PT EN   
 

Segurança Eletrónica

Segurança da informação nas empresas

Qualquer empresa, independentemente da sua dimensão, trata informação sensível e confidencial, que pode ser relativa a dados pessoais de colaboradores, clientes ou fornecedores ou até mesmo a um serviço prestado ou produto em desenvolvimento.

A segurança da informação é um tema amplamente discutido na atualidade. Hoje, uma empresa que adote metodologias que permitam a correta proteção dos seus dados está a dar um passo para se diferenciar da sua concorrência. A fuga de informação sensível pode ser prejudicial para uma empresa e em simultâneo um “trunfo” para os concorrentes, que poderão até se apoderar dessa informação utilizando-a para seu benefício. Esta é uma situação que deve ser evitada a todo o custo. Para isso, a informação deve ser transmitida de forma íntegra entre computadores e dispositivos protegidos de forma a que seja apenas a pessoas autorizadas. Devem ainda ser implementadas e cumpridas regras de boas práticas para a segurança da informação, nas quais os colaboradores possam basear as suas ações.

Ausência ou ineficaz segurança da informação: Consequências

A continuidade de negócio de uma empresa e o sucesso dos seus resultados está cada vez mais dependente das informações armazenadas na sua rede.   

A exposição dessas informações para o exterior pode afetar a reputação da empresa e em muitos casos prejudicar os seus resultados financeiros. Considere-se o seguinte exemplo fictício, mas que poderia perfeitamente ser real: A IESPA, uma empresa de desenvolvimento de software, dedicou 3 anos de investigação e desenvolvimento para finalmente concluir o projeto de um novo algoritmo de inteligência artificial para utilização em câmaras de videovigilância. No momento de reunir com um potencial comprador para apresentar este ambicioso produto, o comercial é informado que uma outra empresa já lhe apresentou um algoritmo muito semelhante, que promete as mesmas funcionalidades, mas a um preço muito mais vantajoso. Ora, isto só pode ter acontecido devido a uma fuga de informação que permitiu à empresa concorrente ficar na posse do algoritmo de inteligência artificial. A concorrente não teve qualquer custo com o desenvolvimento do algoritmo e por isso conseguirá comercializá-lo a um preço muito menor. O prejuízo para a IESPA pode ser enorme. E se a empresa fosse uma startup e o algoritmo o seu primeiro projeto?...

Muitas vezes, as fugas de informação ocorrem acidentalmente, através do envio de um e-mail para o destinatário errado, da perda de uma pen USB com dados da empresa durante uma viagem de negócios ou de um computador portátil de um colaborador esquecido na mesa de um stand de uma exposição.

Mas a fuga de informação pode ocorrer de forma menos evidente. Considere-se outro exemplo: O CEO de uma grande multinacional encontra-se em viagem para reunir com os representantes das diversas filiais da empresa. Cansado da viagem, faz uma pausa na esplanada do hotel onde irá pernoitar. Nesse momento, lembra-se que necessita de consultar alguns movimentos da conta bancária da empresa. Já sem dados móveis disponíveis no seu smartphone, decide ligar-se a uma rede Wi-Fi livre que o seu aparelho detetou. O que não podia imaginar é que nessa mesma esplanada se encontra um hacker a utilizar um programa para intercetar dados nessa rede. Ao aceder ao site do banco, foi na realidade direcionado para uma outra página idêntica à do banco. No momento em que insere os dados de acesso, o colaborador verifica que não consegue aceder à conta e pensa automaticamente que se enganou a digitar o seu nome de utilizador ou a palavra-passe. Na realidade, acabou de fornecer todos os dados ao hacker que o pode reencaminhar agora para o verdadeiro site do seu banco. Na segunda tentativa, e já no site do banco, o CEO da empresa consegue aceder à conta e fica realmente convencido que, na primeira tentativa de acesso, o erro foi seu.

Existem também outras situações, como a espionagem industrial, que podem conduzir à perda de informação sensível. Entende-se por espionagem industrial a tentativa de alguém aceder a informações confidenciais com o objetivo de obter uma vantagem económica para si próprio ou para terceiros. É comum que o espião analise o lixo da empresa alvo, com o objetivo de encontrar algum documento com informações relevantes colocado por descuido no caixote do lixo. Pode também infiltrar-se nas instalações, disfarçado como colaborador da própria empresa ou da empresa de prestação de serviços de limpeza, por exemplo, e fotografar documentos confidenciais ou colocar escutas telefónicas. Apesar destes métodos mais “tradicionais” de espionagem, atualmente, a espionagem industrial já pode ser efetuada com recurso a softwares maliciosos como malware ou spyware.

Mas os ataques não são apenas externos e podem ser executados por alguém interno à empresa que rouba informação, muitas vezes com o intuito de a usar num emprego futuro ou para abrir o seu próprio negócio. Estes cenários podem, ainda assim, ser evitados por um conjunto de procedimentos e soluções que permitem proteger melhor a informação das empresas.

Proteger a informação empresarial

São as empresas de maior dimensão que estão mais sensibilizadas para a necessidade de proteger a sua informação. Já as PME, que representam a maior parte do tecido empresarial português, não possuem normalmente políticas de segurança definidas que ajudem os colaboradores e a própria direção da empresa a tratar convenientemente as suas informações, tornando-se alvos relativamente fáceis. Existem por isso várias medidas e soluções cuja implementação poderá corrigir esta situação, muitas delas simples:
  1. Uma medida básica, mas de grande utilidade, é a instalação de antivírus e firewall. O primeiro auxilia na proteção contra malware nos computadores, tablets e smartphones utilizados na empresa. A firewall, por sua vez, permite controlar o tráfego de dados entre os computadores da rede interna e entre estes e as redes externas. Ambos devem ser atualizados com regularidade.
  2. Os colaboradores devem ter os computadores protegidos por palavras-passe seguras que tenham pelo menos 10 caracteres e que tenham sido criadas sem recorrer a associações óbvias como datas importantes, nomes de familiares, etc..
  3. A proteção da rede Wi-Fi é fundamental, uma vez que esta é a principal porta de entrada para ciberataques. Para o efeito, é necessário configurar uma palavra-passe segura para o acesso à rede, que deve ser alterada com frequência por outras palavras-passe igualmente seguras.
  4. Ainda no âmbito da criação de palavras-passe, é importante garantir que são criadas diferentes palavras-passe para os diferentes dispositivos e serviços utilizados e que o seu preenchimento automático em navegadores da Internet é desativado.
  5. Os colaboradores devem-se salvaguardar de ataques via e-mail, sendo que para isso basta normalmente não abrirem anexos de e-mails com extensões .exe, .scr, .cmd, .zip, entre outras, mesmo quando provenientes de contactos conhecidos.
  6. Implementação de uma solução robusta de backup. Apesar de menos provável, mesmo com a rede e os dispositivos protegidos, a empresa pode ser alvo de um ciberataque. Uma forma eficaz de diminuir os seus danos é a existência de várias cópias de segurança da informação importante para o funcionamento da empresa, atualizadas com regularidade. O backup pode ser armazenado em dispositivos físicos como servidores e discos externos ou através de soluções cloud.
  7. A encriptação de dados é outra medida de segurança eficaz. Este processo permite transformar a informação de forma que alguém só a consiga ler se conhecer a palavra-passe que permite decodificar essa mesma informação. É utilizada para armazenar ou transmitir informação sensível que não possa ser obtida com facilidade por terceiros.
  8. Instalação de sistemas de segurança eletrónica como controlo de acessos, alarmes de intrusão ou sistemas de videovigilância para controlar os acessos às instalações e dissuadir a entrada de intrusos.
  9. Formação para diretores e colaboradores é também uma opção a considerar. A formação de sensibilização para esta matéria vai contribuir para a promoção da cultura de segurança da empresa. 

Todos devem estar cientes dos riscos de não se proteger a informação, seja pessoal ou empresarial. Para isso é necessário olhar para hábitos antigos e práticas menos seguras que ao longo dos tempos se foram enraizando na nossa forma de estar e proceder. Os ciberataques são cada vez mais frequentes e parece que as empresas não se preocupam com esta situação, pelo menos não tanto como deviam. Começar a implementar medidas simples como as aqui listadas, pode ser em alguns casos suficiente para garantir a segurança da informação empresarial e manter a integridade do negócio.
 

Sabia que:

1. A CFPA-Europe desenvolveu o Guia “Protection of Business Intelligence” para dar a conhecer as melhores práticas a adotar para a proteção da informação das empresas. É possível aceder a este guia clicando aqui.

2. Segundo a SplashData, estas são algumas das palavras-passe mais usadas em 2018:
123456
password
111111
1234567
sunshine
iloveyou
princess
admin
welcome
abc123
football
monkey
654321
password1
Parece evidente que estas palavras-passe são muito pouco seguras.

3. Em 2011, a PlayStation Network (serviço da Sony que fornece conteúdo digital e jogos para multijogadores) deixou de funcionar. Os utilizadores do serviço ficaram naturalmente frustrados. Na realidade, o que aconteceu foi um ataque organizado por um grupo de hackers. A motivação para este ataque foi simples: a Sony tinha colocado um processo contra um jovem que conseguiu desbloquear a Playstation 3 permitindo a utilização de jogos “pirata”. Estávamos perante uma retaliação. Com isto, 77 milhões de pessoas ficaram sem acesso ao serviço da empresa e mais de 24 milhões de contas foram roubadas. Essas contas continham informações valiosas como números de cartões de crédito, palavras-passe e histórico de compras online. A Sony teve um prejuízo de 24 mil milhões de dólares americanos.

4. O site de emprego Monster.com tem naturalmente grande preocupação com as questões de segurança porque inúmeras pessoas cadastram aí os seus currículos à procura de oportunidades de emprego. Mas mesmo assim, este site foi alvo de vários ataques e em 2007 chegou mesmo a perder informações de milhões de contas. Posteriormente a esse ataque reforçaram a sua política de segurança, mas em 2009 os seus servidores foram novamente atacados por hackers que conseguiram obter informações de 4,5 milhões de pessoas.

5. Segundo dados da empresa de segurança Kaspersky, 22% da população portuguesa foi alvo de uma tentativa de ataque informático em 2018. Quase um em cada quatro portugueses foi alvo de uma tentativa de ataque informático, o que faz de Portugal o segundo país do mundo com a maior percentagem de utilizadores individuais afetados por spam e phishing. No primeiro lugar da tabela está o Brasil, onde 28% da população foi alvo de ataques informáticos nesse ano.

6. A WEBCHECK.PT é uma iniciativa conjunta do Centro Nacional de Cibersegurança (CNCS) e da Associação DNS.PT. Esta plataforma permite que qualquer cidadão ou entidade verifique, em tempo real, o nível de conformidade de um domínio de Internet e de correio eletrónico com as mais recentes normas de segurança para comunicação. A plataforma disponibiliza ainda um conjunto de diretrizes que visam auxiliar a implementação das principais normas de segurança avaliadas.

7. Existem diferentes perfis de hackers:
White hats – São especialistas em segurança informática e entram em sistemas e redes protegidas para testar e avaliar a sua segurança, com o objetivo de encontrar vulnerabilidades e promover a sua correção.
Gray hats – Não têm permissão para aceder e podem estar a violar princípios éticos, mas podem não ser maliciosos no objetivo.
Black hats – Acedem sem permissão e de forma maliciosa. Normalmente tentam ganhar acesso a informações que lhes permitam retirar uma vantagem financeira.