Artigo publicado no jornal Vida Económica a 11 de outubro de 2024
É inegável que o cibercrime é um dos maiores desafios das empresas e um dos seus maiores riscos.
Seja através de roubo de dados sensíveis, um shutdown do website, o desvio de e-mails confidenciais, um vírus que entra no sistema informático e o danifica. As empresas estão cada vez mais vulneráveis, e nenhum destes possíveis incidentes é insignificante seja qual for a dimensão ou atividade da empresa.
Mais do que pensar se algum dia iremos ver a nossa empresa a passar por isso, é sim importante saber o que fazer para reduzir o impacto de um evento deste tipo.
Somos um país de PME’s, um alvo fácil, mas não nos esqueçamos, que grande parte dos ataques informáticos ocorridos em Portugal afetaram a administração pública, hospitais e a banca. Assusta pensar que entidades que detém informação tão sensível sobre os cidadãos e empresas, são igualmente vulneráveis.
Mas este não é um artigo com vista ao fatalismo. Vivemos na era digital e da evolução acelerada da tecnologia, por isso, naturalmente, a tendência será a de piorar. Da mesma maneira que se desenvolvem tecnologias para potenciar negócios, minimizar riscos, facilitar a vida, também se desenvolvem tecnologias que têm o poder de roubar, deturpar, destruir, o que muitos levam anos a construir.
Senior Associate – FINEX Portugal
O cibercrime trouxe para cima da mesa muitas vulnerabilidades das empresas, que até aqui eram desconhecidas.
O impacto que um incidente pode ter numa empresa é de difícil quantificação e por isso é fundamental perceber o risco a que estamos expostos, seja pela falta de software de antivírus eficaz, a fraca ou inexistência segmentação de risco, permitindo que qualquer pessoa dentro de uma organização tenha acesso a informação sensível ou confidencial, passwords débeis e em muitos casos inexistentes (ainda existem muitas empresas sem fator múltiplo de autenticação em vigor, por exemplo), entre outros.
Cerca de 50% das intrusões em sistemas operativos, são fruto de erro humano e não de um particular talento criminoso. Os hackers estudam as empresas, os seus comportamentos, fragilidades e usam-nas a seu favor. Seja o colega da contabilidade que esta a trabalhar num café e deixa o computador aberto, ou a secretária de administração que tem as passwords escritas num post it, o erro humano é o mais difícil de mitigar. E, como não somos máquinas, cometeremos sempre erros, por muito robusta que seja a cibersegurança das nossas empresas. Por isso, a sensibilização constante, embora possa ser maçadora, é imprescindível!
Acredito que não seja estranho às exigências cada vez mais complexas na criação de passwords. É preciso uma dança incessante entre minúsculas e maiúsculas, números e caracteres especiais. Temos de mudar a password regularmente, garantindo que a memorizamos sem a expor ao olhar atento de alguém indevido.
Passwords robustas são a primeira linha de proteção, mas há muito mais que podemos fazer para aumentar segurança das nossas empresas.
Desde logo, ter uma equipa responsável pela segurança cibernética da organização, alguém que entenda de Tecnologias de Informação que possa ajudar a perceber os melhores sistemas informáticos a adquirir e as medidas de segurança a implementar, alguém que em caso de incidente seja eficiente na sua identificação e possa pôr em marcha o plano de resposta a incidentes (se não tem um, precisa!).
Criar restrições de acesso a downloads e wi-fis desconhecidos são pequenos passos que podem fazer a diferença, bem como limitar o acesso a informação da empresa apenas através de ligações seguras e autenticadas.
Não é possível falar de formas para mitigar risco e não falar da sua transferência.
Atualmente o mercado segurador disponibiliza soluções eficazes que pretendem ajudar as empresas a recuperar rapidamente de um incidente. Existe um vasto leque de coberturas que se ajusta às necessidades, maturidade, orçamento de cada empresa e que garante por exemplo as perdas financeiras decorrentes de uma interrupção de negocio, custos de defesa em caso de ter sido alvo de uma reclamação, a possibilidade de aceder a uma rede de especialistas que num primeiro momento oriente a organização sobre o que fazer, a quem notificar, como quantificar os danos, entre outras perguntas que surgem nestas alturas e para as quais nem sempre estamos preparados.
Não existe risco zero, em nenhuma atividade, mas é possível as empresas se prepararem melhor para o pior cenário.
