ESPECIAL | Kaspersky: colaboradores são o elo mais fraco

Quando se trata de segurança informática empresarial, os colaboradores das empresas são, muitas vezes, o elo mais fraco da cadeia, frequentemente aproveitado pelos cibercriminosos para entrar nas organizações, diz Alfonso Ramirez, general manager da Kaspersky Lab Iberia.

A evolução das APT, o ransomware e as ameaças financeiras de alto nível serão os protagonistas dos principais problemas de cibersegurança esperados para 2016, assegura a especialista em segurança Kaspersky.

Além disso, Alfonso Ramirez assume que iremos também assistir a uma evolução significativa do negócio da ciberespionagem, em que os autores de ameaças sofisticadas minimizarão os seus investimentos, reutilizando o malware já disponível no mercado.

“A rentabilidade dos ciberataques é indiscutível e são cada vez mais os que querem um pedaço do bolo. Encontramos agora mercenários que decidiram entrar no jogo e uma indústria de outsourcing que cresce para satisfazer as necessidades das novas operações de malware. Surge, assim, um novo esquema de Access-as-a-Service, que proporciona o acesso a alvos já hackeados pela melhor oferta. Não só prevemos que o ransomware se irá sobrepor aos Trojans bancários, como ainda que se alargará a novas plataformas”.

Além do mais, diz este especialista, a cloud, sendo uma grande oportunidade para as empresas, já que permite um controlo de custos e uma poupança de recursos importante, está por isso a ser cada vez mais adotado pelas empresas, inclusive PME. No entanto, explica o executivo, a transição para a cloud deve ser muito ponderada e analisada cuidadosamente, comprovando a organização que tipo de informação pode ser transferida para a nuvem e qual deve sempre permanecer dentro de portas. “Essa análise deve ser também alargada à reputação do fornecedor do serviço cloud”.

Outro conceito a ter de ser levado em conta é a Internet das Coisas, onde tudo é passível de comunicar… com tudo. E isso, para os especialistas em segurança, é uma verdadeira dor de cabeça. Ou, pelo menos, pode vir a ser.

“Não havendo uma separação clara do que são dispositivos de utilização pessoal e de utilização profissional, e com a tendência para uma interconexão cada vez maior entre dispositivos, o risco potencial de um ataque capaz de causar danos transversais a ambos os mundos é enorme”.

Diz Alfonso Ramirez que como qualquer outro dispositivo com ligação à Internet, os dispositivos IoT precisam de estar protegidos contra ciberataques, mas, infelizmente, os fabricantes não têm por hábito pensar no desenvolvimento de um sistema de segurança decente até que aconteça algum problema.

De resto, Alfonso Ramirez é da opinião que as empresas portuguesas estão cada vez mais conscientes dos perigos a que estão expostas as suas infraestruturas de TI e começam a encarar os seus investimentos em segurança como algo que protege o seu negócio contra perdas substanciais causadas por brechas na segurança.

“Segundo um estudo recente da Kaspersky, o orçamento médio necessário para recuperar de uma falha de segurança é de 490 mil euros no caso das grandes empresas e de 33.700 euros no caso das pequenas e médias empresas”.

Segundo este relatório, “as falhas de segurança mais caras para as empresas são a fraude causada por colaboradores da própria organização, a ciberespionagem, as intrusões na rede por terceiros e as falhas de segurança de fornecedores. Uma violação grave dos sistemas de segurança TI ocasiona múltiplos problemas nas empresas. Tudo isto está cada vez mais presente nas mentes dos gestores”.

Quanto ao facto de, muitas vezes, os recursos internos serem apontados como uma das principais ameaças à segurança, Alfonso Ramirez concorda, e afirma que é por isso que, quando se desenha uma política de segurança ou se estabelecem os mecanismos necessários para pô-la em prática, devemos contemplar todas as vulnerabilidades e ameaças e incluir no nosso plano os funcionários da empresa. “Não basta estabelecer mecanismos muito fortes e complexos em determinado ponto específico da rede, há que proteger todos os possíveis pontos de ataque”.

Diz Alfonso Ramirez que os controlos técnicos e a tecnologia são absolutamente necessários mas não suficientes. “Mais vale um empregado formado em boas práticas de segurança consolidadas na política da empresa que o mais avançado, inovador e complexo sistema de segurança”.

Na verdade, o responsável está convicto que quando se trata de segurança informática empresarial, os colaboradores das empresas são muitas vezes o elo mais fraco da cadeia, frequentemente aproveitado pelos cibercriminosos para entrar nas organizações. “De acordo com o relatório da Gartner de 2015, 80% dos incidentes informáticos são causados por falhas humanas. As estatísticas não dão lugar a dúvidas, sobretudo quando destacam que estes ataques bem-sucedidos diminuem até 90% quando os colaboradores das empresas contam com formação”.

O mercado empresarial está cada vez mais consciente para os potenciais perigos dos dispositivos móveis dentro da sua estrutura, até porque têm muito a perder, opina Alfonso Ramirez. E as empresas portuguesas até já perceberam que os smartphones são uma plataforma de acesso preferencial às redes corporativas. “Como tal, é imprescindível protegê-los, tal como já fazem hoje com os computadores desktop e com os portáteis, se quiserem manter segura a rede informática da organização”.

“Creio que o grande desafio será encontrar o equilíbrio entre a comodidade de termos toda a informação de que precisamos dentro do bolso e a avaliação dos riscos que isso representa. É importante que as empresas entendam definitivamente que as plataformas móveis são, hoje, o grande alvo dos cibercriminosos. Não é exagero dizê-lo, nem tão pouco queremos ser alarmistas”.

Alfonso Ramirez explica que quando um utilizador particular leva o seu smartphone para a empresa onde trabalha, ligando-o à rede corporativa, poderá estar a torná-la vulnerável e a fazer com que o seu dispositivo seja a porta de entrada dos criminosos. “É por isso importante que todos os mecanismos e políticas de segurança estejam bem definidos nas empresas, alargando-se aos dispositivos próprios dos funcionários”.

Relativamente às PME portuguesas, o executivo diz que enfrentam os mesmos riscos que as restantes empresas, já que qualquer negócio que lide com informação pessoal ou financeira de clientes é uma potencial vítima potencial dos cibercriminosos.

“No entanto, sendo o roubo desta informação um dos principais objetivos dos que atacam as empresas, não podemos deixar de sublinhar que, muitas vezes, as mais pequenas são o ponto de entrada, servindo inclusive de veículo para atacar as grandes corporações”.

Um estudo elaborado recentemente pela Kaspersky Lab e pela consultora B2B International revelava que só 19 % das empresas com menos de 25 colaboradores coloca a estratégia de TI, que inclui a segurança informática, no topo das suas preocupações.

“É uma verdade inquestionável que as empresas mais pequenas sofrem mais com as limitações orçamentais, optando muitas vezes por adotar soluções inadequadas às suas necessidades. Além disso, tendem a estar menos interessadas na proteção dos dispositivos móveis, numa altura em que estes se integram cada vez mais nas redes empresariais, acedendo muitas vezes sem limites à informação residente na rede das empresas”.