Por Pedro Araújo (*)

A Cibersegurança introduz-nos uma série de conceitos que podem parecer demasiado densos e complexos: desde malware, phishing, esquemas de roubo de dados ou identidades, a muitos outros. No entanto, é uma questão à qual devemos tomar especial atenção, ainda mais tendo em consideração que nos dias que correm os novos modelos de trabalho remoto podem ser vistos como algo que tanto poderá melhorar a nossa qualidade de vida (e trabalho), como para aumentar a nossa exposição ao cibercrime.

No Relatório Cibersegurança em Portugal, do Centro Nacional de Cibersegurança, conclui-se que em Portugal, ao longo de 2020, verificou-se um crescimento significativo do número de incidentes registados. O mesmo número ascendeu a 101%, quando comparado o primeiro semestre de 2020 com o período homólogo do ano anterior (CNCS, 2020c).

É, no entanto, de referir que existe uma preocupação acrescida entre os portugueses para com as compras online relativamente a outros países da Europa. Demonstram alguma reserva em relação à partilha de dados pessoais neste contexto - cerca de 54%, valor acima da média da UE (46%) (Eurobarómetro 499).

Além disso, em Portugal, os dados demonstram que há uma certa tendência para se evitar comprar online devido a preocupações com a segurança de pagamento (23%), valor também superior à média da UE (6%) (Eurostat, 2020a).

Existe ainda a falsa ideia generalizada de que a cibersegurança é uma preocupação exclusiva das empresas. Contudo, a cibersegurança deve ser uma preocupação de todos os cidadãos que usam a internet, quer estejam a fazer compras ou a navegar pelas redes sociais, em trabalho ou em lazer. De acordo com os valores da empresa de segurança informática Checkpoint, no final de abril de 2020, Portugal chegou a registar um pico de 200 mil tentativas de ataques informáticos numa única semana.

Segundo o Threat Report Portugal, publicado no site Segurança Informática, são vários os setores na mira dos piratas informáticos, sendo que o setor bancário lidera o ranking de maior número de ataques, seguido do retalho e o financeiro; no fim da tabela, encontramos os setores Tecnológico, Saúde e o Governo.

Olhando para esta informação, é fácil compreender que, para um utilizador regular da internet, a ameaça pode chegar através de qualquer interação banal da sua vida normal e que se, por um lado, devemos estar cientes dos riscos, por outro, devemos adotar comportamentos defensivos. Por exemplo, quando recebe um email, avalie se este vem efetivamente da entidade que lhe aparece no remetente (validando não só o nome, mas o endereço de-email de origem). Adicionalmente, valide se o conteúdo do e-mail tem informação fora do contexto que esperaria do remetente, ou mesmo se tem links para páginas da internet que não lhe são familiares.

Assim, o user awareness (consciência do utilizador) deve ser uma preocupação intrínseca a qualquer cibernauta. O risco de ataque cibernético ameaça todos os dispositivos ligados à internet e quem deles faz uso. Seja num contexto de trabalho, seja num contexto pessoal, devemos ter noção de que os nossos comportamentos podem afetar tanto a nossa vida pessoal como a nossa vida profissional, sendo que neste último caso, podem prejudicar a empresa em que trabalhamos como um todo.

Uma boa estratégia de cibersegurança abrange 4 vetores, e que, em conjunto, permitem minimizar todo um conjunto de riscos de cibersegurança. São eles: a arquitetura tecnológica, que vai procurar garantir que o que existe na organização a nível tecnológico é o necessário para minimizar potenciais quebras de segurança; a operação em si, mantém não só a componente tecnológica mas todo o ambiente de TI, envolvendo equipas internas, parceiros ou outsourcers; o compliance, que implica a definição e cumprimento de processos internos, o cumprimento com os standards de mercado e da indústria e boas práticas existentes; e, por fim, o awareness, que passa pelo consciencialização dos colaboradores da organização para a adoção de práticas e comportamentos defensivos face aos riscos de cibersegurança. Estes quatro vetores envolvem não só uma componente de TI, como os próprios colaboradores da organização ou mesmo parceiros, uma vez que as organizações serão tão mais produtivas ou resilientes a ataques de cibersegurança como os seus utilizadores.

Assim, seja numa perspetiva pessoal de cidadão ou enquanto membro de uma organização, deve haver uma interiorização dos riscos e cuidados a ter na utilização de tecnologias “conectadas” de forma segura. Devemos procurar assegurar comportamentos que visem o uso adequado do ciberespaço, traduzindo-os na criação de rotinas e ações para manter a “saúde” digital de um cidadão/colaborador de uma organização.

A melhor prática a adotar no que respeita à cibersegurança passa por um comportamento ZERO TRUST. Esta fórmula implica pôr em prática uma atitude de atenção acrescida, o que significa nunca confiar e sempre verificar a fonte, o emissor, o anexo, o link, o site, etc.

Em suma, a cibersegurança é um tema que ganhou um espaço permanente na ordem do dia, com o aumento dos ataques informáticos a cidadãos e organizações/empresas, com o intuito de criar disrupção, roubo de dados e acesso privilegiado a informação. Uma organização que tenha uma estratégia de cibersegurança bem definida aumentará as probabilidades de ser bem-sucedida na sua proteção contra cibercrime. Também uma estratégia de sucesso permitirá uma redução de riscos através de processos bem definidos e estruturados, mitigando antecipadamente potenciais impactos corporativos e financeiros através deste processo. É uma salvaguarda para a preservação da reputação e imagem da organização no mercado, aportando vantagens competitivas que potenciam o desempenho e produtividade empresarial, e uma maior conformidade do modelo de governo de segurança com as principais frameworks de referência para o setor.

(*) Modern Workplace & Security Services Area Leader da Unipartner