Mas os seres humanos não são as únicas vítimas de um ataque. Os activos conectados – dispositivos da Internet das Coisas (IoT), de dispositivos médicos (IoMT), de tecnologia operacional (OT) e mais – são vulneráveis a incidentes de hacking e requerem segurança e monitorização: «Uma plataforma de gestão de cibersegurança pode dar às organizações a visibilidade necessária para assumir o controlo dos seus dispositivos», sublinha o director regional da Armis. Vesku Turtia lembra ainda que a maior luta das empresas é tentar proteger o que não podem ver. «O aumento massivo de dispositivos nas organizações aumentou a necessidade de gerir todos os activos através de múltiplas soluções. Isto resultou em demasiadas ferramentas, com demasiada complexidade e fragmentação da informação. Muitas dessas empresas não percebem que, para manter a saúde e segurança dos utilizadores, dispositivos, redes e dados, precisam de ser capazes de gerir proactivamente todos os seus activos, identificar riscos e detectar ameaças com segurança contínua», conclui o responsável.
Tem de haver mais consciencialização
Diogo Pata, sales engineer da WatchGuard Portugal, diz que as estratégias de cibersegurança devem ser robustas e pensadas de acordo com as necessidades e o perfil da empresa; porém, existem boas-práticas básicas que todas as organizações devem implementar, para manter uma boa ciber-higiene. «Independentemente da dimensão ou sector de actividade de uma organização, é de crucial importância consciencializar todos os recursos humanos, seja qual for o seu papel na empresa, para hábitos de higiene em cibersegurança. Mas as empresas também precisam de ter noção de que sofrer um ataque não é uma questão de ‘se’, mas de ‘quando’».
Sobre os desafios empresariais de manter a higiene cibernética, o especialista aponta, desde logo, a falta de consciencialização para as consequências de uma má-postura de segurança. «Dizemos sempre a mesma coisa: todas as empresas, seja qual for o tamanho ou a tipologia do negócio, são susceptíveis de serem atacadas; a única interrogação é quando. Não obstante, as PME portuguesas ainda têm, na sua maioria, a convicção de que o cibercrime é algo que só acontece aos outros e acreditam que a sua informação é de pouco interesse ou valor para os cibercriminosos». Segundo Diogo Pata, este é um modo de pensar perigoso, porque os hackers utilizam frequentemente as pequenas empresas como trampolins para aceder às maiores: «Os hackers não necessitam de uma razão para ter como alvo as PME – fazem-no, simplesmente, porque podem fazê-lo e, em muitos casos, porque são um alvo fácil». O sales engineer alerta ainda que a maioria dos ataques bem-sucedidos – sobretudo os que têm como alvo as empresas de menor dimensão – ainda recorrem a métodos básicos: «Embora algumas ameaças usem técnicas sofisticadas, a maioria das falhas de segurança em PME têm que ver com a falta de cumprimento de regras básicas. A verdade é que, se as organizações dedicarem os seus esforços – e não necessariamente grandes orçamentos ou recursos – a cumprir as mais básicas práticas de segurança, conseguirão evitar a maioria dos ataques».
Educar as pessoas é fundamental
Diogo Pata concorda com o facto de que as pessoas, sendo o maior activo das empresas, também são o seu elo mais fraco e o principal vector de ataque: «Muitos dos colaboradores nunca ouviram falar de phishing, nem de um ataque man-in-the-middle, e os hackers sabem disso. É essencial que as empresas eduquem os seus colaboradores sobre os métodos de ataque mais comuns e como evitá-los, bem como sobre as práticas de ciber-higiene que devem adoptar, diariamente». O sales engineer da WatchGuard Portugal dá alguns conselhos básicos para evitar dissabores: «Nunca clicar em links fornecidos num e-mail; ter cuidado ao abrir anexos de e-mail, ao aceder um site; prestar atenção ao URL, que deve começar por HTTPS; evitar enviar informações pessoais via e-mail e nunca dar a password a alguém via e-mail». A estes, junta-se aquele que é, agora, um pré-requisito para todas as empresas: «A autenticação multifactorial (MFA), porque sabemos que uma grande parte das violações de dados envolve credenciais perdidas».