“As empresas devem garantir a segurança dos seus sistemas” – Ricardo Anastácio

Por: Filipa Ribeiro

A Opensoft é uma empresa tecnológica portuguesa que apoia as empresas na transformação digital dos seus negócios.

Em entrevista à PME Magazine, Ricardo Anastácio, chief information security officer (CISO) da Opensoft, revela quais os cuidados a ter, por particulares e por empresas ou organizações, para se evitarem burlas e fraudes online, numa altura de maior relaxamento e distração sobre os mecanismos de segurança digital.

PME Magazine (PME Mag.) – Em que consiste a Opensoft?

Ricardo Anastácio (R.A.) – A Opensoft é uma tecnológica de origem portuguesa, com mais de 20 anos de experiência na engenharia de software e consultoria tecnológica, apoiando outras empresas na transformação digital dos seus negócios, a partir da integração ou do desenvolvimento de soluções à medida. Posicionada como um fornecedor de excelência junto dos seus clientes, tem inclusivamente o seu processo de desenvolvimento de software certificado. Conta com uma carteira de clientes diversificada e uma vasta experiência na reengenharia do atendimento público em Portugal, sendo responsável por projetos nacionais e internacionais de referência, como o e-Fatura, Portal das Finanças, IRS Automático e IDFYME (todos em Portugal), assim como a Chave Móvel Digital de Cabo Verde (recentemente implementada em Cabo Verde). Constituída por uma equipa de cerca de 100 engenheiros altamente qualificados, destaca-se pela sua capacidade de acelerar projetos de transformação digital, que visam a simplificação do dia-a-dia de empresas e de cidadãos, nomeadamente por via da desmaterialização de serviços, sem nunca comprometer a segurança de toda a informação e processos envolvidos.

PME Mag. – Quais as ameaças e burlas mais comuns na altura do verão?

R.A. – Neste período de férias, relaxamos as defesas e os procedimentos de segurança do dia-a-dia são um pouco “esquecidos”; as pessoas que validam os pedidos fora do normal poderão estar ausentes; poderão ser simplificados procedimentos porque não queremos/devemos incomodar quem está de férias. As principais ameaças são tentativas de burla que se baseiam nesta necessidade de “saltar” procedimentos de segurança. O phishing continua a ser um método de entrada eficaz, pelo que é natural que se mascarem as verdadeiras intenções com promoções de viagens, reservas de hotéis ou ofertas de pacotes de férias. Sob um ponto de vista particular, os cidadãos deverão ficar alerta perante ofertas demasiado boas ou pedidos fora do habitual. Estranhem se um vendedor, não reconhecido, sugerir uma casa completa com piscina, ar condicionado e perto da praia por 50€ por noite; desconfiem se o vosso filho em férias vos pedir um reforço monetário para o “telemóvel do amigo”.

Sob um ponto de vista empresarial, a preocupação deve permanecer constante e não mudar. As promoções de viagens ou de hotéis são igualmente válidas porque, enquanto trabalhadores, não deixamos de ser cidadãos, e estamos igualmente vulneráveis. Mantêm-se válidas todas as ameaças não sazonais de phishing/engenharia social, ransomware, falhas de configuração e outras, tal como apontado pela Agência Europeia para a Cibersegurança.

PME Mag. – Que cuidados devem ser considerados por particulares, empresas e organizações durante esta época do ano?

R.A. – As empresas devem garantir a segurança dos seus sistemas, assegurando que as responsabilidades e funções de cada utilizador estão bem definidas nos sistemas e que só utilizadores autenticados e devidamente autorizados podem realizar cada ação. Devem também garantir uma auditoria das ações realizadas, que permita identificar quem fez o quê e, assim, descobrir eventuais falhas neste processo de blindagem. Devem ainda assegurar que têm backups funcionais, recorrentes e que estes são recuperáveis, realizando ações de recuperação de tempos a tempos.

Em cima desta segurança digital, é importante investir na formação dos colaboradores, quer através de ações de sensibilização e formação dadas dentro da empresa, quer com cursos ministrados por outras entidades, como o Centro Nacional de Cibersegurança. Os colaboradores/particulares devem, primeiramente, seguir as instruções das empresas no manuseamento dos seus ativos (ferramentas, documentos, e-mails, etc.) e devem tomá-los como lições que podem ser transportadas para o dia-a-dia:

• Desconfiar de emails suspeitos que incutem urgência sem necessidade de validação;

• Estar alerta para tudo o que sai da norma, como promoções demasiado convidativas;

• Não fornecer senhas de acesso a outros, do mesmo modo que não se fornecem as chaves de casa;

• Considerar que tudo o que é meio digital funciona por cópia, pelo que se passarem uma informação secreta por email ou chat ou outro meio semelhante, essa informação ficará registada no sistema e poderá ser lida e utilizada por um hacker mais tarde;

• Não clicar em links ou fazer download de ficheiros que não fazem parte do normal do dia a dia;

• Se uma ação parecer suspeita, validá-la primeiro, por outro canal, com quem pediu essa ação;

• Manter os dispositivos móveis e portáteis bloqueados sempre que não estejam a ser manuseados;

• Evitar a utilização de redes públicas. Se for mesmo necessário fazê-lo, considerar a utilização de uma VPN – a empresa poderá, eventualmente, ter uma opção estudada e disponível para utilização dos colaboradores;

A um nível mais macro, as organizações estatais têm a responsabilidade acrescida de apoiar as empresas e os cidadãos na defesa e na formação. E, porquanto, temos forças de defesa integradas nas forças da NATO e capacitadas para defender o nosso país nesta “guerra invisível”, importa também que os cidadãos saibam proteger-se.

O Centro Nacional de Cibersegurança disponibiliza a todos, e de forma gratuita, cursos de sensibilização e formação para navegar na internet de forma segura. Acredito que se possa fazer mais, capacitando as gerações futuras através da incorporação de algumas destas temáticas nas escolas. O Centro Nacional de Cibersegurança já teve várias iniciativas neste sentido, mas importa que seja feito de forma mais transversal e abrangente – e não apenas pontual.

PME Mag. – Quais os impactos destes ataques nas PME?

R.A. – Independentemente do período em que ocorrem os ataques, cujos efeitos podem ser visíveis só meses mais tarde, um ataque a uma PME tem sempre um impacto relevante. Numa vertente aparentemente menos nociva, as PME, com pouca latitude para gastos supérfluos, sofrem com coisas tão triviais como a instalação de programas de mineração de criptomoedas. Estes pequenos programas consomem a capacidade de processamento das máquinas, diminuindo efetivamente a disponibilidade produtiva das empresas. Numa vertente mais nociva, podem ver os seus sistemas bloqueados por ransomware, ficando completamente à mercê dos atacantes. Por isso é tão importante ter backups e que estes estejam a funcionar – para que possam reverter os dados para um momento funcional, minimizando as perdas. Ainda nesta vertente mais nociva, o roubo de propriedade intelectual e exposição de informação secreta pode colocar em causa toda a empresa.

PME Mag. – Como as PME podem aumentar o nível de segurança na rede?

R.A. – Os serviços cloud permitem uma economia na gestão de recursos, minimizando os custos associados à manutenção de serviços de rede próprios. Minimizam também a complexidade de construção e de gestão, mas importa que sejam configurados e mantidos por especialistas capacitados quer na gestão de redes, quer na sua segurança. As configurações default são apenas portas de entrada para os hackers e devem ser sempre alteradas. As empresas que não tenham uma noção clara de quais são os seus ativos, devem identificá-los e categorizá-los, para que possam definir perímetros de segurança (o que é acessível pela internet, o que necessita de uma VPN e o que tem de estar segmentado). Com esta informação é possível determinar responsabilidades e definir quem (que máquinas) falam com quem, permitindo definir bloqueios que impeçam movimentações laterais. As responsabilidades de cada função/colaborador devem, igualmente, ser bem definidas e atribuídas, para que o comprometimento do sistema de um utilizador não ponha em causa os restantes sistemas em rede.