José Luis Marques, Digital Identity & Security Manager da Thales Portugal, destaca à Security Magazine que há um “aumento satisfatório” na percepção e preocupação das empresas em Portugal face ao ciberisco. O responsável acredita que a única forma de “garantirmos que os dados da nossa organização estão protegidos, é encriptá-los”.
Security Magazine – Como tem evoluído a percepção do ciber risco por parte das empresas em Portugal?
Tem-se registado um aumento satisfatório na percepção e preocupação das empresas em Portugal face ao ciber risco, nomeadamente por parte dos decisores das empresas, em virtude do surgimento de notícias cada vez mais frequentes sobre tentativas de ataque (bem sucedidas), tanto a pequenas como a grandes organizações, incluindo entidades públicas.
Claro que continua muito por se fazer, principalmente no que concerne à alocação de budgets suficientes que permitam às equipas de Segurança da Informação obter as ferramentas necessárias para se poderem proteger eficazmente para, monitorizar, detectar, analisar ou até mesmo para combater o cibercrime.
No entanto, o agravamento da situação económica devido à pandemia, veio abrandar e em alguns casos estagnar muitos dos investimentos que estavam previstos para a protecção das organizações.
Quais são as principais motivações de compra por parte dos clientes ao nível de produtos/soluções de cibersegurança?
Penso que a principal motivação de compra por parte dos clientes de soluções ciber nos dias de hoje, é garantirem que os seus dados estão seguros, nomeadamente contra ataques de ramsonware de forma a que este tipo de ataques não paralise parte ou até mesmo todo o processo produtivo da organização.
Como disse anteriormente, tem existido um aumento de investimento nestas áreas, pese embora ser insuficiente face aos ataques cada vez mais sofisticados.
A única forma de garantirmos que os dados da nossa organização estão protegidos, é encriptá-los. “Encrypt Everything” é o conceito que a Thales tem divulgado junto das organizações nossas clientes .
As organizações devem encriptar tudo o que são dados pessoais e o que consideram sensíveis, incluindo os que são colocados em ambientes Cloud. Desta forma os dados só conseguem ser desencriptados e utilizados pelos utilizadores com permissões para isso, sendo igualmente importante criar políticas de gestão dessas chaves de encriptação, garantindo assim que mesmo durante um ataque de Ransomware bem sucedido, esses hackers não conseguem aceder ou adulterar os dados reais.
Considera que a actual pandemia trouxe impactos à estratégia de gestão de risco das empresas? Que aprendizagens podem retirar empresários e profissionais desta situação?
Esta pandemia trouxe como principal impacto um alerta para o facto de já não ser suficiente proteger apenas o perímetro, pois já não existe perímetro com cada vez mais acessos remotos pelos colaboradores em tele-trabalho.
Devemos ainda aprender que já não é suficiente a ligação via VPN para garantir o acesso seguro. Verificámos recentemente vários casos de ataques bem sucedidos a VPN´s, sendo agora necessário proteger todos os acessos de forma mais eficaz, nomeadamente com Duplos Factores de Autenticação. Os ataques são cada vez mais direccionados aos utilizadores (mais de 60%) sendo necessário criar uma política de Zero-Trust para acesso aos dados de forma a que seja possível confirmar que o utilizador é realmente quem diz ser, a utilização de geo-localização para confirmar que é um utilizador legítimo, limitar com que tipo de dispositivos pode aceder, a que aplicações / servidores pode aceder (incluindo aplicações Cloud), em que horários pode aceder, etc.
Para que estas novas políticas de acesso sejam aplicadas sem aumentar a complexidade de gestão da segurança da informação, é fundamental a procura de uma plataforma que permita de forma simples e centralizada, não só aplicar todos os princípios mencionados anteriormente, como também ter capacidades de Audit Logging para análise posterior dos acessos, emissão de relatórios (para análise p.ex. de um DPO ou CISO), Dashboarding para análise em tempo real, criação de perfis de acesso diferenciado, portal web onde os próprios utilizadores podem escolher o token da sua preferência, criação de política de rotação de passwords, etc.
Se for possível a aplicação de todas estas políticas de acesso mas sem passwords (passwordless) tanto melhor, pois consegue reduzir-se o risco de utilização da mesma password em várias aplicações, existindo um aumento de produtividade do utilizador uma vez que deixa de se preocupar com o possível esquecimento da password sempre que esta tem de ser renovada.