4 perguntas para descobrir se o seu negócio está vulnerável a hackers

Num mundo cada vez mais digital, a cibersegurança passou a ser, indiscutivelmente, uma das principais prioridades das pequenas, médias e grandes empresas. Apesar de haver, sobretudo no contexto das PME’s, alguma resistência à crescente penetração da tecnologia, esta é uma realidade sem escapatória, seja qual for o ramo de atividade empresarial.

Isto porque, nos dias que correm, a presença digital na Internet, por parte das empresas, é uma necessidade inquestionável, mesmo que comporte muitos desafios. Um deles é precisamente o da cibersegurança.

Cibersegurança: em que consiste?

Em linhas gerais, pode definir-se cibersegurança como o conjunto de tecnologias, processos e práticas especificamente desenhado para proteger computadores, dispositivos, sistemas, redes e dados de eventuais ataques ou ameaças. Ou seja, visa promover ações de monitorização, prevenção e neutralização de ameaças que possam colocar em risco a liberdade dos cidadãos e das empresas.

Porém, a proteção cibernética é, também, uma questão de cultura empresarial. A ideia pré-concebida de que a cibersegurança deve aplicar-se apenas ao departamento de Tecnologias da Informação (TI) pode ser perigosa. No contexto empresarial, deverá ter quase um caráter rizomático. Isto é, dever-se-á aplicar a toda a estrutura organizacional – ao contexto do negócio, às políticas, aos comportamentos e, claro, aos padrões de segurança.

Importa recordar que os ciber-riscos são uma das maiores ameaças com que as empresas se deparam atualmente, contabilizando perdas de receitas, clientes, oportunidades de negócio e reputação empresarial.

Qual o nível de vulnerabilidade da sua empresa aos ciber-riscos?

Para perceber melhor o nível de exposição da sua empresa aos ciber-riscos e quais os procedimentos para mitigá-los, estas são algumas das perguntas que deve colocar.

1. O que é que na minha atividade empresarial precisa de ser protegido?

Aconselhamos que comece por fazer uma lista com os ativos mais valiosos da empresa, não só os tangíveis, mas também os intangíveis (site, dados de clientes, propriedade intelectual, entre outros).

Depois disso, analise os procedimentos de segurança que atualmente tem a proteger esses mesmos ativos. Estão atualizados? Carecem de manutenção? A este respeito, também é importante rever com regularidade os parâmetros de configuração de segurança dos serviços utilizados no dia a dia.

2. Quais são as ameaças cibernéticas que podem afetar a minha empresa?

De entre os inúmeros ciber-riscos aos quais a sua empresa está sujeita, destacamos os mais comuns e as respetivas consequências para o funcionamento do seu negócio:

Ataque de phishing ou de pharming
As consequências de qualquer um destes ciberataques são múltiplas. Num ataque de phishing a sua conta de e-mail pode ser pirateada e, a partir daqui, inicia-se o chamado efeito dominó. Dados pessoais e/ou de clientes, lista de contactos, passwords e dados confidenciais da própria empresa podem ser roubados e utilizados para os mais diversos fins.

Já num ataque de pharming, que funciona sob o mesmo princípio de um ataque de phishing (mas sem o “isco” do e-mail, apenas acedendo a um URL de qualquer página), pode ser redirecionado para o que lhe parece ser uma página web legítima (como, por exemplo, a do seu banco) e ser levado a fornecer informação bancária confidencial. Os prejuízos, neste caso, podem ser incalculáveis.

Ataque de malware
Como tínhamos referido anteriormente, o denominado malware (software malicioso) é um vírus desenvolvido para danificar arquivos, servidores e aplicativos do computador.

Em causa poderão estar a perda e mesmo o roubo de dados. Por norma, os ataques de malware são utilizados para roubar passwords, dados de clientes e todo o tipo de informação armazenada nos computadores da empresa. As consequências? Processos judiciais pela violação de dados, interrupção do negócio, coimas avultadas e perda de reputação empresarial.

Ataque de ransomware
Neste tipo de ataque é feito um data jacking aos computadores da empresa, seguindo-se a encriptação dos dados armazenados. O objetivo passa por, posteriormente, extorquir dinheiro a essa mesma empresa para que os dados voltem a estar disponíveis.

Uma das formas mais comuns dos hackers “infetarem” os computadores é através de e-mails de spam. Estes e-mails costumam conter anexos com vírus que, uma vez abertos, podem criptografar e bloquear os computadores da empresa. Este é um ciber-risco que pode colocar em causa o funcionamento da empresa, a perda de receitas, a confiança dos clientes e do próprio mercado.

Recordamos a este propósito, o ataque de ransomware WannaCry que, em 2017, afetou o sistema operativo Microsoft Windows, infetando mais de 230.000 sistemas em todo o mundo.

Perda, roubo e violação de dados
Listamos aqui esta questão porque a perda, o roubo e a violação de dados é um tema muito sensível, principalmente desde que começou a ser aplicável o Regulamento Geral de Proteção de Dados, a 25 de maio de 2018.

Para garantir a proteção da privacidade dos cidadãos, as empresas passaram a ser obrigadas a recolher e processar dados pessoais só para objetivos legais e proteger sempre esse dados.

Os requisitos de segurança incluem prevenção de destruição acidental ou criminosa, perda, processamento, divulgação, acesso e alteração. Ou seja, estes requisitos devem garantir, entre outros, os direitos ARCO (Acesso; Retificação; Cancelamento; Oposição).

As penalizações para quem não se preparar devidamente para evitar a violação da segurança dos dados serão severas. O RGPD estabelece um quadro de aplicação de coimas assente em dois escalões (em função da gravidade), a saber:

• Nos casos menos graves, a coima poderá ter um valor até 10 milhões de Euros ou 2% do volume de negócios anual a nível mundial, consoante o montante que for mais elevado;
• Nos casos mais graves, a coima poderá ter um valor até 20 milhões de Euros ou 4% do volume de negócios anual a nível mundial, consoante o montante que for mais elevado.

No primeiro caso, as coimas aplicar-se-ão a falhas no cumprimento de exigências técnicas ou organizacionais, como, por exemplo, falha na comunicação de violações das suas bases de dados, ou falta de certificações.

No segundo, para os casos mais graves de violação dos princípios básicos relacionados com a segurança dos dados, como, por exemplo, o não respeito pelo consentimento dado pelo utilizador, a transferência de dados pessoais para outros países ou organizações que não assegurem um determinado nível de proteção de dados.

Ou seja, no que se refere à proteção dos dados, uma das regras fundamentais que o RGPD exige às empresas é que garantam a segurança dos dados pessoais dos seus clientes, incluindo a proteção contra o seu tratamento não autorizado ou ilícito e contra a sua perda, violação, destruição ou danificação acidental. Para tal, há que adotar medidas de segurança concretas e tecnologias adequadas.

3. Quais os procedimentos básicos para evitar a exposição aos ciber-riscos?

a) Instalar antivírus e outros programas que identifiquem malware nos computadores e dispositivos;

b) Instalar sistemas de deteção de intrusão e firewalls;

c) Educar colaboradores para não seguirem links que sejam provenientes de uma fonte não credível;

d) Não ter a mesma password para serviços diferentes e incluir nas passwords símbolos alfanuméricos e sinais de pontuação. Além disso, é aconselhável desativar o preenchimento automático para utilizadores e senhas;

e) Estabelecer permissões para restringir acessos ao sistema;

f) Proteger redes Wi-Fi;

g) Investir numa Virtual Private Network (VPN). Este software cria uma conexão segura e privada na Internet para poder conectar-se a partir de qualquer lugar;

h) Reforçar cuidados com ataques de phishing, de pharming e e-mails de spam. Por exemplo, desconfie de e-mails com as extensões .co, .exe, .scr, .pif, .cmd, cpl, .bat, .vir e zip – mesmo que tenham sido enviados por pessoas que conhece ou que sejam da sua confiança;

i) Reforçar a proteção de dados existentes na cloud. Mantenha sempre os dados encriptados, de forma a que possam ser vistos apenas por quem possui acesso à cloud;

j) Fazer com alguma regularidade backups dos dados da cloud;

k) Assegurar o cumprimento dos direitos ARCO (Acesso, Retificação, Cancelamento e Oposição) do RGPD;

l) Analisar a necessidade de contratar um Chief Security Officer (CSO).

4. O que mais posso fazer depois de proteger os ativos da empresa?

Contratar um seguro contra os ciberataques. Na atualidade, nenhuma empresa está imune a ataques cibernéticos, interrupções de rede, de serviços, de negócios ou mesmo de violações de dados. Contratar um seguro contra ciberataques é, por isso, um investimento inteligente para qualquer empresa, sobretudo agora que o RGPD está em vigor.

Apesar das empresas estarem muito mais inclinadas a investirem em seguros que protegem ativos tangíveis do que em seguros específicos para cibersegurança, o ambiente regulatório vigente poderá, a curto prazo, alterar esta tendência – uma vez que o impacto financeiro que a perda e violação de dados representa poderá, em muitos casos, ser muito superior àquele que envolve danos patrimoniais e/ou equipamentos.

Este tipo de seguro pode incluir cobertura para alguns dos seguintes incidentes:

• Ativos digitais danificados ou perdidos, como dados e software;
• Perdas de oportunidades de negócios ou aumento de custos operacionais devido a uma interrupção dos sistemas da empresa;
• Extorsão cibernética se o hacker detiver os dados do segurado para resgate;
• Dinheiro roubado através de um cibercrime;
• Violações de segurança da confidencialidade dos funcionários;
• Perda de dados e informações dos clientes;
• Notificação do cliente após uma violação de segurança;
• Esforços de relações públicas, sobretudo no que toca a assegurar a reputação da empresa e violações de propriedade intelectual.

Veja também:

• 9 sinais alarmantes de falta de segurança informática nas PME’s
• 12 formas de melhorar a cibersegurança do seu negócio
• Proteção de dados e cibersegurança: desafios para 2018
• Segurança na Internet: 11 mitos desvendados