PT | EN
This site

Quando trancas na porta não chegam… E é preciso correr para evitar o ciberataque

Quinta, 23 Julho 2015 08:59

Numa altura em que a cibersegurança se agiganta entre as preocupações diárias do Estado e do tecido empresarial português, o OJE quis “sentir o pulso” a esta evolução e, para tal, ouviu players fundamentais do trilho da transformação digital que se impõe. http://bit.ly/1HL9pAZ

Quando um perímetro de segurança não chega
Ana Castro, business development & consulting director da Gfi e Ricardo Pinto, partnership manager Gfi & Watchful Software, também aceitaram refletir sobre as atuais linhas mestras deste assunto com o OJE. Para os especialistas, com a transformação digital, a quantidade de informação a circular diariamente nas empresas e organismos públicos cresceu exponencialmente. Logo, “o controlo de toda esta informação, anteriormente efetuado sobre documentos físicos, é atualmente gerido em formato eletrónico, sendo difícil garantir que informação sensível não é visualizada por perfis sem acesso ou que esses mesmos dados não são guardados em locais acessíveis fora da organização (cloud, email ou discos externos)”, afirmam.

Por outro lado, o cibercrime tem levado ao crescimento diário do número de casos de roubo e de divulgação de informação confidencial, sendo elevado o número em que as próprias empresas não têm a capacidade de detetar as invasões de privacidade. “Atualmente, a propriedade intelectual de uma empresa e as informações confidenciais sobre o seu negócio (listas de clientes, dados financeiros, entre outros) são fulcrais, sendo o mercado altamente competitivo e a espionagem industrial galopante”, frisamos especialistas, sem deixar de sublinhar que “durante anos as empresas preocuparam-se em construir um perímetro de segurança (com firewalls, IDS, VPN), contudo, atualmente, a informação circula com as pessoas, de dentro para fora da organização, intencionalmente ou por descuido, sendo essencial assegurar que os próprios profissionais acedem apenas à informação a que devem aceder e no momento em que devem fazê-lo”. E na perspetiva destes especialistas não exustem dúvidas que de as empresas “ainda não” estão suficientemente sensibilizadas para que a cibersegurança impere na definição da estratégia das TIC e na implementação da boa governação.

“A nossa experiência, proveniente do contacto com dezenas de empresas e organismos públicos dos mais diversos setores e com distintos graus de maturidade, indica que há uma baixa percentagem de empresas que já colocou em prática uma política de segurança da informação ou uma definição clara sobre esta temática na sua estratégia. Em Portugal, é essencial que as empresas adotem as melhores práticas ao nível da segurança da informação, pois ajudam a colocar em prática controlos apropriados para redução do risco. Há um longo e urgente caminho a percorrer, quer no eixo da Governação (primeiro passo), quer na catalogação e classificação da informação. As empresas necessitam investir na implementação de uma solução que permita encriptar a informação sensível (Data-Centric Security), de modo a que ela só esteja disponível a quem tenha as credenciais atribuídas pela governação da própria entidade, no correto momento temporal”.

Sobre os ambientes de mobilidade, ambos consideram que a necessidade dos colaboradores acederem à informação que reside dentro do perímetro da organização obriga a que sejam criados canais de acesso de fora para dentro do perímetro de segurança. “Embora tenha sido generalizada a utilização de VPNs para este tipo de acessos, como a sua utilização tem custos significativos para a organização e não é, por norma, acessível a todos os colaboradores, estes encontram outras maneiras de contornar a situação, disponibilizando documentos internos via Wetransfer, Dropbox, Google Drive, OneDrive, entre outros. Este tipo de workarounds tem naturalmente impacto na dispersão de informação corporativa, com graus de criticidade variáveis, deixando-a ainda mais vulnerável”, concluem.

Atualmente, em Portugal, a pirataria informática e o cibercrime atingem níveis preocupantes? Em matéria de reputação e gestão de crise, como está preparado o tecido empresarial?
“Desde a ameaça constante de fuga de informação do perímetro de segurança (devido à ação voluntária ou involuntária de insiders ou de ciberataques do exterior), a Denials of service por intrusão, a hacking da rede interna das empresas e dos respetivos equipamentos que nela comunicam, são múltiplas as atuais preocupações de segurança. Dada a crescente dependência do tecido empresarial da infraestrutura de IT, qualquer quebra ou perturbação de serviço traz impactos significativos. Mais ainda, no caso de empresas que produzem para terceiros e que assinam acordos de confidencialidade (NDAs), o risco de fuga de informação sensível pode trazer consequências de tal forma graves que podem levar ao encerramento, potenciando sinais de quebra de confiança que são propagados no mercado. Em indústrias como a dos componentes automóveis, começam a ser comuns auditorias prévias aos sistemas de informação, de modo a confirmar quais os mecanismos de controlo sobre a circulação da informação considerada confidencial. O compliance com políticas de regulação como o PCI/DSS, HIPAA ou SOX (Sarbane Oxley) potencia as penalizações legais em caso de quebra ou disrupção, ou seja, além de ter impacto na competitividade da organização (sendo a informação corporativa disponibilizada a terceiros), as consequências legais podem inviabilizar a continuidade do negócio”.

Semanário Oje, 23 de julho de 2015 [ler artigo completo]

 
-->

Últimos Vídeos

A carregar

Últimas Fotos

www.flickr.com