Por Pedro Athouguia (*)

Existem hoje mais dispositivos conectados à Internet - cerca de 8,4 mil milhões - do que pessoas na Terra. É verdade que estes dispositivos se tornaram parte integrante das nossas vidas, transformando a forma como vivemos e trabalhamos. Mas essa tendência fez também aumentar as oportunidades para os criminosos lançarem novos ataques cibernéticos, com uma surpreendente regularidade.

Não é novidade que as empresas estão preocupadas. Segundo o Global Risk Management Survey de 2017, produzido pela Aon, o ciber-crime surge como o principal risco corporativo na América do Norte. Globalmente, surge no quinto lugar. E importa referir que não estão em risco apenas instituições financeiras e organizações que lidam com informações pessoais. O impacto das ameaças cibernéticas estende-se também ao mundo físico, onde as interrupções elétricas, o encerramento de linhas de montagem, a violação de infraestruturas críticas e outras interrupções significativas podem ocorrer como resultado desses ataques.

Embora as empresas estejam cada vez mais a tomar medidas face a ameaças externas, a causa de muitas violações cibernéticas tem origem no comportamento humano. De facto, pesquisas demonstram que, para empresas que tiveram violações de dados em 2016, os insiders eram responsáveis ​​por 43% destes e metade foi considerada intencional e maliciosa, isto é, causada, por exemplo, por funcionários insatisfeitos determinados a causar danos financeiros, físicos ou de outra índole à empresa. A curiosidade, o descuido, a urgência ou a simples suscetibilidade dos funcionários a ataques costumam ser os elos mais fracos da segurança cibernética de uma empresa. Muitas táticas criminosas, portanto, são projetadas para contornar tecnologias de segurança sofisticadas e explorar erros humanos.

A gestão das ameaças causadas pelos funcionários é ainda mais desafiadora se tivermos em conta que temos hoje uma força de trabalho cada vez mais móvel, que geralmente liga os seus dispositivos pessoais a redes corporativas. Por exemplo, os hackers podem segmentar dispositivos pessoais com níveis de segurança mais baixos, como smartwatches, para obter acesso e atacar telefones, dados de e-mail ou outras fontes de informações comerciais confidenciais.

O impacto que o risco cibernético pode ter nas finanças e na capacidade de operação de uma empresa exige que os líderes façam mais do que recorrer aos departamentos de TI e investir em soluções de software. Como o risco afeta transversalmente a empresa, os líderes precisam de adotar uma abordagem holística para gerir o risco cibernético.

Primeiro, é essencial criar uma equipa multidisciplinar de departamentos técnicos, jurídicos, finanças, recursos humanos e outros departamentos, para avaliar os impactos que as vulnerabilidades da organização podem ter nos negócios e alinhar a segurança aos objetivos de negócios. A empresa pode então priorizar quais os riscos e vulnerabilidades que precisam de ser resolvidos através de uma combinação de remediação técnica e produtos de seguro.

Depois, como parte de um programa mais amplo de segurança cibernética, as empresas precisam também da cooperação dos seus ativos mais importantes: os seus colaboradores. Se as empresas estiverem excessivamente focadas na tecnologia e não abordarem o elemento humano na sua vulnerabilidade ao risco cibernético, não serão capazes de implantar uma estratégia efetiva.

No mínimo, as empresas devem ser capazes de implementar programas de formação e sensibilização, a começar por uma clara identificação dos comportamentos fraudulentos em que podem incorrer os seus recursos humanos.

Embora as ações dos colaboradores possam representar uma ameaça significativa a uma organização, é fundamental criar um ambiente no qual a segurança seja vista como uma responsabilidade partilhada e comunicar internamente que as pessoas são um elemento essencial na proteção dos seus ativos intangíveis mais críticos.

Um programa holístico de segurança cibernética só o é se considerar as pessoas como um elemento chave na prevenção, mitigação e gestão dos riscos. A fórmula é simples: quantas mais pessoas, mais pontos de acesso e, portanto, mais vulnerabilidade aos riscos. Os hackers sabem-no. Até quando continuarão as empresas a ignorá-lo?

(*) Chief Broking Officer, Aon Portugal

Newsletter

Receba o melhor do SAPO Tek. Diariamente. No seu email.

Na sua rede favorita

Siga-nos na sua rede favorita.