A propósito do dia da Proteção de Dados, que hoje se comemora para assinar a assinatura da Convenção 108, que ocorreu em 28 de janeiro de 1981, sendo o primeiro instrumento jurídico internacional sobre o tema, José Costa, chief security officer Critical Software relembra alguns conselhos importantes.
De acordo com o relatório da Verizon de 2021, "85% de todas as violações de dados envolveram um elemento humano", afirma José Costa, "ou porque foram alvo de engenharia social [técnicas para enganar as pessoas] ou por questões de utilização não adequada ou acidental" dos sistemas.
Com o mundo cada vez mais interligado, os riscos de um ciberataque são cada vez maiores, pelo que José Costa recomenda um conjunto de procedimentos para reduzir o risco de violação de dados.
"A sensibilização e consciencialização [sobre este tema] é um fator de proteção", pois se "as pessoas não clicarem em links" que possam receber de emails que desconhecem, como acontece em muitos ciberataques, "há menos probabilidade de um ataque ser bem sucedido", aponta o administrador da Critical Software.
No caso das empresas, estas devem ter um sistema de defesa na lógica de camadas, ou seja, mesmo que um colaborador entre num link que não devia, "tem de haver outro tipo de medidas de segurança que vão mitigar este tipo de ataques", mecanismos que filtrem essa ligação para averiguar se é ou não malicioso, explica.
Depois, não basta ter passwords de acesso aos sistemas, é preciso ter também uma "autenticação forte, hoje isso é um must". Aliás, "ter um sistema em que o acesso é unicamente com um username e uma password, sem um outro fator de verificação, é considerado uma falha grave", salienta.
Os padrões de segurança internacionais preveem que o controlo de acesso a um sistema tenha como mínimo uma autenticação, que passa, por exemplo, por enviar um código para o telemóvel, tanto para sistemas empresariais como pessoais.
Recomenda-se também "a todos os cidadãos" que, "além de ter passwords fortes, estas serem longas é o mais importante: mais de 12 carateres", isto porque "com a capacidade de computação que existe hoje, as palavras-chave de oito carateres são quebráveis", alerta.
José Costa recomenda ainda aos utilizadores que "estejam atentos para tudo o que são definições de privacidade de plataformas e dispositivos". Além da atenção que deve ser dada a tudo o que são opções de privacidade, "há a questão de proteger a segurança dos dispositivos e das contas", de modo a prevenir que os dados caiam nas mãos de organizações criminosas.
"Estamos a falar de aplicar uma boa ciber-higiene" e isso passa por "atualizar o software e os dispositivos regularmente", já que todos dias há novas vulnerabilidades que são descobertas e estas atualizações vão corrigir as falhas.
A par disso, também aconselha a ter nos dispositivos – sejam telemóveis, tablets ou computadores – "algum tipo de proteção contra malware ou antivírus". No caso da proteção das redes, onde se inclui o WiFi, deve-se "mudar tudo o que é default" e "sempre que se compra um dispositivo que se conecta à rede" alterar as passwords.
A pandemia de COVID-19 foi um fator "que influenciou bastante o número de violações de dados e ciberataques", admite. No entanto, os principais vetores de ataque que acabam por ter como consequência a violação de dados "não variaram significativamente", uma vez que "nos últimos dois anos a engenharia social e os ataques de phishing" continuaram a ser as principais técnicas de ciberataque.
José Costa reforça que a "educação e consciencialização das pessoas para este tipo de ataques" é bastante importante, nomeadamente terem atenção a emails suspeitos. A engenharia social, da qual faz parte o phishing [ataque informático que visa pescar dados sensíveis de um utilizador], é um vetor de ataque e a tendência é "para continuar e aumentar".
A técnica mais comum de engenharia social é o phishing porque "é acessível, toda a gente que tem uma conta de email", destaca. Estes ataques afetam todas as empresas, que são alvos diários, todo o tipo de pessoas e muitas vezes dirigidas para os departamentos de compras, área financeiras, porque "essencialmente estes atacantes têm uma motivação financeira", aponta José Costa.
"Mais de 90% dos ataques e violações de dados envolveram um email ou um ataque de phishing", diz, mas também há ataques de smishing, que são feitos através de SMS, e também podem ser feitos através de chamadas telefónicas, com a alguém a fazer-se passar por um técnico da Microsoft, por exemplo.
Nas empresas, José Costa defende uma "cultura baseada na gestão de risco" e que a cibersegurança "tem de ser uma prioridade".
No contexto empresarial, "a questão da consciencialização, sensibilização dos colaboradores é fundamental, deve ser parte da estratégia do programa de segurança de qualquer empresa e depois há várias formas de o fazer", onde se incluem formações e até simulações de phishing. Ou seja, a empresa cria um 'mail' de phishing para testar e avaliar se os colaboradores estão sensibilizados para este tipo de ataques e, para o caso dos que não estão, criar formações para o efeito.
Pergunta do Dia
Em destaque
-
Multimédia
Missão Ariel da ESA quer explorar 1.000 exoplanetas e Portugal ajuda com engenharia e ciência -
App do dia
Maple Tale é uma aventura de plataformas com animações desenhadas à mão -
Site do dia
Precisa de gravar o ecrã do computador? O Donzo dá uma ajuda com um clique -
How to TEK
Farto de reagir no WhatsApp com emojis? Crie os seus próprios stickers
Comentários