Por Gustavo Silva (*)

Embora o principal objetivo dos avanços tecnológicos seja tornar a vida melhor, economizar tempo ou gerar mais valor, são uma faca de dois gumes pois também ajudam os cibercriminosos. O que podemos fazer, então, enquanto organizações e, especialmente, enquanto equipas de segurança para proteger as empresas e, ao mesmo tempo, permitir que atinjam os seus objetivos?  A fórmula mais conhecida, que consiste no conjunto de tecnologia, processos e pessoas, dá-lhe um bom ponto de partida para iniciar a sua defesa por camadas.

No que à tecnologia diz respeito, existem muitas diretivas que indicam como proteger os seus dados e infraestruturas. Embora todas elas sejam importantes, poderá obter os maiores ganhos segmentando completamente a sua rede interna, ordenando a prevenção de fugas de dados/segurança de correio eletrónico e a gestão da identidade e acesso. Este último pode ser o mais difícil de remediar se não for bem feito e é crucial no seu papel de medida preventiva.

Relativamente ao processo, praticar arquiteturas seguras é o ideal, mas pode ser difícil consegui-lo com uma cultura resistente e com pouco apoio da liderança sénior. Dois processos farão uma diferença significativa na sua postura de segurança: o primeiro é a forma como os seus colaboradores têm acesso aos ativos da empresa e, o segundo a forma como responde a incidentes quando estes ocorrem.

No entanto, estes dois processos só funcionarão se houver visibilidade suficiente sobre as alterações na infraestrutura da empresa, a exposição e a propriedade correta desses ativos. As capacidades de resposta a incidentes estabelecem planos de resposta para delinear as medidas a tomar em caso de violação da segurança, fuga de dados ou outros incidentes relacionados com a segurança. O objetivo é minimizar os danos, restaurar os serviços o mais atempadamente possível e aprender com o incidente para prevenção futura.

Por fim, o fator "pessoas", provavelmente a parte mais difícil de abordar, especialmente no caso de uma mudança duradoura. Os principais fatores de sucesso para uma mudança de comportamento bem-sucedida são a compreensão da origem do erro humano e a conceção de um sistema que não trabalhe contra, mas que o apoie. Isto significa concentrar as suas ações na revisão e conceção de controlos que funcionem para as pessoas e que facilitem a escolha da opção certa ou que dificultem a escolha da errada. Significa também compreender e medir a sua cultura para adaptar o programa educativo, de modo que este se adapte à cultura da empresa e à organização como um todo.

(*) InfoSec Engineer na Blip