Os mitos por detrás da cibersegurança
O cibercrime está na ordem do dia e não há propriamente ninguém que desconheça que esta é uma crescente ameaça. No entanto, tal não impede que se continuem a cometer alguns erros crassos, fruto de inúmeros mitos associados à cibersegurança. O resultado tende a ser uma maior exposição ao risco do que seria desejável, consequência de posturas mais complacentes e de abordagens erradas aos perigos existentes.
Tomar consciência de quais são esses mitos é um passo fundamental para mudar a forma como particulares e empresas se protegem dos ataques cibernéticos.
A cibersegurança envolve apenas competências técnicas
Se vamos falar de mitos ligados à cibersegurança, há um que é decisivo na forma como se olha para esse enorme risco que é o cibercrime, porque desta consciência depende a aquisição de uma perceção quanto ao que está verdadeiramente em causa. É que, quando falamos de cibersegurança, não estamos a tratar apenas de uma questão tecnológica, mas também de uma questão humana.
Boa parte dos ataques possuem uma boa dose de psicologia social. Isto porque muitos ataques contam com a suscetibilidade do ser humano às falhas, impulsos e comportamentos mais imprudentes. É muitas vezes assim que as quebras de segurança se dão.
Atender aos riscos e conseguir uma maior proteção implica compreender as vulnerabilidades dos indivíduos e, portanto, trabalhar junto dos diferentes stakeholders para uma consciencialização quanto à importância de se ter sempre algum nível de alerta e de compreender quais as melhores práticas para se atuar em segurança.
Do outro lado, o do cibercrime, há verdadeiros especialistas na natureza humana e nos métodos que mais facilmente fazem com que o bom senso e o estado de alerta caiam por terra.
Só o departamento de TI é responsável pela cibersegurança
Este é um dos grandes erros que muitas vezes se comete em empresas e outras organizações. Pensar que a cibersegurança é demasiado complexa para os mais leigos – e que, portanto, respeita apenas aos especialistas – aumenta consideravelmente os riscos de um ataque. Não só porque em causa não estão apenas técnicas ou ferramentas altamente sofisticadas, como porque as ameaças podem mesmo vir de um simples utilizador mais incauto.
Os ataques são cada vez mais sofisticados e as brechas podem estar em todo o lado. Garantir que todos os colaboradores têm uma preocupação constante e diária com a segurança cibernética e estão informados sobre os principais perigos e as medidas a tomar é muito importante. Medidas como o uso de passwords fortes, o cuidado com a segurança de dados fora do local de trabalho ou a atenção a tentativas de phishing são da maior importância.
Todos os colaboradores têm a sua quota parte de responsabilidade. Não há gestor de cibersegurança e tecnologia de topo de gama que, por melhor que seja, consiga prevenir a ocorrência de ataques se os colaboradores não souberem perceber o que está em causa e fazer bom uso das ferramentas tecnológicas de cibersegurança colocadas ao seu dispor.
Basta instalar as proteções necessárias e acabam-se as preocupações
Se há algo que tem pouco ou nada de imutável são as tecnologias. Não é um exagero se dissermos que todos os dias surge uma mudança, uma inovação na ‘arte’ de atacar a segurança cibernética. No entanto, existe ainda uma tendência para se pensar que, uma vez tomadas algumas medidas básicas como o uso de passwords fortes, firewalls e sistemas antivírus, não há motivo para alarme ou preocupações.
Ora, a verdade é que este é um trabalho que nunca está concluído. Assim, é fundamental que exista uma monitorização permanente por forma a estar a par das ameaças mais recentes, garantir que os sistemas de proteção existentes estão atualizados, recorrer a métodos de autenticação multifatoriais e ir realizando ajustes e melhorias sempre que necessário. E, claro, como atrás referido, ter presente que existe uma variável de mais difícil controlo: o ser humano.
Isto quer dizer que os seres humanos são o elo mais fraco da cibersegurança? Longe disso. Se forem formados e capacitados para agir em segurança, podem ser absolutamente decisivos na proteção contra o cibercrime.
A ameaça vem sempre de fora
Nada pode ser mais enganador. Uma parte considerável dos ataques cibernéticos não são externos, ocorrendo dentro das organizações.
Estar-se dentro da organização e conhecer o funcionamento interno de processos e sistemas constitui uma grande vantagem competitiva para o cibercrime e uma enorme tentação para quem, estando no interior, não resiste a tirar partido para proveito próprio.
Ignorar as ameaças internas promete ser uma péssima ideia para as empresas. É evidente que tomar medidas nesse sentido pode ferir suscetibilidades, por ter subjacente uma desconfiança face aos próprios colaboradores. Mas o acesso privilegiado à informação por parte dos funcionários de uma organização – ainda que em maior ou menor escala consoante as funções desempenhadas – traz também uma responsabilidade adicional que as empresas não podem ter receio de exigir.
Dito isto, as ameaças internas não têm necessariamente dolo associado. Basta pensarmos na maior vulnerabilidade dos dados das empresas resultante do ‘boom’ do ‘home office’, espoletado pela pandemia.
A tomada de medidas de maior vigilância e controlo, a par de um trabalho pedagógico de sensibilização para comportamentos mais seguros, são essenciais.
Só as grandes empresas é que têm de se preocupar
Pensar que, porque se tem um pequeno negócio ou uma PME, se está a salvo de um ataque é, evidentemente, um enorme mito. Não são só as grandes empresas os alvos apetecíveis. Quando em causa estão questões tão importantes como a privacidade, reputação e confidencialidade, existe sempre um risco associado. A diferença pode depois estar no tipo de medidas de proteção que é preciso tomar, mas, nos dias de hoje, ninguém está livre de um ataque cibernético. A não ser, claro, que se esteja absolutamente desconectado da Internet, o que hoje começa a ser praticamente impossível.
Por outro lado, um ataque pode ter origem não apenas em motivos financeiros, mas também de origem pessoal, ideológica, entre tantos outros. E quem realiza este tipo de ações criminosas sabe que as organizações de menor dimensão tendem, precisamente, a ser mais vulneráveis e a estar menos equipadas para se defenderem.
Os particulares estão fora do radar do cibercrime
Outra crença muitas vezes existente reside na ideia de que os hackers apenas querem saber de empresas ou, se escolherem um particular como alvo, tratar-se-á seguramente de alguém com muito dinheiro ou com exposição pública. Nada podia ser mais enganador.
Todos os dias, a cada minuto, acontecem ataques a particulares, nomeadamente de phishing, em que se procura, por exemplo, obter informações confidenciais que dão acesso a contas ou dispositivos. O recurso a spyware, a colocação de vírus e outras estratégias são igualmente usadas com frequência para chegar a passwords, números de cartões de crédito, entre outras.
Mais uma vez, como acontece com as empresas de menor dimensão, o facto de os particulares serem vistos pelos hackers como sendo mais desprotegidos faz deles alvos apetecíveis.
Só os computadores e laptops podem ser vítimas de malware e vírus
Não são só os computadores e laptops que podem ser alvo de ataque. Os smartphones, os tablets e mesmo outro tipo de dispositivos móveis também estão expostos a este risco.
Da mesma forma, pensa-se frequentemente que tão pouco podem ocorrer ciberataques nas redes sociais. A realidade mostra-nos até o oposto, ou seja, que estas plataformas estão tornar-se um alvo preferencial. Cartões-presente falsos ou fraudes nas pesquisas são exemplo de estratégias usadas.
Ainda nesta lógica de divisão do mundo entre o que é seguro e o que não é, existe também uma tendência para se pensar que tudo o que sejam dispositivos Apple não apanham vírus, ao contrário do que acontece com equipamentos de outras marcas. Ora, se é verdade que os PC’s tendem a ser alvos preferenciais, começam a surgir ataques a dispositivos Apple. Não deve, portanto, baixar-se a guarda nestes casos.
Sobrestimar as competências individuais de deteção de possíveis ataques
Pensar-se que se está a salvo de ataques cibernéticos, por se ser alguém extremamente atento, consciente e informado sobre os riscos existentes, é um enorme erro.
Mesmo a pessoa mais alerta possível pode, em algum momento, ser apanhado nas malhas do cibercrime. Ter noção das próprias fragilidades, num mundo em que a sofisticação dos criminosos é cada vez maior, é absolutamente crucial para que não se “baixe a guarda”.
Relacionado com este tema, existem depois diversas crenças de perceção de um grau de controlo que não é real. Exemplo disso é pensar-se que, porque se usa apenas sites legítimos, nada de mal pode acontecer, o que é errado já que muitos têm vulnerabilidades ainda assim. Ou então, estar-se certo de que, ocorrendo um ataque, se irá perceber de imediato que o mesmo aconteceu. A verdade é que quanto mais tempo um hacker conseguir passar despercebido, mais informação conseguirá retirar até ser apanhado e, portanto, apostará tudo em ser silencioso o máximo de tempo possível.
Tomar consciência de que temos alguns destes mitos interiorizados ajuda a garantir uma melhor preparação contra as ameaças crescentes do cibercrime. E, se pensar que o investimento em cibersegurança é demasiado elevado ou desnecessário, pense duas vezes. Todo o investimento em proteção com qualidade, quer em termos tecnológicos quer de formação de colaboradores, é muito pouco quando comparado com o dinheiro e reputação que se pode perder em caso de um ciberataque.
Apostar na segurança cibernética vai revelar-se um enorme benefício, prevenindo ataques, minimizando os danos daqueles que não for possível evitar e garantindo, assim, maiores vantagens competitivas e a preservação de um ativo fundamental nos dias que correm, a confiança.