Opinião

É como andar de bicicleta... nunca se esquece

Ricardo Marques


Enquanto lia sobre a vontade do Desporto Escolar em apostar no ciclismo, de forma que as crianças aprendam a andar de bicicleta, e tendo em conta a expressão que se ouve de forma recorrente – “é como andar de bicicleta...nunca se esquece” – refleti sobre o facto de estarmos a assistir a um fenómeno do mesmo género nas empresas que começam agora a apostar na formação em cibersegurança para os seus colaboradores.

Todos dias somos bombardeados com notícias de ciberataques a nível internacional, mas também nacional, através de esquemas, sobretudo de phishing e ransomware, cada vez mais complexos, e que muitas vezes acontecem devido ao erro humano. E quando falo de erro, falo de decisões básicas que tomamos sem pensar nos riscos que podem ser realmente catastróficos.

A realidade de passarmos a trabalhar fora do espaço – físico e protegido – do escritório, levou a que as empresas aumentassem a perceção dos riscos que estavam a correr, como por exemplo uma maior exposição a ataques ou maior dependência do comportamento seguro que os colaboradores possam ou não adotar. A sustentar tudo isto, chegou-se à conclusão de que 38% das empresas reconheceu que foi vítima de ataques de phishing no primeiro ano da pandemia, tal como 36% das empresas não tinha a certeza se os seus colaboradores eram capazes de prevenir e detetar um ciberataque. Portanto, e para mitigar esses riscos, não se trata apenas de apostar todas as fichas em soluções informáticas e ficar descansado que o assunto fica assim resolvido. Há que prestar também atenção às pessoas que fazem parte da empresa, todas elas sem exceção, pois o fator humano pode ser visto como o elo mais fraco e o responsável por abrir a porta de entrada para o caos que depois se segue.

O fator humano é reconhecido como o elo mais fraco nesta cadeia da cibersegurança. Daí a importância de as pessoas começarem a desenvolver um pensamento crítico que as ajude a filtrar e reconhecer as ameaças que as rodeiam no mundo digital, tendo para isso cuidados redobrados com o que expõem nas redes sociais, mensagens, por exemplo, bem como qualquer interação que apele ao sentido da urgência, pedindo para abrir um link, anexo ou responder diretamente a um e-mail... Nestes casos é mesmo de suspeitar!

Jenny Radcliffe, conhecida mundialmente como ‘The People Hacker’, referiu recentemente que “a maioria das pessoas não está consciente do seu valor dentro da empresa. Todos, desde o CEO até aos estagiários, são suscetíveis a ataques de engenharia social” e que a curiosidade, o medo, a empatia ou mesmo a solidão são as principais ferramentas utilizadas em ataques. Assim, é importante apostar na formação e, felizmente, tem-se assistido a um pedido crescente das empresas em serviços relacionados com programas de formação e sensibilização em cibersegurança.

A experiência mostra-nos que empresas de grande dimensão em áreas como banca, saúde, retalho, telecomunicações, apostam em programas à medida, plurianuais e com métodos diversos de formação, como por exemplo e-learnings, workshops presenciais, webinars, newsletters, posters, tips of the day, testes de engenharia social para testar periodicamente os colaboradores, entre outros, enquanto empresas de média dimensão apostam mais em plataformas de formação/teste de cibersegurança usando conteúdos standard fornecidos por estas mesmas plataformas. Além disso, a preocupação das empresas não se tem centrado apenas em dar formação a grupos de média/grande dimensão, mas nota-se uma maior preocupação em criar programas específicos para C-Level/VIPs pois, dado o seu perfil e a relevância da informação a que têm acesso, tornam-se alvos cada vez mais apetecíveis para potenciais agentes maliciosos.

Por isso, e tendo em conta a tendência crescente no pedido deste tipo de iniciativas, todos os sinais apontam para que a segurança das organizações dependa cada vez mais dos níveis de sensibilização dos seus colaboradores para estas temáticas e no grau de preparação dos mesmos quando (e é QUANDO e não SE) forem alvo de um ataque.

PUB