Apesar de outubro, o mês da cibersegurança, estar a chegar ao fim, todos nós temos de pensar no tema durante todo o ano, seja a nível de navegação online pessoal, quer no local de trabalho, sobretudo nesta nova realidade de teletrabalho e ensino à distância imposta pela pandemia de COVID-19. O SAPO TEK teve oportunidade de falar com Bruno Fonseca, à procura de uma perspetiva e noções de cibersegurança de um ponto de vista do exterior de Portugal, mais concretamente da Ásia, onde está atualmente destacado.

O especialista na área de segurança, com mais de 20 anos de experiência, desempenha um papel executivo em Hong Kong como Corporate Chief Security Officer, sendo responsável pelo mercado asiático na Axa, um dos maiores grupos de seguradores a nível mundial. O seu trabalho é supervisionar áreas de Segurança da Informação, Segurança Física e Resiliência Operacional da empresa. Antes de Hong Kong, Bruno Fonseca desempenhou funções no Dubai, nos Emiratos Árabes, e anteriormente em Lisboa.

“Não existe grande diferença na forma como se aborda este tema de país para país, até porque a internet não tem fronteiras e por isso os riscos são os mesmos independentemente da localização geográfica”, refere o especialista, questionado sobre as diferenças de atuação nos mercados onde trabalhou. “É tão fácil para um hacker na China atacar uma empresa em Portugal, como é para um hacker português”, acrescentando que mais que a geografia, o mercado em que a empresa opera tem maior peso nas variações de estratégia de Segurança, porque os ativos a proteger também são diferentes.

tek bruno fonseca
Bruno Fonseca tem mais de 20 anos de experiência na área da cibersegurança e desempenha atualmente um papel executivo em Hong Kong como Corporate Chief Security Officer, sendo responsável pelo mercado asiático na Axa, um dos maiores grupos de seguradores a nível mundial. O seu trabalho é supervisionar áreas de Segurança da Informação, Segurança Física e Resiliência Operacional da empresa.

Mas será mais importante ter um departamento de Segurança, ou que as empresas tenham no fundo uma cultura de Cibersegurança? Para Bruno Fonseca, este tema deve ser basilar em qualquer estratégia de Segurança. “Não adianta o quão sofisticados são os sistemas de Segurança, se no final do dia os utilizadores cometerem erros básicos que coloquem a sua companhia em risco”.

Nesse sentido, é muito importante que exista um programa de formação adequado para todos os colaboradores da empresa, no intuito de mudar essa cultura e garantir que a Segurança seja sempre uma prioridade em tudo o que façam.

Bruno Fonseca salienta que existem atualmente muitos desafios que os profissionais da área de Cibersegurança enfrentam atualmente, “mas será talvez importante destacar o aumento da eficácia das organizações criminosas que começam a utilizar tecnologia de ponta como a inteligência artificial ou a análise de dados para melhorar os seus ataques e ultrapassar de forma mais eficaz os mecanismos de segurança que as empresas têm implementadas”.

Para o especialista trata-se do jogo do gato e do rato, mas que está desequilibrado a favor dos criminosos, “já que para terem sucesso basta aos hackers conseguir ultrapassar as defesas uma só vez, ao passo que as equipas de Segurança das empresas têm de conseguir evitar todos os ataques, sempre”.

Todo o cuidado é pouco

Relativamente a conselhos para o público em geral, os tipos de “ataques” mais frequentes são o Ransomware, diversos tipos de Phishing e Roubo de Identidade. Os conselhos que deixa acabam por ser os mesmos de sempre, que praticamente caem no senso comum, tais como não abrir anexos ou links recebidos de pessoas estranhas através de email ou redes sociais; evitar navegar em websites de origem duvidosa e não instalar software que não apresente confiança, como por exemplo, um download manager para um qualquer site de wallpapers; estar atento a indicadores de fraudes, tais como emails não endereçados pessoalmente, ameaças de encerramento de contas, assim como outros mensagens de carácter de urgência no destinatário.

Por outro lado, deverá manter os seus equipamentos sempre atualizados e com o software de segurança sempre ativo, tal como o Windows Defender para o Windows 10. Deverá ainda precaver-se e ter backups de toda a documentação importante. Sempre que possível deve ativar o segundo fator de autenticação em sites que o permitam. Não deve escrever as passwords em post-its ou partilhar com ninguém as mesmas.

“No fundo, é ter senso comum. Se parece bom demais é porque é. Não existe nenhum príncipe Nigeriano disposto a enviar-lhe metade da sua fortuna, nem ninguém lhe vai oferecer um iPhone se não participou em nenhum concurso”, remata o especialista.

Mas o que deve fazer uma vítima de um ciberataque? Para Bruno Fonseca tudo depende do ataque. No caso de Ransomware ou outro tipo de extorsão é muito importante que não pague. Certamente que vai ficar sem o dinheiro e não tem a garantia que os criminosos honrem a sua parte. No caso de pagar, certamente que os criminosos vão coloca-lo numa lista de “clientes frequentes”, porque se já pagou uma vez, tudo indica que voltará a pagar.

Por outro lado, se suspeitar que foi vítima de crime de roubo de identidade, deverá alterar imediatamente todas as palavras-passe de acesso aos equipamentos e websites. Considere contactar o seu banco para o cancelamento de cartões de débito e crédito, sempre que suspeite que os criminosos tiveram acesso a essa informação. “Deverá também entrar em contacto com o departamento de investigação criminal da Polícia Judiciaria da sua área de residência para reportar o crime”.

Olhando de fora nos últimos anos, Bruno Fonseca acredita que Portugal “não está muito mal” preparado para os ciberataques. “Já existe alguma cultura de segurança nas empresas e acima de tudo temos recursos humanos de muita qualidade, algo bem mais difícil de encontrar noutros países”. Explica, no entanto, que existe um caminho a percorrer. “Enquanto o Chief Security Officer já ocupa um lugar de executivo em muitas empresas lá fora, por cá muitas empresas só têm esta função ao nível de manager ou diretor, o que não lhes permite influenciar os quadros de direção da mesma maneira”.

Com a pandemia houve a urgência de migrar rapidamente para casa o teletrabalho e no que diz respeito a erros que colocaram em risco o seu negócio, Bruno Fonseca afirma que o mais frequente que viu no mercado em outras empresas foi a permissão de acesso direto à internet por parte dos colaboradores, sem passar pela VPN da empresa, ignorando diversos mecanismos de segurança. “Outro dos erros frequentes nessas empresas, foi o de permitir o acesso às respetivas redes sem VPN ou utilização de segundo fator de autenticação”, acrescenta.

Para Bruno Fonseca, as empresas Cloud Native, ou seja, que têm toda a sua infraestrutura na cloud, foram as que mais facilmente se adaptaram, “isto assumindo que os seus sistemas de Segurança estavam adequadamente preparados para a Cloud”.

E sobre o investimento que uma empresa deve fazer em cibersegurança, o especialista afirma que tudo depende da empresa, mas que um bom barómetro é a média de investimento das empresas na área de serviços financeiros, que anda na ordem dos 7% do orçamento total do TI para uma empresa com um programa de Segurança maduro. “Se a empresa tiver um nível de maturidade menor, terá de investir mais nos anos em que está a recuperar, podendo mesmo chegar aos 13-14% por ano durante essa fase de investimento”.