Relevância da CyberSegurança para as pequenas e médias empresas (PME) e profissionais individuais (2017)

Relevância da CyberSegurança para as pequenas e médias empresas (PME) e profissionais individuais

José Maria Pedro (CISA, CGEIT, CC)

Publicado na Revista OCC nº 203 (fevereiro de 2017)

A relevância da Cybersegurança para as pequenas e médias empresas e profissionais individuais é muito significativa porque os profissionais de contabilidade estão ligados eletronicamente aos seus clientes e lidam com informação confidencial. As pequenas e médias empresas (PME) e os profissionais individuais estão na rota dos interesses dos hackers, eles sabem onde podem passar despercebidos e também sabem que a corda parte sempre pelo elo mais fraco. A prevenção e a vigilância são as palavras mágicas neste momento.

Boas notícias para as pequenas e médias empresas (PME)

A motivação para entrar no comércio eletrónico vem em primeiro lugar do número potencial de clientes existentes no mundo e do facto de não existirem “fronteiras” neste mercado. Há neste momento cerca de 7,4 biliões de pessoas no mundo[i] que poderão estar interessados nos produtos ou serviços disponibilizados.

O número de equipamentos ligados à internet é extremamente elevado neste momento e está a crescer a um ritmo de 30% ao ano, prevendo-se que no ano 2020 sejam 20,8 biliões, segundo a previsão do Gartner Group[ii], uma instituição de consultoria ligada às tecnologias de informação.

Segundo o Eurostat[iii] 67 % dos indivíduos com idade entre 16-74 anos na UE usaram a internet quase diariamente em 2015, com proporções mais elevadas no Luxemburgo (92 %), Dinamarca (87 %), Holanda e Finlândia (ambos com 85 %). Cerca de dois terços dos utilizadores da internet fizeram compras on-line nos doze meses anteriores ao inquérito do Eurostat. Em termo gerais, a parte dos compradores da internet está a crescer, com destaque para os grupos etários e entre 16-24 e 25-54 anos, embora 16 % da população da UE nunca tenha usado internet.

Os tipos de bens e serviços mais comprados pela internet na UE foi as roupas e artigos de desporto (60 % dos e-compradores), seguidos pelo alojamento e viagens (52 %). Em termos de frequência, a proporção mais alta de compradores na internet fez compras uma ou das vezes nos três meses anteriores ao inquérito (39 %). Quanto ao montante gasto, a maior parte dos compradores (40 %) comprou bens ou serviços de valor total entre €100-499.

O mundo transformou-se numa pequena aldeia. Hoje, se um indivíduo comprar um relógio através da internet num site disponibilizado por algum vendedor, os sistemas de informação trocam e gravam dados de forma automática entre si, em segundos. O sistema de faturação, a tesouraria, os stocks do vendedor, a conta bancária do comprador e a do vendedor, e se o sistema de stocks do vendedor estiver ligado de forma automática ao do produtor, este fica a conhecer a transação efetuada e poderá assim prosseguir a produção de modo a repor o stock no vendedor sem necessidade de trabalho administrativo. A atualização de dados é feita em tempo-real, isto é, em cima do momento da transação.

Esta transformação digital global que reduz distâncias e tempos de ação é uma consequência da dinâmica das empresas. Ninguém pode dizer a um cliente do Cyberespaço que espere cinco minutos até verificar se há stock suficiente para vender, se o fizer perde o cliente com toda a certeza. Neste sentido, a eficiência dos sites mede-se pelo número de clicks necessários para efetuar a compra e pelo tempo de resposta dos sistemas associados. Quando o site fica lento ou quando são necessários vários clicks em botões pouco visíveis, o comprador abandona a página e passa a outro fornecedor. Assim, os sistemas de informação das empresas que queiram interagir com o mundo através da internet têm de evoluir para sistemas de informação integrados. O sistema de faturação, a tesouraria, os stocks, a conta bancária têm de estar interligados sem barreiras para poderem atuar de forma automática.

Que perigos existem na Cyberfloresta?

O que é que passa no Cyberespaço em termos de segurança? Que perigos podemos ter de enfrentar quando colocamos os nossos servidores e redes acessíveis à internet? Há por aí muitas notícias sobre incidentes, mas a realidade pode ser diferente, nenhuma empresa gosta de ser exposta por ter tido problemas com a internet ou por ter criado problemas aos seus clientes. Por isso, os dados que circulam na Internet sobre incidentes podem estar inconsistentes com a realidade. Os dados que apresentamos neste artigo são os mais credíveis que conseguimos, use-os com alguma prudência para prevenir.

Relativamente aos perigos, ficam aqui referenciados alguns mais problemáticos e com significado económico tanto para as empresas como para os profissionais individuais ligados à auditoria e contabilidade porque trabalham com dados confidenciais das empresas e porque têm o dever de os manter fora do alcance dos “piratas”.

Um dos grandes perigos é designado por “Botnet” ou “Zombie Army”, uma rede de mercado negro que pode colocar os nossos servidores a cometer crimes sem nós sabermos que isso está a acontecer. Recentemente, foi identificada uma destas redes que serviu para ataques de colheita ilegal de users e passwords (phishing) e para divulgação de pelo mesmos 17 tipos de software malicioso (malware) destinado a prejudicar terceiros. Os agentes da autoridade perseguiram e tomaram controlo de mais de 800 000 domínios internet usados por uma rede deste tipo designada "Avalanche" que esteve em operação pelo menos desde 2009 até 2016. A operação envolveu várias prisões e buscas em cinco países, segundo referiu o FBI do Departamento de Justiça dos EUA. Mais de 50 servidores espalhados pelo mundo foram desligados por imposição legal[iv]. Só um excelente conhecimento sobre administração de sistemas pode prevenir esta situação, é por isso um grande problema para pequenas empresas que não podem recrutar recursos qualificados nesta área.

Outro perigo é o roubo de identidade com ou sem user e password associada através de “phishing” ou de engenharia social (nome que se dá à habilidade de obter dados através de pessoas de forma ilegal). A entrada nos servidores faz-se através de user/password, os criminosos precisam de identificação de acesso para poderem executar as operações de reconfiguração ou de colocação de software para uso posterior. Este perigo só é mitigado através de formação e treino do pessoal sobre segurança na utilização de computadores.

O roubo de endereço eletrónico (e-mail), tal como o user e password, também é muito usado, há casos em que as vítimas são escolhidas de forma cirúrgica devido às funções que desempenham nas empresas de modo a adquirir acesso aos sistemas onde está credenciado por causa das suas funções. Para enviar mensagens falsas ou perniciosas é necessário possuir um endereço de correio para envio e um ou vários como destinatários. O “phishing” de que já falámos é direcionado para endereços reais. O resultado da “pescaria” depende da qualidade literária de conteúdo e o aspeto psicológico dos argumentos invocados para pedir o user, a password, a conta bancária, o número do cartão de crédito ou outro dado qualquer que interesse para extorquir ou roubar dinheiro. Não pense que só cai quem é estúpido, há casos reais ou de experiências em organizações com empregados de educação superior que “caíram na esparrela” de enviar dados que nunca deveriam ter enviado! O pedido pode vir de uma pessoa que conhecemos associado a um caso que esteja em curso se o criminoso já possuir o user/password para fazer o trabalho de casa a espiar a sua vítima. Recentemente, a Via Verde alertou para o envio de emails fraudulentos aos utilizadores das autoestradas, em nome da Autoridade Tributária (AT), a solicitar a regularização de dívidas de portagens[v]. Também este perigo pode ser mitigado através de formação e treino do pessoal sobre segurança na utilização de computadores.

Extorsão com recurso a criptografia é também uma prática muito atual conhecida como “ransomware”. O hacker entra no nosso computador que pode ser um servidor de rede ou pessoal, encripta os dados e o software de todos os discos onde puder chegar através dos privilégios de acesso que tiver. Depois envia uma mensagem a pedir dinheiro em troca da chave de desencriptação. Este perigo exige que as empresas disponham de um backup isolado fora do sistema com os seus dados e software. Se tiver esse backup atualizado pode formatar os seus discos afetados e repor os dados e o software para continuar a funcionar sem pagar aos piratas. Terá naturalmente de ter atenção que se a rede foi atacada é porque a sua segurança é deficiente. Neste caso deve informar as autoridades e contratar serviços profissionais de segurança informática para o ajudarem a reinstalar os sistemas, o software e os dados com regras de segurança de modo a evitar a repetição do ataque.

Não pense que isso acontece só aos outros, cuide da segurança da empresa onde trabalha, se ela for roubada o seu emprego pode estar em risco! Recentemente, houve um ataque de hackers ao Sistema de transportes de San Francisco’s nos EUA que resultou no bloqueio das máquinas de bilhetes. Pelo que se sabe os hackers entraram no sistema num domingo e fizeram aparecer a mensagem “Foram atacados por ackers. Todos os dados estão encriptados” nos ecrãs das máquinas de bilhetes no sábado de manhã. A empresa parou imediatamente o sistema de pagamento, abrindo as portas aos passageiros. O funcionamento do Sistema de Pagamentos foi recuperado no domingo de manhã, a empresa não informou se pagou aos atacantes para obter a chave de desencriptação[vi]. Admite-se que o tenha feito, pois se não dispõe de segurança eficaz, também não terá backup independente nem know-how profissional suficiente para levantar os sistemas num dia.

Também ainda este ano um hospital do Sul da Califórnia teve os seus computadores bloqueados por “ransomeware” por mais de uma semana, até que o hospital pagou 17000 dólares em “Bitcoins”, as unidades monetárias de eleição do Cyberespaço, pela chave de desencriptação dos seus dados e software[vii].

A lavagem de dinheiro é outro problema atual. Imagine que a sua empresa faz troca automática de dados com um cliente e este em vez de pagar 100 euros transferiu 1000 e lhe envia uma mensagem ou faz um telefonema a pedir para devolver o excedente para uma conta bancária qualquer em offshore. Acontece com frequência na compra de alojamento, os “clientes” contam uma história de que o patrão lhes vai pagar o alojamento e as férias com um único cheque. Pedem o enorme favor de aceitar o cheque e lhe devolver o excedente para uma conta bancária antes da viagem, com urgência (!) para não ter tempo de verificar que o cheque é falso. Outro caso comum é alguém pretender comprar um imóvel que está à venda na internet, mas como vai receber do pai uma soma elevada para iniciar a construção ou porque o Estado lhe vai pagar uma indemnização elevada, dava imenso jeito se pudesse aceitar um pagamento duplo do valor do imóvel e lhe transferisse o remanescente para uma conta. Fique atento! Todo o cuidado é pouco para se proteger contra esta engenharia social feita através de comércio eletrónico.

Distribuição involuntária de software malicioso (malware) para infeção de outros computadores a partir de um servidor ou computador pessoal controlado pelos criminosos é uma prática muito usada. Note-se que este software malicioso pode estar direcionado a uma operação específica de infeção destinada a interferir em transações com significado financeiro ou a tomar posse de um determinado servidor, escondendo o rasto de quem pratica o ato criminoso. A necessidade de um bom software de proteção contra “malware” é evidente e não deve ser negligenciada, uma vez que a empresa pode vir a ser acusada de envolvimento em atos criminosos aos quais é alheia.

A espionagem através do uso da câmara ou do som do computador pessoal é usada também em empresas e em indivíduos. Uma vez instalado software malicioso no computador e obtido acesso com user e password com poderes de administração nesse mesmo computador, tudo é possível. Isto é, torna-se possível controlar os seus componentes, quer seja o disco, a câmara, o som, etc. Os dados e a imagem são um fim habitual neste tipo de ataques efetuados a partir de um terceiro computador. Mais uma vez, é indispensável dispor de software anti-malware que previna, detete e mostre novos utilizadores no sistema ou novas funcionalidades em execução.

O comprometimento de dados por roubo, destruição, alteração ou cópia é uma prática corrente. Havendo acesso aos servidores ou computadores pessoais por parte dos hackers criminosos, os dados ficam expostos ao mercado negro. Podem existir muitas razões que levem ao interesse pelos dados, desde criar dificuldades a um concorrente, copiar os dados de um concurso para obter vantagem, alteração de dados de registo de património, de salário, de benefícios, etc. A proteção contra a intrusão e comprometimento de dados depende da qualidade dos controlos de acesso aos sistemas e às aplicações. A boa gestão de privilégios de acesso faz-se com cooperação interna na empresa e verificação de controlo periódica. É essencial ter uma boa articulação entre os serviços de pessoal e a informática para que os privilégios sejam ajustados imediatamente após as alterações de situação do pessoal.

Segundo o “2016 Trustwave Global Security Report”, os dados estão no centro das atenções dos criminosos, sendo mais procurados os relacionados com cartões de crédito e transações comerciais:

• Cartão de crédito (31%)
• Dados de E-Commerce (29%)
• Propriedade (11%)
• Destruição de dados, ações não específicas (10%)
• Credenciais financeiras (7%)
• Informação de identificação pessoal (4%)
• Outra (8%)

Ainda segundo o mesmo documento, as estatísticas quanto ao método usado pelos hackers aconselham a prevenção através da criação de barreiras de segurança em torno dos dados por serem o alvo preferencial dos piratas da Internet. Com efeito, de acordo com o “2016 Trustwave Global Security Report” os métodos mais usados estão relacionados com acessos indevidos, envio de comandos e software por todas as vias possíveis:

• Acesso remoto a computadores com credenciais roubadas para o efeito (17%);
• Injection que consiste na adição de comandos de base de dados na linha de endereços juntamente com o site pretendido, isto é, “www…. + comandos de SQL” para atualizar, selecionar, apagar ou alterar registo em base de dados (13%);
• Reconfiguração de barreiras de segurança dos sistemas após acesso (12%);
• Colocação de ficheiros com software de pirata em locais abrigados da vigilância dos administradores de sistemas ou em substituição de outros (12%);
• Colheita de credenciais através de eMail com software malicioso “Phishing” ou engenharia social junto dos possuidores das credenciais necessárias (10%);
• Intervenção maliciosa interna feita por trabalhadores descontentes com a gestão ou despedidos, mas ainda com acesso aos sistemas (8%);
• Injeção de peças de código para execução posterior em ações de ataque (7%);
• Servidor operacional de aplicações utilizadas na empresa, após obtenção das credencias de acesso necessárias (7%);
• Passwords fáceis de descobrir ou não alteradas com frequência. Existem listas na internet com as passwords mais usadas que mostram a falta de cuidado com que as pessoas criam as suas passwords (7%);
• Outros fatores (7%).

A experiência e análise efetuada aconselham a utilização de barreiras de segurança sucessivas centradas nos dados. Nenhuma solução é totalmente segura, a prevenção e a vigilância são as regras de ouro para sobreviver no Cyberespaço.

Como podem as pequenas empresas sobreviver no Cyberespaço?

Os riscos são muitos e difíceis de mitigar, no entanto existem caminhos disponíveis para atenuar ou prevenir as consequências através da utilização sistemática e profissional de iniciativas de segurança informática. A necessidade de dispor de sistemas de informação integrados de que falámos antes e os riscos de segurança estão a empurrar as empresas para grandes centros de dados. Para as pequenas organizações, com meios de financiamento reduzidos, é aconselhável alugar capacidade de processamento, software e espaço em disco num datacenter capaz de garantir as condições de segurança ideais. Há neste momento uma guerra planetária entre as grandes empresas deste ramo como a amazon, a google e outras semelhantes que disputam o mercado mundial dos datacenters.

Por vezes parece que estamos a regressar às fortalezas medievais construídas em zonas elevadas protegidas com muros intransponíveis resistentes a intrusos. A dimensão e a capacidade financeira destes grandes datacenters permite-lhes contratar recursos de qualidade e mante-los em ação. Os recursos humanos qualificados são a maior vantagem destas grandes empresas relativamente às PME e PI que nunca poderão dispor das mesmas condições de segurança por falta de know-how tecnológico e de meios financeiros para o adquirir.

As necessidades de informação para o funcionamento do negócio derivam da estrutura dos processos de negócio, assumindo-se que a continuidade de funcionamento é indispensável e que a recuperação de desastres informáticos deve estar bem ensaiada. O ambiente onde as empresas atuam nos dias que correm mostra que há novos fatores a considerar na avaliação de controlo interno, mesmo para além do mais recente referencial do COSO[viii]. A sobrevivência das organizações no CyberEspaço obriga a um conjunto de cuidados amplamente divulgados em standards técnicos, que apresentamos a seguir de forma sintética para exemplificar:

• dados são o ponto central das preocupações e constituem o foco de onde se devem criar os anéis de segurança adequados. Como já vimos anteriormente, os piratas de Internet estão especialmente orientados para dados de cartões de crédito e de transações que lhes possam trazer vantagens imediatas. A segurança exige que se classifiquem os dados segundo a sua criticidade para o negócio e para os clientes. É indispensável um backup dos dados e do software com a frequência adequada (um dia, uma semana, um mês?). Esse backup deve ser armazenado numa instalação segura e acessível. Por razões que se prendem com os últimos ataques de “ransomeware” que encriptam os dados e pedem dinheiro em troca da chave de desencriptação, convém ter um segundo backup completamente desligado da rede onde os piratas não possam chegar. Assim se houver ataque podemos repor o software e os dados encriptados sem pagar aos criminosos;

• O hardware serve para depositar os dados, em disco ou em qualquer outro tipo de memória, por isso é necessário haver cuidados de controlo sobre ele. Tenha em atenção que os componentes de hardware usados para transportar dados são comandados por software. Quer esteja nas instalações da empresa ou na nuvem, o hardware deve ser sujeito a controlo estreito por parte da empresa, quer seja direto ou por via legal se for subcontratado. A opção mais resistente do ponto de vista da segurança é o aluguer de hardware e capacidade de processamento em datacenters convenientemente protegidos e certificados;

• Os sistemas, nome que abreviadamente se dá ao software sobre o qual se instalam as aplicações, inclui os sistemas operativos, os sistemas de gestão de bases de dados e outro software de base. São de destacar os cuidados a ter com a configuração adequada para suportar o software aplicacional da empresa, a gestão de atualizações (patch) semelhantes àquela que o Windows faz frequentemente e os registos de operações realizadas nos sistemas (log) que permitem fazer a monitorização ou verificação de causas de incidentes no sistema;

• As aplicações que se instalam nos sistemas são uma grande preocupação a ter em conta, porque segundo as estatísticas recentes apenas 3% deste software está livre de vulnerabilidades e é capaz de resistir a ataques de pirataria. Uma vez que são as aplicações que recebem, guardam e disponibilizam os dados esta insegurança é um risco tremendo para as empresas. Todo o software que entra em contacto com dados da empresa constitui um risco, especialmente as aplicações que instalamos e desinstalamos nos nossos telemóveis. Quase todas as aplicações pedem permissão para ver dados, fotos, contactos, lista telefónica antes da instalação, mas nem sempre esses dados são necessários. Nós disponibilizamos os nossos dados e os da empresa com quem trabalhamos de uma forma muito arriscada a quem os quiser, por vezes para aplicações que nem conhecemos. Naturalmente que ao ligar o nosso telefone móvel à rede informática da empresa para obter eMail ou ficheiros, as suas fragilidades afetam a segurança da rede da empresa. Esta situação é particularmente preocupante quando a empresa nos disponibiliza dados confidenciais como contratos contabilidade, tesouraria, RH, etc.

• Os utilizadores e os seus direitos de acesso a software e aplicações são uma das primeiras preocupações de segurança. É necessário formar e sensibilizar todos os colaboradores da empresa para a importância do seu user/password. A gestão de utilizadores deve estar intimamente ligada à gestão de recursos humanos para que quaisquer movimentos de recursos sejam imediatamente refletidos nos sistemas. É muito frequente haver privilégios de acesso que permanecem ativos nos sistemas depois das pessoas mudarem de função ou saírem da empresa. Uma boa prática de prevenção consiste na autenticação dupla, pois além do user/password o sistema pede-nos um outro código disponibilizado por SMS ou por outro meio previamente definido. O treino dos utilizadores é a forma mais segura de proteger a infraestrutura de uma empresa, por vezes as pessoas colocam em risco a segurança informática por pura ignorância relativamente às consequências dos seus atos.

• A Gestão de Risco é outro aspeto de importância vital para a empresa. Dada a existência de tantos perigos, tem de haver alguém que centralize a informação relativa a ameaças (threat intelligence), intrusões na rede ou quaisquer incidentes que ocorram. A comunicação é essencial para a sobrevivência da empresa no CyberEspaço. É necessário identificar, avaliar e reduzir continuamente os riscos de TIC relacionados com o negócio, mantendo-os dentro dos níveis de tolerância estabelecidos pela gestão executiva da empresa.

• As redes contêm as portas de entrada nos servidores e computadores pessoais da empresa. Evoluem com as necessidades da empresa, tornando-se por vezes numa manta de retalhos que funciona sem haver conhecimento suficiente sobre as configurações existentes. Os equipamentos de routing onde são configurados os canais de comunicação de rede, a gestão de endereços de IP atribuídos a todos os equipamentos que se ligam à rede, os acessos WEB diretos ou indiretos e a configuração de Firewall onde se bloqueiam acessos, são aspetos da maior importância frequentemente negligenciados. Trata-se de um tema onde existem poucos profissionais disponíveis no mercado, é necessário contratar know-how em redes que elimine estas lacunas. Há sempre mais portas abertas do que aquelas que conhecemos numa rede informática, por isso faça ou mande fazer o seguinte quanto antes:

Inventarie e avalie os equipamentos existentes face às necessidades de negócio e infraestrutura.

Valide e documente as configurações dos equipamentos de comunicação de rede (rotas, vlans, trunks e uplinks) ou serviços (DHCP, DNS, VPN, Firewall, Routers e Switchs).

Valide e documente as políticas de backup de configurações existentes.

Valide e documente a gestão de qualidade de serviço (QoS), portas e protocolos garantindo a documentação da configuração e da segurança de portas nos equipamentos bem como os protocolos de comunicação utilizados.

Verifique e documente os contratos de suporte existentes ou inexistentes dos respetivos equipamentos.

• A definição clara de políticas de segurança a seguir no que diz respeito a tecnologias de informação e comunicação é também um aspeto de grande importância porque alinha as pessoas com o que é importante proteger e responsabiliza quem amplia o risco. Por exemplo, a existência da política de que os telemóveis não entram na sala quando há reuniões confidenciais pode prevenir fugas de informação.

• A gestão de TIC surge também como uma área essencial neste contexto. Com efeito, perante tantos riscos as empresas têm de contratar profissionais competentes para a gerir todos os problemas que emergem desta área que é transversal a toda a empresa.

• Por último, é necessário garantir a conformidade com Leis e Regulamentos aplicáveis. Citamos o caso do REGULAMENTO (UE) 2016/679 DO PARLAMENTO EUROPEU E DO CONSELHO de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados e que revoga a Diretiva 95/46/CE (Regulamento Geral sobre a Proteção de Dados). A leitura sugere a urgência de iniciativas de segurança, por exemplo a ISO27000 para assegurar os cuidados que é preciso ter relativamente à proteção de dados pessoais para prevenir eventuais coimas associadas a este Regulamento Comunitário de aplicação a partir de 25 de maio de 2018 (4% do volume de negócios ou 20 000 000 de euros).

Assim, podemos dizer que a Cybersegurança é muito relevante para as pequenas e médias empresas e também para os profissionais de contabilidade porque processam dados de outras empresas e de outros profissionais. Trata-se de um desafio permanente que pode ser vencido com:

• Consciência da gestão de topo para o problema da Cybersegurança;
• Gestão profissional de Tecnologias de Informação e Comunicação;
• Gestão de risco a funcionar e afinada;
• Novo referencial de controlo interno que inclua os riscos do Cyberespaço;
• Definição e aplicação de políticas de segurança de Tecnologias de Informação e Comunicação (TIC) centradas na proteção de dados e em standards aceites globalmente.

Existem várias dezenas de standards técnicos que evoluem a cada ano que passa para acompanhar a inovação tecnológica. Alguns desses standards são aceites generalizadamente e de forma universal como boas práticas por responderem às necessidades reconhecidas por todos.

Sugerimos o seguinte percurso para desenvolvimento e aplicação das políticas de segurança necessárias a quem está no Cyberespaço, isto é, quem tem comunicação eletrónica de dados entre pessoas da empresa, clientes ou fornecedores, independentemente da dimensão:

• 1º Passo: comece por aplicar a “ISO 27001 Information Security Management System” porque é um standard abrangente e fácil de compreender. Não caia na ilusão do processo, foque a sua equipa na substância porque o que é realmente importante é a segurança. Depois de a empresa estar familiarizada com os controlos deste standard contrate serviços especializados de certificação e mantenha como objetivo permanente a melhoria do nível de maturidade do controlo interno. Como esta ISO abrange toda a informação da empresa e não apenas as tecnologias de informação, precisa de envolver a gestão de topo logo no início;

• 2º passo: enquadre as iniciativas de segurança no standard “NIST Framework for Improving Critical Infrastructure Cybersecurity” porque foi pensado para responder aos problemas do Cyberespaço,é centrado nos ativos da empresa (os dados e faz apelo a um conjunto de outros referenciais técnicos aceites generalizadamente;

• 3º passo: prepare a empresa para o pior com o “ISO 22301 Business Continuity Management” porque minimiza o impacto de incidentes disruptivos e ajuda a recuperar no caso de haver alguma desgraça grande em consequência de um ataque ou acidente que ponha os sistemas KO;

• 4º passo: verifique periodicamente se a sua empresa está alinhada com o “ISO 31000 Risk Management Principles and Guidelines” porque ajuda a gestão relativamente a riscos e ameaças que evoluem constantemente;

• 5º passo: mantenha a gestão das tecnologias de informação da empresa alinhada com os princípios do “COBIT5 – Control Objectives for Information Technology” porque é um standard dedicado à gestão de tecnologias de informação, construído em torno de uma estrutura clara de cinco domínios e vários processos onde a estratégia da empresa determina as necessidades de informação, subordinando as tecnologias de informação ao negócio e não o contrário;

Finalmente, avalie a maturidade das suas políticas de segurança através do standard CMMI que propõe 6 níveis de maturidade de controlo (0 a 5), onde zero significa que “não sabe nada sobre o controlo e tem raiva a quem sabe” e cinco significa que o controlo “está ativo e em otimização periódica”. No fim do processo pode tranquilizar os seus clientes e fornecedores dizendo que a segurança global da empresa é positiva porque está em 3, 4 ou 5.

A aplicação das boas práticas internacionais na criação da política de segurança da empresa permite-lhe construir uma fortaleza em torno dos dados. Não facilite! As estatísticas mostram uma imagem da média das empresas muito desfavorável e pior ainda quando se fala de pequenas e médias empresas. Em 2015, apenas cerca de uma em cada três empresas tinha política de segurança de TIC na EU-28 e a situação nas pequenas empresas era três vezes pior do que nas restantes.

Esta situação dramática é agravada pelo facto de as aplicações informáticas em execução não terem sido validadas para efeitos de segurança. Segundo o relatório da empresa Trustware de 2015, 97% das aplicações analisadas tinham vulnerabilidades, sendo 14 a média de vulnerabilidades existentes em cada aplicação, designadamente na gestão de sessão, possibilidade de fuga de informação e de código transversal. Concluindo-se ainda que 10% das vulnerabilidades eram críticas ou de alto risco.

• Seguinte >