Quando se trata de cibersegurança, não basta obter os certificados que atestem a sua conformidade, é preciso ser eficiente e pragmático nas ações desenvolvidas.  

Palavras-ChavegfiCibersegurança01 Business Forum

Partilhar