Ver Angola

Opinião A opinião de...

O Fator Humano da Cibersegurança

Marla Mendes

Head: PAN Africa Telcos na Check Point Software Technologies desde janeiro de 2022, tendo entrado na empresa em dezembro de 2019 como Head: Telco SADC | South Africa. Para além do seu interesse por cibersegurança, tem mais recentemente desenvolvido um forte interesse pelas criptomoedas e pela Blockchain

Durante a minha carreira na área de cibersegurança, tenho observado que, embora a tecnologia desempenhe um papel significativo na proteção das organizações, o elemento humano é igualmente crucial. Diz-se muitas vezes que os protocolos de segurança mais sofisticados podem ser afetados por um único clique de um funcionário desinformado ou descuidado. Por isso é que pretendo falar no "fator humano", frequentemente negligenciado, e fornecer recomendações para ajudar as empresas a reforçar este elo mais fraco da cadeia de cibersegurança.

:

O Atual Cenário de Ameaças

O panorama global da cibersegurança é complexo e está em constante mudança, com novas vulnerabilidades e ameaças a surgirem quase diariamente. Percorremos um longo caminho na implementação de Arquiteturas de Confiança Zero, implementando algoritmos avançados de inteligência artificial (IA), firewalls, sistemas de deteção de intrusão e muito mais para proteger as nossas organizações. No entanto, é surpreendente constatar que a maioria dos incidentes de segurança não são apenas o resultado de técnicas sofisticadas de hacking, mas são frequentemente ajudados por erro humano.

Os erros humanos, como cair em emails de phishing, práticas de palavras-passe fracas ou fugas acidentais de dados, podem tornar vulnerável a rede robusta de uma organização. Estes erros não se limitam apenas ao pessoal mais jovem; até os executivos são vítimas destes ataques. É evidente que ninguém está imune, o que torna os fatores humanos uma preocupação urgente para todas as organizações. Por exemplo, a recente violação da MGM Resorts foi o resultado de uma simples engenharia social. O agente da ameaça enganou o funcionário do serviço de assistência para que redefinisse uma palavra-passe sem informações suficientes.

O Custo da Negligência

Negligenciar o fator humano pode resultar em perdas financeiras consideráveis, prejudicar a reputação e perder a provocar a perda de confiança dos clientes. Por vezes, os danos são irreversíveis. Na sequência de um incidente, as organizações apercebem-se frequentemente de que poderiam ter evitado a violação se tivessem investido em medidas de segurança adequadas centradas no fator humano.

Estratégias para Reduzir Riscos de Origem Humana

Num mundo saturado de ciberameaças, concentrar-se apenas em soluções tecnológicas é o mesmo que construir uma fortaleza, mas deixar o portão desprotegido. De facto, Rupal Hollenbeck, Presidente da Check Point, diz muitas vezes que a cibersegurança tem realmente a ver com "pessoas, processos e tecnologia - por esta ordem". Ao aumentar a consciencialização e a compreensão do fator humano na cibersegurança, as organizações podem construir uma defesa mais robusta e abrangente contra as ciberameaças.

Como Country Manager da Check Point Software Technologies em Portugal, defendo a integração de estratégias centradas no ser humano na sua abordagem de cibersegurança. Não se esqueça de que a estratégia de segurança mais eficaz é aquela que tem em conta as vulnerabilidades das máquinas e dos seres humanos.

Ao longo do meu percurso, tenho visto os CISO a efetuarem determinadas alterações para reduzir este risco, entre elas:

- Ataques de Phishing: A arte do engano é a melhor ferramenta de um hacker. Os funcionários são frequentemente vítimas de emails ou mensagens que parecem genuínos, mas que são concebidos para recolher informações sensíveis ou instalar malware. A maioria das organizações mantém a sua defesa limitada ao correio eletrónico empresarial e ignora o maior vetor de ameaça em torno da Defesa contra Ameaças Móveis - proteger os funcionários de serem vítimas de um ataque de mensagens de texto ou smishing através de diferentes aplicações de mensagens ou do correio eletrónico pessoal executado no mesmo dispositivo móvel. De facto, o custo médio de uma violação de phishing é de 4,76 milhões de dólares. É evidente que este aspeto tem de ser um foco para uma melhor proteção.

- Formação Cibernética: A maioria das organizações efetua um exercício de phishing único para satisfazer as necessidades de conformidade e esquece que as ciberameaças estão em constante evolução. Os funcionários devem atualizar continuamente as suas defesas contra estas ameaças. Uma formação regular sobre "boa higiene" cibernética é muito importante para reduzir as hipóteses de um erro humano causar uma violação. A boa notícia é que existem muitas opções de formação - desde Escape Rooms virtuais a jogos de phishing e cursos avançados de cibersegurança.

- Gestão de Credenciais: Os líderes de segurança de todas as indústrias têm a difícil tarefa de garantir que os ativos digitais da sua organização estão protegidos. Um dos principais aspetos desta tarefa é a gestão de palavras-passe. Eis algumas das melhores práticas recomendadas.

  • Arquitetura de Confiança Zero: Adotar um modelo de confiança zero em que nenhum utilizador ou sistema é de confiança por defeito. Todos devem passar por verificação e autenticação, independentemente de sua localização em relação ao perímetro da rede.
  • Single Sign-On (SSO): Considere a implementação de soluções SSO para reduzir o número de palavras-passe que um funcionário tem de memorizar. No entanto, certifique-se de que a própria solução SSO é extremamente segura.
  • Autenticação multifator (MFA): A implementação da MFA acrescenta uma camada extra de segurança, normalmente envolvendo algo que o utilizador sabe (palavra-passe) e algo que o utilizador tem (um dispositivo móvel para receber um código único numa aplicação de autenticação ou mensagem de texto).
  • Auditorias periódicas: Realize auditorias regulares para garantir que as políticas de palavra-passe estão a ser seguidas. Muitos sistemas modernos permitem que os administradores vejam se os utilizadores estão a reutilizar as palavras-passe ou se não as alteram com frequência suficiente.
  • Políticas de bloqueio de contas: Implemente uma política de bloqueio de contas que bloqueie temporariamente as contas após um determinado número de tentativas de início de sessão falhadas. Isto pode impedir ataques de força bruta, mas deve ser equilibrado para não bloquear involuntariamente utilizadores legítimos.
  • Fim do prazo e alteração de senhas: Exigir regularmente que os utilizadores alterem as suas palavras-passe pode impedir que os atacantes obtenham acesso prolongado a uma conta. No entanto, esta medida tem de ser equilibrada, uma vez que alterações muito frequentes podem levar a más escolhas de palavras-passe.

Alterações ou melhorias não tecnológicas para reduzir o risco

Com base nos dados e inquéritos disponíveis no setor, os CISO e os CEO também tiram partido das seguintes soluções não tecnológicas para proteger as suas organizações:

- Implementar um sistema de controlo/gestão de alterações: Nunca é demais realçar a importância da implementação de um sistema de controlo de alterações com vários níveis de aprovação. Numa era de ameaças cibernéticas complexas, o elemento humano torna-se frequentemente uma vulnerabilidade. Um processo de aprovação a vários níveis permite-nos adicionar camadas de escrutínio, envolvendo várias funções, desde especialistas em tecnologia a executivos, reduzindo efetivamente os pontos únicos de falha. Esta abordagem minimiza os riscos associados a erros humanos e garante o alinhamento com as nossas estratégias de cibersegurança. Funciona como um sistema vital de controlo e equilíbrio, tornando a nossa ciberdefesa mais resistente e adaptável ao cenário de ameaças em evolução.

- Cultura de responsabilização:

  • Programas de recompensa: Implementar programas de recompensa pela comunicação de vulnerabilidades ou riscos potenciais;
  • Transparência: Manter um diálogo aberto sobre a importância da segurança.

- Gestão do risco do fornecedor:

  • Diligência prévia: Efetuar a devida diligência antes de integrar novos fornecedores. Certifique-se de que cumprem os padrões de segurança da sua organização;
  • Monitorização contínua: Faça uma auditoria regular à conformidade de segurança do fornecedor.

- Quadro jurídico:

  • Acordos de não-divulgação (NDAs): Obter contratos legais para proteger informações sensíveis;
  • Auditorias regulares: Assegurar a conformidade com as leis de proteção de dados e as normas da indústria.

- Plano de resposta a incidentes: No cenário em constante evolução das ameaças à cibersegurança, já não é uma questão de saber se um incidente de segurança vai acontecer, mas sim quando. Isto faz com que ter um Plano de Resposta a Incidentes (IRP) eficaz e uma Equipa de Alerta interna seja indispensável para qualquer organização que leve a sério a sua postura de cibersegurança.

Recente

Opinião

A opinião de... Filomena Oliveira

Quanto vale a tua vida?

Anterior

Opinião

A opinião de... Valdemar Vieira Dias

O que precisa ter uma pessoa que queira trabalhar com comunicação corporativa?

Artigos Recentes

: Platinaline

Transportes

Primeiro posto de carregamento de motas eléctricas inaugurado em Luanda

: Angop

Sociedade

Luanda tem mais de 18 mil passaportes a aguardar por levantamento

: Ampe Rogério/Lusa

Transportes

Taxistas prometem subida “irreversível” da tarifa nos próximos dias

:

Matérias Primas

Somiluana prevê produzir 15 mil quilates de diamantes por mês com inauguração de nova central

: Ampe Rogério/Lusa

Sociedade

Insegurança alimentar aguda afectou 1,3 milhões de angolanos em 2023 e pode piorar, aponta relatório

: Site do XXII GOVERNO - REPÚBLICA PORTUGUESA

Sociedade

Francisca Van-Duném viveu proclamação da independência angolana no país: “A seguir deitei-me na cama, dormi”

Permita anúncios no nosso site

×

Parece que está a utilizar um bloqueador de anúncios
Utilizamos a publicidade para podermos oferecer-lhe notícias diariamente.