Por Ricardo Oliveira, Consulting Services Director da Eurotux
Os conflitos de cibersegurança nos anos de 2020, 2021 e 2022 foram facilitados pela pandemia COVID-19 (e como tal pelas medidas implementadas pelas organizações, como forma urgente de viabilizar as operações o mais possível normais, muitas vezes avulso) e as consequências decorrentes destas alterações refletir-se-ão nos anos vindouros. Para além da necessidade urgente de mudança para modelos de trabalho remoto ou híbrido, verificou-se ainda por força das circunstâncias uma aceleração drástica na digitalização de processos de negócio realizada em muitas circunstâncias com principal preocupação na rápida operacionalidade. Quase sempre esta aceleração pecou pela falta da disciplina da cibersegurança (que assegura por exemplo avaliação prévia e realista de riscos e determinação de medidas de tratamento dos mesmos) envolvida nestas decisões.
Além disso, e ainda que se tenha verificado um incremento global dos incidentes de cibersegurança fruto do contexto geopolítico em 2022, vários países Europeus foram conotados em plataformas da Darkweb como frágeis em termos de investimento em cibersegurança, tornando-se em alvos especialmente apetecíveis. Como consequência, os incidentes de cibersegurança com impacto significativo aumentaram de forma considerável em Portugal, tirando partido das fragilidades inerentes à falta de maturidade nestes processos de digitalização. Muitas vezes estes incidentes foram centrados nas maiores fragilidades: o colaborador, a passividade em termos de tratamento de eventos de cibersegurança bem como a falta de maturidade das organizações em termos de cibersegurança (ações de sensibilização, processos, controlos, políticas). A Eurotux, utilizando a experiência internacional de vários anos em termos de resposta a incidentes de cibersegurança, foi elemento ativo em tarefas de recuperação desde o início de 2022, tendo verificado uma alteração significativa tanto em termos de padrão de comportamento como em termos de vetores de ataque.
O phishing, a par da utilização de credenciais obtidas seja pelas tentativas de bruteforce ou pela obtenção de API Keys / credenciais armazenadas nos repositórios de código das organizações com processos de criação/desenvolvimento de infra-estruturas como código, tipicamente utilizando plataformas cloud, foram especialmente explorados como vetor inicial de intrusão; a inexistência de múltiplos fatores de autenticação acabou por ser determinante na agilidade com que os cibercriminosos – em algumas circunstâncias durante semanas ou meses – atacam sistemas até obterem credenciais ou privilégios sem que ninguém se aperceba. Depois da intrusão inicial, foram utilizados os tradicionais mecanismos de exploração de vulnerabilidades de software para movimentação lateral, aumentando a superfície de ataque ou os privilégios com que se leva a cabo um ataque muitas vezes concretizado na forma de ransomware ou de forma mais destrutiva.
A Eurotux tem obtido repetidamente uma conclusão: existem tipicamente várias evidências de tentativas de intrusões sem e com sucesso, seguidas de exploração de vulnerabilidades e obtenção de privilégios crescentes que permanecem ignoradas até que, semanas ou meses depois, se concretiza o expoente máximo do ataque. A existência de uma atividade de monitorização de segurança – o já tradicional SOC – que passa pela análise permanente de eventos, identificação de comportamentos padrão, identificação atempada de vulnerabilidades e correspondentes ações de remediação teria como consequência que uma grande parte destes incidentes de cibersegurança teriam sido detetados a tempo, tendo como tal sido evitadas as consequências danosas para as organizações.
Conversámos com o Professor Pedro Nunes Oliveira Machado, do Instituto Superior de Educação e Ciências (CESICP/ISEC Lisboa, para nos ajudar a perceber como está o mercado perceber como está Cibersegurança em Portugal.
Como vê o mercado da cibersegurança em Portugal?
Portugal continua num processo evolutivo no que concerne à cibersegurança. Todavia, ao contrário do que muitos possam pensar, a sua avaliação deve ser devidamente realizada em contexto, nomeadamente em perspetiva endógena e exógena.
Se tivermos em conta o atual contexto externo, seguindo a ferramenta PESTLE nos planos Político, Económico, Social, Tecnológico, Legal e Ambiental (Environment), identificamos vários riscos diretos e indiretos para a cibersegurança nacional. Bastariam apenas o conflito na Ucrânia e a COVID19 para facilmente compreender a forma como os vários acrónimos são afetados por estes dois eventos.
Quanto ao atual contexto interno, seguindo a ferramenta POTI nas suas dimensões Processos, Organização, Tecnologia e Informação, identificamos igualmente diversos riscos diretos e indiretos, nos setores públicos e privados, ao nível da evidente necessidade de melhoria de processos e organização e de inovação nas infraestruturas tecnológicas (TIC e não-TIC), bem como debilidades na gestão de dados – no que resulta evidente que a cibersegurança deve constar nas principais prioridades para Portugal.
Com esta explicação, facilmente compreendemos que a cibersegurança exige um trabalho contínuo, tendo em conta que os contextos interno e externo estão permanentemente em mudança, especialmente ao nível das dimensões acima referidas. Qualquer avaliação sobre o seu estado carece de revisão permanente, pois, de outro modo, torna-se rapidamente desatualizada e inadequada face a rápida mudança nos contextos que a influenciam. Infelizmente, nem todos compreendem a importância da necessidade de revisão das estratégias e orçamentos para a cibersegurança, tendo em conta os contextos que as organizações vivem. Certamente que o contexto antes do conflito da Ucrânia era diferente do atual; os momentos de confinamentos com obrigação de trabalho remoto são igualmente muito diferentes do presente.
O aumento de programas de literacia digital e de consciencialização para a cibersegurança dos cidadãos e organizações tem contribuído muito positivamente para uma utilização mais adequada das tecnologias e consciência dos riscos do ciberespaço. Contudo, ainda existe alguma necessidade de desenvolvimento nestes planos.
Não obstante o profícuo trabalho que o Centro Nacional de Cibersegurança (CNCS) tem vindo a fazer, no desenvolvimento e disponibilização de cursos presenciais e online (MOOCs) sobre estas temáticas, não se dispensa o trabalho que todas as demais entidades públicas e privadas devem igualmente promover, especialmente em programas de Educação que garantam uma ministração adequada no ensino básico, secundário e superior.
Ainda que compreendamos a necessidade de investimentos em tecnologias, urge convergir para a capacitação e consciencialização do uso adequado das mesmas, por forma a garantir uma melhor segurança no ciberespaço.
Ainda se verifica um défice de profissionais habilitados, dificultando os processos de recrutamento e a retenção de talento nas organizações, e mesmo no país, onde muitos (bons) especialistas acabam por abraçar desafios profissionais em geografias que proporcionam desenvolvimento de carreira, experiências e remunerações mais atrativas.
Quais os principais problemas das empresas na adoção de soluções de segurança tendo em conta a migração para a Cloud e trabalho híbrido?
A migração para a Cloud e o trabalho híbrido não são mais do que tendências e comportamentos resultantes da influência dos contextos interno e externo a que as organizações estão sujeitas.
Naturalmente, a adoção destas tendências e comportamentos tecnológicos traz várias oportunidades e benefícios, mas que nem sempre são devidamente analisados nas ameaças que igualmente corporizam, mesmo que algumas destas sejam deveras evidentes. E é precisamente por esta razão que a regulação tem assumido um papel preponderante.
Se pensarmos nas obrigações legais de proteção de dados pessoais, muitos ainda pensam que o Regulamento Geral sobre a Proteção de Dados (RGPD) trouxe consigo um novo mundo iniciado a 25 de maio de 2018, data em que o RGPD passou a ser aplicável, esquecendo que a esmagadora maioria das obrigações legais que lá contam já existiam na Diretiva 95/46/CE que foi transposta para a ordem jurídica portuguesa pela Lei n.º 67/98 de 26 de outubro, ou seja, 20 anos antes.
Hoje, o mercado está bastante desperto para os requisitos legais do RGPD, especialmente ao nível da segurança dos dados e dos fluxos transfronteiriços que tanta relevância técnica trazem quando se discutem soluções Cloud.
Ainda assim, a análise da segurança em contextos de Cloud exige a realização de uma avaliação casuística, atendendo às especificidades do tipo de Cloud, nomeadamente arquitetura e integrações que permitam identificar os riscos ao nível da confidencialidade, integridade e disponibilidade; por norma, esta última estará mais mitigada, esperando-se que resida maior risco para a confidencialidade e integridade, dependendo da arquitetura, do eventual envolvimento de entidades terceiras e do tipo de dados em causa, nomeadamente, o seu valor para as pessoas singulares e/ou coletivas.
Está o ecossistema empresarial português preparado para lidar com o crime? Que fazer para melhorar a prevenção?
O ecossistema empresarial português ainda se encontra num processo evolutivo, do ponto de vista da literacia das pessoas, da maturidade dos processos de negócio e ao nível dos controlos tecnológicos. Também será justo apontar que tem vindo a ser realizado algum trabalho nestes domínios. Porém, muitas vezes fruto de pressão regulatória e de obrigações legais, o que corporiza que nem todas as organizações estão verdadeiramente conscientes para que os investimentos que realizem sejam motivados por uma real perceção do risco (ameaças e benefícios).
Quanto à prevenção, recomendo muito especialmente a promoção do aumento da literacia e da consciencialização dos utilizadores (colaboradores, clientes, prestadores de serviços, parceiros, etc.), seguindo-se uma melhor adequação ao nível dos processos e tecnologias por forma a garantir a proteção da organização.
O conceito de cloud soberana está a ganhar força na Península Ibérica. A verdadeira descoberta depois deste modelo que promete conformidade regulamentar e custódia de dados em Portugal e Espanha é que as empresas terão finalmente a ferramenta mais valiosa: o controlo sobre os dados.
Anúncios de aberturas de regiões de cloud na Península Ibérica, com especial destaque para a nossa vizinha Espanha, têm acontecido nos últimos anos. A IBM, AWS, Microsoft, Oracle e Google Cloud anunciaram novas zonas nos últimos anos. Alguns já se concretizaram, como é o caso da Mountain View, que acaba de ser proclamada a primeira hiperescala a abrir uma região de cloud em Espanha.
Durante a sua apresentação oficial, Isaac Hernández, diretor-geral do Google Cloud para a região da Península Ibérica, ligou a adoção da cloud ao nível de modernização de um país. A 33ª região global de rede da empresa oferecerá baixa latência (apenas 1 ms), elevada disponibilidade e proteção de dados para as empresas. Estes são os maiores atrativos de qualquer região de cloud que se preze : a proximidade dos dados que garantem a conformidade regulatória e, acima de tudo, o seu controlo .
A garantia de confidencialidade, segurança e soberania de dados da primeira região de cloud operacional na Península Ibérica será reforçada através da SIA, uma subsidiária de cibersegurança da Minsait, parceiro estratégico da Google. A empresa espanhola contribuirá, tal como foi anunciado no momento do lançamento oficial da região de cloud de hiperescala, a sua experiência na gestão de chaves de encriptação externa, serviços de segurança, gestão de infraestruturas em cloud e suporte ao local, bem como a auditoria em curso do centro de dados. A encriptação dos dados em repouso e em trânsito será garantida.
Confiança e hibridização como conceitos-chave
A cloud soberana pode trazer muitos benefícios para as empresas. O conceito é “muito interessante” para María Jesús Castro, Diretora de Organização e Sistemas da DKV Seguros. “A dependência de países terceiros em questões muito diversas pode gerar tensões e insegurança, tanto na operação como no controlo de quem acede aos dados”, afirmou em declarações ao Computerworld.
Assim, o conceito de cloud soberana parece ser a proposta de valor final na segurança, embora não seja sem desafios. Para María Jesús Castro, são “as mesmas propostas às empresas que utilizam serviços na cloud”. Com isso quer dizer confiança. “A confiança na ética dos fornecedores e na honestidade é muito importante”, diz. “Temos de confiar que os regulamentos, normas e políticas de segurança que se aplicam são cumpridos”, explica, porque o controlo não está diretamente na empresa que acolhe os seus dados na cloud.
É necessário assegurar, por exemplo, que o acordo no contrato seja cumprido e que os controlos estabelecidos garantam que a informação não seja acedida sem a autorização do proprietário. Isto também deve ser alargado às empresas subcontratadas pelo prestador de serviços na cloud.
Enrique Cervantes, CISO da Fintonic, uma empresa fintech, acredita que o principal desafio continuará a ser a “hibridização” deste tipo de cloud com ambientes no local e outros serviços na cloud que continuarão a ser necessários. “Isto implica a necessidade de estratégias baseadas em arquiteturas de segurança global” que permitam “elementos comuns para prevenir, detetar e responder a incidentes em infraestruturas”. É um grande desafio, adverte, “especialmente se pensarmos em perímetros mal definidos ou na monitorização de ambientes tão heterogéneos”.
A cloud soberana garante o controlo dos dados?
Para Enrique Cervantes, falar de garantias ou 100% de cibersegurança é muito complexo. No entanto, salienta que uma zona de disponibilidade em cloud “simplifica os procedimentos e, em geral, a gestão de todo o ciclo de vida dos dados e da sua localização” o que contribui, sem dúvida, para um melhor controlo.
Na mesma linha, María Jesús Castro fala. Uma garantia de 100% é “muito difícil”, diz, porque a empresa que contrata o serviço não tem a gestão. “Será possível avançar para ter provas de que o controlo de acesso é feito corretamente e que ninguém acede à sua informação sem a sua permissão”, explica. O que garante é que “nenhum país terceiro teria acesso à sua informação sem o seu conhecimento ou autorização, porque o fornecedor de cloud está sujeito a legislação que não a sua”.
Neste sentido, vale a pena mencionar a Cloud Act, a lei federal dos EUA aprovada em março de 2018 e que permite ao governo deste país aceder a dados armazenados por empresas americanas, independentemente do local onde estão localizados, sim, por ordem judicial justificada por razões de segurança. Como é que isto entra em conflito com o Regulamento Geral europeu de Proteção de Dados (RGPD)? O artigo 48º do regulamento especifica a necessidade de um acordo para a transferência de dados para fora da UE e só o permite quando forem cumpridos determinados requisitos de proteção e garantias de conformidade.
Importa que as empresas Ibéricas usem fornecedores europeus para garantir um maior controlo sobre a localização dos dados, uma vez que estarão mais alinhados com o RGPD.
Fomos sentir o pulso ao mercado, para perceber a visão dos fabricantes das soluções fundamentais para a vida de qualquer organização a operar em Portugal e no Mundo. Convidámos os principais fabricantes de soluções de cibersegurança, a darem-nos a sua visão sobre o mercado nacional. Quisemos saber como veem o mercado da cibersegurança em Portugal? Quais os principais problemas das empresas na adoção de soluções de segurança tendo em conta a migração para a cloud e trabalho híbrido? E quais as soluções que têm no seu portefólio que um IT Líder de uma média empresa deve ter em consideração para implementar na sua empresa tendo em conta os problemas atuais e os custos?
Nos últimos dois anos as empresas tiveram de adotar modelos que tinham em plano para o futuro, antecipar modelos que estavam a ser estudados para colocar em prática mais tarde, ainda com dúvidas nos custos de operação e em quais os modelos mais adequados para a sua gestão. Os mais inovadores aqui e ali avançavam no seu plano dando exemplos e imprimindo ritmos a cada conquista, a transformação digital iniciava o seu caminho condicionado pelos ritmos de cada setor, em cada localização quer nacional, quer internacional. Era ainda cedo para ter certezas. Com a pandemia o que estava em plano passou a ser prioridade e de repente a Cibersegurança ganhou uma dimensão e uma importância que levou as empresas a não poderem de arriscar prescindir dela e das suas soluções de proteção e defesa. O mercado acelerou a transformação digital, e a par dessa transformação vieram os riscos que só os fabricantes de puderam dar capacidade às empresas e adotarem modelos de digitalização que lhes permitisse construir uma gestão sólida na cloud, processos de automação, governança de dados entre outros de modelos necessários à transformação digital de uma organização. O primeiro impacto do período imediato ao primeiro confinamento, gerou a urgência, com o passar do tempo e a diminuição dos fatores pandémicos e da estabilização da segurança da sociedade foi necessário olhar com mais foco, e dar continuidade ao que a urgência tinha criado, e deixou de fazer sentido não seguir em frente. Todos seguimos em frente, e abraçámos a realidade de uma forma muito mais proativa a utilizar estratégias e políticas com foco no que será melhor para a empresa, e para os colaboradores, e todos percebemos sem um bom sistema de segurança e modelos de prevenção sólidos será impossível qualquer organização vingar independentemente do seu setor, da sua estrutura ou dimensão.
Check Point
Cibersegurança e empresas: problemas e soluções
Rui Duro, Country Manager da Check Point Software Technologies
Para Rui Duro, Country Manager da Check Point Software Technologies, os mercados de qualquer setor refletem as condições e circunstâncias em que se inserem. Em Portugal, como no mundo, o mercado da cibersegurança está evidentemente em crescimento. E isto explica-se em três fatores. Começando por reconhecer o elefante da sala, a forma como a pandemia impulsionou a transformação digital nas empresas veio evidenciar uma série de necessidades que até então estavam esquecidas ou por detetar. Na mesma medida, vimos (e vemos) as ameaças a adquirir cada vez mais sofisticação e a impactar cada vez mais empresas, empresas estas que têm aumentado não só em número, como também em criticidade. De acordo com as previsões da IDC, até 2024, 33% das PMEs deverão sofrer fortes disrupções todos os trimestres, o que irá causar interrupções nos negócios de pelo menos uma semana por trimestre. Ora, tudo isto nos leva ao terceiro fator. Os gestores de TI vêm lentamente a aperceber-se da importância de proteger os ativos empresariais e a dedicar o orçamento TI a soluções tecnológicas cada vez mais robustas. De acordo com um relatório global da IDG de janeiro deste ano, mais de metade (57%) dos CIOs inquiridos indicam os melhoramentos de segurança como razão primordial para aumentar o orçamento tecnológico.
Estando finalmente tomada a decisão de atualizar o ecossistema de cibersegurança, as empresas deparam-se com a dificuldade de escolher a solução ou soluções que melhor se adaptem ao ambiente corporativo já instituído e que melhor responda às ameaças que chegam diariamente a uma organização. A acrescentar às limitações de orçamento, é necessário contornar a complexidade da gestão das infraestruturas cloud e das múltiplas plataformas tipicamente associadas à proteção abrangente dos recursos de uma empresa. Por outro lado, o setor das TI há muito que sofre uma lacuna de competências e conhecimentos na área, o que naturalmente agrava o panorama de ciberameaças.
Mais do que nunca, é necessário apresentar às organizações soluções verdadeiramente abrangentes, unificadas e fáceis de gerir. O intuito de profissionalizar a proteção dos nossos recursos com soluções especializadas não é de todo atrapalhar os fluxos de trabalho. Pelo contrário. O Cloud Security Report 2022, estudo da Check Point Software que contou com a participação de 775 profissionais de cibersegurança de todo o mundo e que procurou averiguar as principais dificuldades sentidas pelos mesmos, dá conta de que 75% dos responsáveis inquiridos preferiam trabalhar com uma plataforma de segurança unificada com um único painel de controlo, onde se pudesse configurar todas as políticas necessárias para proteger os dados na cloud. Ainda assim, de acordo com o mesmo estudo, 80% tem de fazer malabarismos com 3 ou mais painéis.
Neste momento, soluções que adotam o modelo SASE são, de facto, as que melhor respondem a estas problemáticas. Implementar um sistema SASE tem muitas vantagens para organizações que precisam de apoiar o número crescente de trabalhadores remotos e escritórios, enquanto priorizam segurança e prevenção contra ameaças.
No portfólio da Check Point Software, o Harmony Connect SASE responde à crescente expansão dos perímetros das empresas, permitindo que os responsáveis giram de forma centralizada e consistente a política de segurança em toda a rede, incluindo os dispositivos à distância. O Harmony Connect adota uma abordagem que privilegia a segurança ao fornecer serviços de segurança cloud unificados, incluindo firewall de última geração, prevenção avançada contra ameaças, segurança para Gateways web, acesso à rede zero-trust, bem como prevenção contra perda de dados e sistema.
Sophos
“No clima atual, diria que o Sophos Intercept X with XDR e a Sophos ZTNA (Zero Trust Network Access) são as duas ferramentas mais importantes, porque oferecem uma estrutura para trabalhar com segurança em qualquer lugar.”
Chester Wisniewski, Principal Research Scientist, Sophos
No olhar de Chester Wisniewski, Principal Research Scientist, Sophos, em termos de cibersegurança, as organizações portuguesas necessitam de conseguir evoluir de produtos de segurança não integrados para sistemas adaptados de cibersegurança que tenham a capacidade de conseguir identificar e mitigar, tanto quanto possível e de uma forma automatizada, possíveis ameaças. Também precisam de uma equipa de especialistas disponíveis 24 horas por dia, 7 dias por semana, altamente formados e treinados em técnicas de threathunting, que analisem os sinais de ameaça, por mais fracos que possam parecer, de forma a evitarem incidentes de segurança antes de estes acontecerem. O Ecossistema de Cibersegurança Adaptativo da Sophos dá resposta a esta nova realidade, disponibilizando as melhores soluções de proteção, visibilidade, investigação e resposta a incidentes. Com o nosso serviço Managed Threat Response (MTR), disponibilizamos uma equipa dedicada de especialista em cibersegurança e threat hunting, 24/7, para conseguir identificar e neutralizar rapidamente as ameaças, por mais sofísticas e complexas que sejam.
O executivo da Sophos entende que no que diz respeito aos problemas das empresas na adoção de soluções de segurança tendo em conta a migração para a cloud e o trabalho híbrido, que, “simplesmente… há demasiadas soluções! Ter demasiadas opções para procurar ameaças leva à perda de muitas e à dificuldade em ver padrões complexos nas várias ferramentas. É vital que a capacidade de uma empresa para ver e correlacionar as ameaças se estenda a todas as principais fontes e métodos de acesso a informação, incluindo sistemas na Cloud, internos e remotos. Ter todas estas informações num só lugar é fundamental, pois os invasores modernos geralmente deixam um rasto de “migalhas” nos sistemas de segurança e este pode permitir às equipas de TI detê-los antes de lançarem o pior dos seus ataques. Os criminosos são adeptos de contornar as ferramentas de segurança, mas ainda acionam alguns alarmes à medida que invadem e se movem nas redes comprometidas para tentar atingir os seus objetivos. As equipas mais bem-sucedidas apanham estes sinais de alerta precoces e expulsam os atacantes antes que eles possam atingir os seus objetivos.
Para a Sophos, recolher e investigar as informações corretas é fundamental, e é por isso que todos os seus produtos reportam à Sophos Central, proporcionando um local único onde os incidentes de segurança podem ser descobertos e investigados. No clima atual, diria que o Sophos Intercept X with XDR e a Sophos ZTNA (Zero Trust Network Access) são as duas ferramentas mais importantes, porque oferecem uma estrutura para trabalhar com segurança em qualquer lugar, enquanto recolhem todas as informações necessárias para detetar os incidentes e dar-lhes resposta.
Fortinet
“Estamos a passar por um período de forte procura, procura que continua a superar a oferta acima de níveis históricos.”
Paulo Pinto, Business Development Manager da Fortinet Portugal
Paulo Pinto, Business Development Manager da Fortinet Portugal, entende que Portugal, assim como para o resto do mundo, a tendência é a mesma. Keith Jensen, CFO da Fortinet comentou (WSJ, May 06,2022) “estamos a passar por um período de forte procura, procura que continua a superar a oferta acima de níveis históricos”.
Ao nível das organizações portuguesas a cibersegurança afastou-se de vez da esfera única da tecnologia e mais do que ganhar prioridade tornou-se numa ferramenta de negócio de uso obrigatório para alinhar as estratégias de negócio, as tecnologias e as atividades de uma organização com o nível de risco que a organização quer assumir.
Este reposicionamento, se bem que positivo, não resolve per-si dois dos maiores desafios que se colocam hoje ás organizações: a lacuna de recursos humanos e conhecimento nesta área e o cenário de ameaça crescente decorrente de ataques cada vez mais destrutivos como os de ransomware.
Com efeito, organizações como a International Information System Security Certification Consortium, ou ISC2, afirmam que a procura por trabalhadores para a área da cibersegurança supera em muito a força de trabalho disponível. Para ajudar a compreender de que forma esta lacuna afeta as organizações a Fortinet realizou um estudo (ver “2022 Cybersecurity Skills Gap Global Research Report” ) que revela o impacto que a falta de recursos humanos na área da cibersegurança está a causar nas organizações. Entre as principais conclusões observamos as seguintes: (1) a cibersegurança afeta todas as organizações independentemente da sua dimensão ou setor de atividade; (2) o recrutamento e retenção de profissionais nesta área é um problema; (3) as organizações procuram pessoas com conhecimentos certificados; (4) as organizações procuram maior diversidade entre os possíveis candidatos; (5) aumentar a consciencialização sobre cibersegurança continua a ser um desafio fundamental.
De um outro ponto de observação, verificamos ainda que o crescimento do ransomware nos últimos anos constituiu uma fonte de rendimento mais confiável para os cibercriminosos do que as táticas anteriormente utilizadas, como os botnets. Como resultado a sua atividade prosperou e deu-lhes oportunidades para investirem em modelos de ataques mais sofisticados numa tentativa de ultrapassarem medidas de segurança que as organizações implementam. Entre estes modelos de ataques observamos as seguintes tendências: (1) maior volume de ataques e mais dirigidos por oposição a ataques generalizados; (2) simplificação dos processos de ataque mediante o recurso a “ransomware-as-a-service” disponibilizado por organizações criminosas; (3) incremento da velocidade dos ataques que lhes permitem explorar rapidamente vulnerabilidades novas sem que as organizações disponham de tempo para as corrigir.
Neste contexto o acesso atempado a informação sobre ameaças, Cyber Threat Intelligence, é chave, e é ainda mais importante do que antes para compreender como o cenário de ameaças muda ao longo do tempo, como por exemplo no caso dos ataques de ransomware anteriormente referidos, ou quando os processos de negócio mudam, como por exemplo com a mudança repentina para o trabalho remoto em 2020.
Para o responsavé da Fortinet, hoje, a maioria das organizações tem redes híbridas. Embora forneçam mais flexibilidade, também podem ser mais difíceis de proteger porque é extremamente difícil ter visibilidade e controle centralizados num ambiente distribuído e complexo. Além disso, muitas organizações carecem de uma solução de segurança integrada devido aos sistemas legacy ainda em uso que oriundos de distintos fornecedores se desmultiplicam em vários produtos e consolas de gestão não integradas.
O resultado desta heterogeneidade de fornecedores, produtos e consolas é que é praticamente impossível estabelecer um nível de visibilidade e controle persistente entre plataformas. A complexidade decorrente de tantos produtos não integrados cria lacunas na visibilidade e controle quer onprem quer na cloud – onde as vulnerabilidades não são mitigadas, os dispositivos mal configurados, a utilização dos serviços em cloud não são monitorizados e o comportamento anômalo não é investigado.
A resolução destes problemas passa pela adoção de uma abordagem holística da segurança, passa por recuar e colocar em causa algumas suposições sobre a proteção de redes híbridas e acima de tudo ter atenção ao ângulo morto de onde aparecem três problemas comuns, nomeadamente:
Um foco exclusivo na Cloud. Embora a adoção das plataformas e serviços em Cloud seja generalizada, poucas organizações escolhem apenas este caminho. A realidade é que a maioria das organizações tem e continuará a ter uma rede híbrida caracterizada por uma computação distribuída abrangendo locais de trabalho remotos, filiais, plataformas conectadas e serviços em vários cloud providers – levando a uma explosão no número de edges da rede. Portanto, a realidade prática é que as empresas precisam de soluções que possam dar suporte a uma rede híbrida e ao mesmo tempo proteger todas os edges da rede de forma consistente por meio informação sobre ameaças, Cyber Threat Intelligence, e automação para mitigar riscos em velocidade e escala. Este tipo de abordagem começa pela implementação de uma plataforma tipo Security Fabric da Fortinet que disponibiliza visibilidade e controle na LAN, WAN, ao nível do datacenter e da Cloud.
Ignorar a compatibilidade. Ao implementar soluções de segurança, muitas equipas optam tradicionalmente pela abordagem “best-in-class”. Por mais bem-intencionada, essa estratégia geralmente leva à explosão de produtos e a uma rede excessivamente complexa de produtos não integrados – criando lacunas na visibilidade e no controle. O ditado que diz “que só podemos proteger aquilo que podemos ver” aplica-se a esta situação. Se juntarmos esta falta de visibilidade a uma combinação de produtos pontuais obtemos um ambiente complexo de difícil gestão e uma ainda maior dificuldade de monitorizar o que está realmente a acontecer. A resolução deste problema passa pela implementação de uma plataforma integrada com produtos projetados para funcionarem em conjunto.
Confiar em demasia. Tradicionalmente, as redes adotavam uma abordagem de perímetro para a segurança. O foco estava na prevenção de ataques externos e na suposição de que qualquer pessoa ou qualquer coisa que passasse pelo perímetro da rede pudesse ser confiável. Para as redes altamente complexas de hoje, não existe um perímetro, mas multi-perímetros ou edges. Conceder confiança implícita excessiva é um problema pois dessa maneira é dada aos atacantes muita liberdade de movimentação caso os perímetros sejam ultrapassados. A resolução deste problema passa pela utilização do modelo de segurança Zero Trust, que deixa de usar a confiança implícita para passar a avaliar a confiança por transação com a ideia de conceder acesso apenas ao que é necessário para os utilizadores realizarem as suas atividades com base na necessidade de saber.
Para proteger redes híbridas complexas, as organizações precisam de consolidar e integrar redes e segurança. Para isso as organizações devem procurar uma solução baseada numa plataforma unificada onde as redes e a segurança sejam convergentes. Esta plataforma deveria assentar numa firewall (NGFW) capaz de tornar seguras redes híbridas. O uso de uma firewall como a espinha dorsal de uma estratégia de segurança de rede híbrida unificada pode facilitar a gestão e o controle, assim como a aplicação consistente de políticas.
Ao escolher uma NGFW que possa fornecer proteção, visibilidade e controle consistentes até mesmo nos ambientes mais distribuídos e dinâmicos, as organizações podem melhorar sua postura de segurança e aproveitar o acesso a informação sobre ameaças, Cyber Threat Intelligence em tempo real e a resposta a ameaças correlacionadas para ajudar a proteger a sua organização contra os ataques sofisticados de hoje em dia.
Para a Fortinet os ataques de ransomware continuam a causar uma grande disrupção nas organizações. Começam por ser uma ameaça, tornam-se num problema tecnológico, depois numa questão de risco para o negócio e eventualmente numa questão de decisão ao nível da administração. Nenhuma empresa quer estar nesta situação pelo que as soluções para deteção e mitigação de ataques de ransomware (ver solução FortiEDR) estão entre as primeiras a serem analisadas. Por outro lado, a base de qualquer arquitetura de segurança deve ser sempre assegurada através do controlo e da segmentação do tráfego de/e para os seus dados, aplicações e serviços (ver solução FortiGate).
Importa ainda realçar que as soluções de segurança a ter em consideração dependem também do sector em que a organização se insere, que será alvo de ataques específicos, do nível de regulamentação desse sector, que exigirá soluções particulares, e do estado de maturidade da própria organização, que estabelecerá as bases a partir das quais pessoas, processos e tecnologia se conjugarão para formarem um modelo de segurança adequado à realidade da organização e dos riscos que a mesma enfrenta.
Em termos de grandes tendências e para setores mais regulados as soluções com mais procura são as que melhoram a capacidade de deteção e resposta, estou a falar de soluções que englobam a monitorização de eventos de segurança (ver soluções FortiSIEM e FortiAnalyzer) e a automação da resposta em caso de ocorrência de um incidente de segurança (ver solução FortiSOAR). Importa ainda realçar que para as empresas que utilizam recursos na cloud as soluções de proteção de workloads e proteção na utilização de aplicações e serviços são uma necessidade incontornável.
S21sec
“Do ponto de vista de implementar soluções tecnológicas, a realidade de cada negócio leva à adoção de soluções distintas e adaptadas a cada cliente.”
João Machado Costa, VP Sales na S21sec em Portug
João Machado Costa, VP Sales na S21sec em Portugal, acha que apesar do aumento do número de ciberataques, tem havido uma crescente preocupação por parte das empresas em relação à cibersegurança. Passou a ser um tema central de discussão e no topo das preocupações, principalmente em organizações com um nível de maturidade mais elevado.
Quanto aos riscos, de acordo com o nosso mais recente relatório semestral, Threat Landscape Report, que oferece uma visão geral das ameaças mais relevantes na segunda metade de 2021, Portugal ocupa o 31.º lugar dos países mais afetados por ataques de ransomware.
Além disso, ainda no nosso país, os principais ciberataques são realizados com recurso ao phishing e à distribuição de malware, com técnicas cada vez mais aperfeiçoadas.
Ainda quanto ao crescente número de ciberataques registados em Portugal este ano, e de acordo com a informação que recolhemos, acaba por fazer parte do aumento generalizado e global de ataques, cada vez mais avançados, que tentam explorar todas as vulnerabilidades existentes nas organizações.
A já não tão nova realidade de trabalho para muitos, trouxe riscos adicionais relacionados com os mecanismos de acesso remoto, a proteção de informação nos sistemas e redes utilizados pelos colaboradores fora dos escritórios e a vulnerabilidade a ataques de negação de serviço.
Do ponto de vista de implementar soluções tecnológicas, a realidade de cada negócio leva à adoção de soluções distintas e adaptadas a cada cliente. Existe uma arquitetura base que pode ser utilizada como inicial e adaptada à generalidade das situações e depois existem ambientes mais complexos que têm de ser desenhados de base de acordo com as soluções que o cliente pretenda disponibilizar ou utilizar para suporte às suas operações. Aí a customização da solução vai ao encontro da sua exposição, do seu mercado, das geografias onde pretende estar presente, da proteção das suas aplicações ou plataformas, a disponibilidade das mesmas, o tipo de sistemas e aplicações utilizados nos seus ambientes, a disponibilização de logs para a sua plataforma de SIEM ou os seus serviços de SOC, a integração via API ou Web services com outras plataformas as a service, etc. Toda essa particularidade é equacionada e levada em conta para se produzir uma arquitetura devidamente securizada para esse cliente e essa operação.
Além disso, e não menos importante, é crucial as empresas apostarem na formação dos colaboradores e isso ficou comprovado quando apurámos que 36% das empresas não tinha a certeza se os seus profissionais seriam capazes de prevenir e detetar um ciberataque. Há certos comportamentos básicos que podemos adotar e que no fim farão a diferença:
Pense antes de clicar: nunca abra um anexo e não clique num link de remetentes que não conhece.
Não confie em promoções, ofertas ou sorteios: verifique sempre as páginas oficiais das empresas.
Verifique a fonte: principalmente se o e-mail solicitar a confirmação de informações pessoais e/ou financeiras.
Atualize as suas senhas: e não as reutilize nas suas redes sociais ou em sites potencialmente inseguros.
Instale soluções de segurança nos seus dispositivos e mantenha-os atualizados.
Tenha cuidado com as informações que publica nas redes sociais: não partilhe dados pessoais ou imagens que o possam comprometer ou à sua organização.
Para o executivo da S21sec, atualmente, os desafios que um IT Líder encontra dizem respeito 3 momentos: nas situações normais de prevenção e transformação digital do negócio da empresa; em situação de emergência de resposta a Incidente de cibersegurança na sua empresa; e por último, na resposta a requisitos específicos dos reguladores (no caso de setores com essa exigência) ou entidades oficiais (como o DL 65/2021 e CNCS). Atualmente a S21sec acompanha as organizações em todas estas fases.
Primeiramente, falamos na estratégia e prevenção e os desafios inerentes à crescente transformação digital dos negócios. Na ótica da prevenção, são várias as frentes de atuação. Ao nível da Infraestrutura, é necessário assegurar a Segurança de Acessos Remotos, de Redes, de Endpoints, a Gestão de Identidades e a Segurança de Aplicações e dos dados. De igual modo, deve valorizar-se a Infraestrutura industrial do caso de negócios com a componente ICS/OT. Depois, deverá ser implementada uma política de segurança que garanta a monitorização da segurança – security Operations Center (SOC em modelos “as.a.Service” ou “à medida”). Deste modo, pode minimizar-se o impacto de uma ameaça quando ocorre. Estes serviços são proporcionados a partir de um multi-SOC global com muitos anos de experiência e com presença em Portugal e Espanha. Estes são alimentados por serviços de “Intelligence” da S21sec. Uma estratégia defensiva deve privilegiar ações defensivas, a fim de detetar pontos de vulnerabilidade das organizações e proceder à sua mitigação. Neste sentido, dispomos de serviços que lhe permitem analisar as técnicas, táticas e procedimentos utilizados pelos adversários e, deste modo, antecipá-los dentro do possível, como é o caso do Purple Teaming, Pen Testing (manual e automático-BAS), Relatórios de Threat Intelligence e Threat Hunting.
No caso da ocorrência de um incidente de cibersegurança, aconselhamos a recorrer aos seus parceiros de negócio e especialistas para uma correta gestão de crise (por exemplo Operador Telecomunicações, equipas IT, os fornecedores principais). A empresa deve reportar e comunicar às entidades oficias e de acordo com a sua estratégia de comunicação informar os seus clientes e contratar um serviço especializado de resposta incidentes de cibersegurança. A experiência, solidez e confiança são indispensáveis para solucionar os incidentes, e o tempo está contra as organizações nestas situações. A S21sec ajuda toda e qualquer organização/empresa a superar os incidentes de segurança. A nossa equipa especializada de DFIR (Digital Forensics and Incident Response) ajuda-o na gestão de crise perante qualquer ciberataque, dispomos de uma solução única no nosso serviço de DFIR, que lhe permite minimizar o impacto dos incidentes de cibersegurança. O serviço pode ser prestado em modo emergência ou preventivo.
Hoje em dia, as organizações são obrigadas a cumprir com leis e regulamentos em vigor no setor da cibersegurança, o que nem sempre é fácil, pois muitas delas não dispõem das estratégias ou pessoal qualificado e disponível para garantir a compliance. Em qualquer dos casos, recomendamos: avaliar e enquadrar uma ajuda externa, na prestação de serviços específicos para a necessidade concreta. A S21sec disponibiliza um serviço flexível de CISO as a Service (CISOaaS) que inclui várias competências a usar durante um período de tempo (12 meses) e de acordo com a capacidade que se pretende reforçar nas equipas de Segurança, de processos e tecnologias. Sabemos que o elo mais fraco da cibersegurança são os humanos, pelo que dispomos de um serviço de Formação & awareness que apoia as organizações, através da transformação cultural, a complementar, ou até mesmo a afastar-se das estratégias de segurança convencionais, realçando a confiança e a responsabilidade individual e diminuindo os controlos restritivos de segurança.
Ricoh
“A Ricoh reafirmar a sua posição como empresa de serviços digitais, permitindo-nos estabelecer um ‘hub’ europeu de transição para serviços de cloud e segurança cibernética, requisitos essenciais para os nossos clientes à medida que continuam a transformar-se digitalmente.”
Ramon Martin, CEO Ricoh Portugal e Espanha
Aempresa japonesa adquiriu recentemente as empresas TotalStor e Pamafe em Portugal, que atuam nas áreas de cibersegurança, cloud e infraestruturas de TI. Estas são áreas que têm sido muito procuradas pelos seus clientes nos últimos tempos. Assim, estas aquisições ajudam-nos a responder melhor ao mercado, colocando-a numa posição de liderança em relação aos nossos principais concorrentes e permitir-nos-ão também duplicar o volume de negócios no próximo ano. Afirma Ramon Martin, CEO Ricoh Portugal e Espanha. Para o executivo, estas aquisições encaixam-se perfeitamente na estratégia da Ricoh de reafirmar a sua posição como empresa de serviços digitais, permitindo-nos estabelecer um ‘hub’ europeu de transição para serviços de cloud e segurança cibernética, requisitos essenciais para os nossos clientes à medida que continuam a transformar-se digitalmente. Portugal tem um grande potencial, apesar de ser um mercado menor em comparação com outros países como a França, mas pode ser um ‘hub’ para investimento na Europa em novas tecnologias, especialmente no que diz respeito à cibersegurança.
Para Ramon Martin, este mercado é muito específico e as empresas necessitam de um acompanhamento contínuo para que esta transformação aconteça sem problemas e seja bem-sucedida. Por isso, a especificidade na resposta que damos aos nossos clientes de gestão de serviços, consultoria e integração, com as nossas equipas especializadas, faz com que sejamos capazes de nos diferenciar positivamente da nossa concorrência.
A gama de serviços digitais da Ricoh abrange desde soluções para o local de trabalho digital, automatização de processos e serviços de gestão de documentos, até soluções que oferecem uma excelente experiencia digital para os clientes, como portais internos e comunicações externas. Além disso, também contamos com serviços de cibersegurança, cloud e infraestrutura de TI. Recentemente, lançámos a nossa nova gama de gestão de serviços de cibersegurança – Flexisoc –, onde unificamos as nossas capacidades para oferecer um dos serviços mais completos e competitivos do mercado. Trata-se de um serviço de monitorização e gestão de alertas de segurança cujo objetivo principal é a recolha, enriquecimento de informações e correlação (aplicação de inteligência de segurança) dos eventos detetados nos dispositivos. É um serviço projetado para detetar, bloquear e mitigar ameaças de segurança.
A digitalização tem sido implacável com as empresas, que tiveram de recorrer à cloud para lidar com ela e ter serviços de ligação, processamento e armazenamento cuja segurança já não está nas suas mãos. Quando a regulação e o cibercrime ditam, a segurança na cloud é um dos maiores imperativos para fornecedores e organizações.
O paradigma da computação nativa em cloud é uma resposta às necessidades digitais das empresas, que devem responder rapidamente à mudança de gostos dos consumidores, a novas oportunidades de mercado e ao surgimento de tecnologias disruptivas. Devem também abordar preocupações crescentes sobre fiabilidade, segurança e gestão de dados de software.
A computação em cloud é um dos paradigmas tecnológicos que se infiltrou no nosso público e na nossa vida profissional pela necessidade de aumentar as capacidades de processamento e armazenamento de sistemas informáticos. Mas, enquanto a cloud melhora a segurança, porque as empresas e os fornecedores colocam uma centena de olhos nela, não é livre de riscos.
A cloud permite novos modelos de negócio baseados na oferta de uma grande variedade de serviços tecnológicos numa descentralizada, otimizada e contratada a pedido, utilizando a infraestrutura da Internet. O crescimento da capacidade de processamento e cálculo, a eficiência dos sistemas de armazenamento com maior capacidade e velocidade de transferência, a extensão e menor custo do acesso à Internet, que tem uma conectividade alargada, são os marcos tecnológicos que conduziram à sua implementação massiva. Os seus serviços incluem armazenamento, backup, aplicações de escritório, serviço de correio, hospedagem web, gestão de contacto.
A cloud; ser ou não ser mais seguro
Assim, a cloud é considerada a quinta revolução no mundo das TIC. Permite que as PME e os freelancers adquiram as mais recentes tecnologias a um custo reduzido e com um aumento da produtividade. Também oferece agilidade e mobilidade, uma vez que oferece acesso a serviços a partir de qualquer lugar, além de flexibilidade e escalabilidade; os serviços crescem de acordo com as necessidades. E isto pode acontecer permitindo a redução de investimentos em hardware e software, que são substituídos por despesas em serviços com esquema de “pay per use”. Além disto, oferece uma estrutura ideal de possibilidades para trabalho colaborativo, teletrabalho e trabalho híbrido. . Até agora tudo parece cor-de-rosa. Mas temos de pôr portas no campo para que não venham roubar-nos os sorrisos.
Neste sentido, Ignacio Cobisa, analista sénior da IDC Research é contundente, os serviços na cloud são agora tão ou mais seguros do que os modelos tradicionais. ” O paradigma de que a cloud é menos segura do que as arquiteturas no local está a ficar antiquado na indústria.
O primeiro aspeto-chave para um navio seguro é o estabelecimento de acordos de nível de serviço entre o prestador e o cliente (Service Level Agreements, SLA). Definem os compromissos de ambas as partes e devem conter cláusulas que definem a responsabilidade do fornecedor por alguns atos relacionados com a segurança, bem como questões como manutenção, atualizações, incidentes, disponibilidade de dados e recuperação. Segundo Ignacio Cobisa, no SLA ” o mais importante é definir até que ponto a responsabilidade do cliente e do prestador de serviços se estende, porque se deixarmos os ‘campos’ pouco claros são geralmente fontes de problemas quando os incidentes ocorrem “.
Marco Lozano, responsável pela Cibersegurança para as Empresas da Incibe, considera o paradigma da cloud “muito interessante porque, além de democratizar os serviços da empresa que não estavam anteriormente disponíveis porque são mais caros, permite que estes serviços sejam lançados de forma súper ágeis, o que é muito positivo”. Também entende que a cibersegurança está a ser democratizada, graças aos serviços na cloud. “Isto comporta riscos, explica, mas também soluções com as quais não se pode contar a esse nível ou com essa possibilidade. É uma das partes mais positivas da cloud; é gerido por especialistas, para que, como empresários, possamos esquecer, até mesmo a administração dos próprios serviços.”
Da Incibe dão-nos um exemplo do porquê da cloud aumentar a segurança. “Quando contratamos serviços à chave na mão, por exemplo, o Office 365 Suite, e temos uma suite de escritório, serviços de armazenamento, podemos incorporar backups, todos integrados nesta cloud a baixo custo em comparação com o que significaria ter esses serviços nos nossos próprios servidores. Esta redução de custos foi o que permitiu que todo aquele serviço quase infinito estivesse disponível para empresas com níveis de segurança muito elevados.”
Ameaças, riscos e o fator humano
No entanto, as falhas de segurança na cloud continuam a ocorrer muito semelhantes às que ocorrem nas próprias arquiteturas das organizações. Embora haja uma maior consciencialização, acesso não autorizado, ameaças internas, interfaces inseguras, acesso através de tecnologias partilhadas, fugas de informação, implantação de identidade, ignorância do ambiente dos funcionários e ataques de hackers continuam a ocorrer porque, como garante Cobisa, “Infelizmente, os dados indicam que estas ameaças aumentaram e na maioria dos casos têm a ver com erros humanos.”
Na verdade, a ingenuidade, a ignorância, o descuido, a falta de consciência e os recursos são fatores que comprometem a segurança da cloud. Lozano concorda com Cobisa: “É um pouco de tudo, mas acima de tudo o fator de utilizador. Quando contrata um serviço que acredita que é seguro, já se esquece de tudo, mas há questões sobre as quais uma empresa mantém a sua responsabilidade, como o uso de senhas, o estabelecimento de permissões para os recursos que compara e acesso seguro. A culpa é que ao delegarmos pensamos que a tecnologia tem respostas para tudo e estamos errados. O utilizador tem uma grande responsabilidade a este respeito. Em suma, a segurança é diminuída pelo fator humano, no qual todos os fatores de risco possíveis se misturam.”
Da Incibe salientam que o paradigma do Zero Trust pode ser uma segurança abrangente que facilita em muito a tarefa, mas resta saber se é capaz de abordar estas questões relacionadas com o fator humano. A segurança na cloud apresenta riscos como o acesso privilegiado do utilizador, o incumprimento regulamentar, a localização de dados desconhecida e a falta de isolamento ou capacidade de recuperação de dados. Segundo Ignacio Cobisa, “um dos riscos mais recorrentes tem a ver com a autenticação do utilizador. A cloud deve combinar a agilidade e flexibilidade que oferece (por exemplo, em novos ambientes híbridos) com a segurança necessária, mas sem que os trabalhadores sofram das suas experiências de utilização.”
A segurança na cloud envolve todos
A gestão do nosso alojamento em cloud implica uma perda de controlo ao sair nas mãos do fornecedor, ou seja, de terceiros, das instalações onde as nossas aplicações funcionam, os nossos dados, etc. Marcos Lozano entende que a segurança nunca é absoluta, não obstante de como o serviço é, porque “independentemente de termos um contrato ou acordo específico, pode sempre haver o risco de um fornecedor ter um problema, sofrendo um ataque que coloca em risco a nossa informação que está nas suas mãos. Neste sentido, as empresas, em geral, lembram-se de Santa Bárbara quando troveja.”
Cobisa acredita que os profissionais devem ser confiáveis porque “em geral, a confiança digital oferecida pelos fornecedores de mercado em termos de recuperação de desastres, confidencialidade e segurança de dados é igual ou superior ao que uma organização consegue no seu próprio CPD”. Lozano também nota que os fornecedores são mais seguros do que as empresas. “É necessário avaliar a dimensão da empresa e qual é a sua dependência tecnológica. No mais recente equilíbrio de vulnerabilidades que publicamos, encontramos uma que se repete há muitos anos, que é a falta de implementação de atualizações. As empresas ainda não atualizam os seus sistemas, as suas aplicações, e temos esta falha na terceira posição. E é algo em que insistimos desde 2006, além de ter cuidado com senhas e implementar políticas de segurança, backups para evitar os efeitos do ransomware.”
Dezasseis anos depois, continuam a descobrir que estas recomendações não estão a ser seguidas. Os incidentes para este tipo de causa são reduzidos, mas continuam a ocorrer e ainda há um longo caminho a percorrer. A Incibe identificou que há dois anos, mais ou menos o início da pandemia, as empresas têm investido mais em serviços na cloud e cibersegurança, talvez porque já era um problema com que tinham de lidar. Têm-se preocupado mais com o tipo de medidas, as consultas com as suas linhas específicas para tal aumentaram, perguntaram sobre os serviços de proteção dos seus ativos, sobre instrumentos que os pudessem proteger e sobre soluções concretas; “Coisas que parecem estar a chegar.”, avisa Lozano.
No entanto, segundo Lozano, o aspeto da segurança na cloud que mais diz respeito às organizações é o cumprimento regulamentar, “porque todos os serviços na cloud devem cumprir o RGPD ou a Lei portuguesa de Proteção de Dados Orgânicos”. Em segundo lugar, a preocupação são os preços, isto é, o custo do serviço, e em terceiro lugar seriam questões de cibersegurança.
Mas isso não significa que haja uma tendência para relaxar a responsabilidade das organizações para que todo o trabalho recaia sobre o fornecedor devido à “forma como pago”. Segundo Cobisa “em geral, as organizações estão cada vez mais envolvidas na definição destas políticas de segurança em conjunto com o fornecedor”. Para o analista, a segurança na cloud nada tem a ver com os serviços contratados, nem com o nível de delegação de responsabilidade. “A arquitetura que oferece uma fronteira de ataque mais ampla e mais fraca é menos segura, mas isso não tem de estar ligada à escolha de Infraestruturas como Serviço (IaaS), Plataforma como Serviço (PaaS) ou Software As A Service (SaaS). Os critérios que as organizações usam para optar por um ou outro tipo de cloud não se baseiam apenas na segurança. Em muitos casos, têm mais a ver com a tecnologia que têm ou com aspetos regulatórios ou internos que querem cobrir”, diz.
Como alcançar a segurança dos sonhos
Para alcançar a segurança exigida pela cloud, você precisa implementar uma arquitetura específica que os profissionais com Certified Cloud Security Professional (CCSP) conhecem de cor. O especialista em cibersegurança e instrutor ccSP Juan Blázquez Martín, membro do ISACA MadridChapter, revela como chaves para estabelecer a segurança na cloud que os regulamentos e o bom senso indicam. “Para atingir pleno o nível de segurança que uma organização e os seus ativos exigem, é necessário selecionar duas orientações: o tipo de serviço que se adequa às suas necessidades e compreender as suas obrigações no âmbito do modelo de responsabilidade de serviço partilhado.”
Uma vez esclarecidos estes termos que definem o modelo de responsabilidade partilhada, devemos começar a trabalhar para estabelecer os diferentes níveis de segurança:
Segurança Física: O fornecedor de cloud precisa de um centro de dados para prestar serviços aos seus clientes. A partir destas instalações, abordará a segurança dos componentes de hardware e da gestão da configuração de hardware. Para isso, deve criar um modelo para a configuração segura de cada dispositivo e deve ser replicado sempre que um novo dispositivo é adicionado ao ambiente. A configuração básica do hardware deve ser armazenada e mantida atualizada de forma segura através do processo formal de mudança, reparação e gestão de upgrade. Tratará também de registos e eventos de auditoria (garantindo que são guardados dados terminais relacionados com a atividade em cada máquina para uma eventual utilização futura para determinar que aconteceu e a identidade dos utilitários), para proteger o acesso à gestão remota (controlos específicos para garantir que apenas os utilizadores autorizados podem aceder e operar), e se o cliente precisar, estabelecer o isolamento de clientes específicos.
Segurança lógica : refere-se à titularização do uso de software e processos executados nos anfitriões do provedor para minimizar os riscos de segurança associados às operações do cliente. O provedor deve estabelecer regras claras indicando o que os clientes podem e não podem fazer ao operar com os seus sistemas de computador. Além disso, deve garantir que o software, sistema operacional e programas não apresentem falhas que possam causar incidentes de segurança. A segurança lógica lida com a titularização de sistemas operacionais virtuais, todos os ativos virtualizados e a deteção de vulnerabilidades através de varreduras de rede periódicas e automatizadas. Apenas vulnerabilidades são detetadas e qualquer outra que não faça parte de um padrão reconhecido passará despercebida. Segundo Blázquez, “não podem impedir que invasores explorem vulnerabilidades desconhecidas em sistemas (ataques chamados de explorações de dia zero), mas ao detetar e corrigir vulnerabilidades conhecidas, os invasores são impedidos de usá-las”.
Segurança da rede: O fornecedor deve garantir que arquitetura da rede e os componentes de interconexão que a composição são seguros. Muitas das mesmas táticas e controlos utilizados no ambiente local aplicam-se à proteção das ligas de rede. Além de outros específicos do ambiente cloud. Incluindo todas as atividades destinadas a proteger o acesso à rede, o uso e a integridade, bem como os dados que circulam através dele: inclui hardware e software, visa várias ameaças e tem como objetivo impedir que se espalhem por rede. “Uma micro segmentação é cada vez mais comum”, explica Blázquez. É prática dividir o centro de dados em zonas seguras, para um controlo maior sobre a comunicação lateral que ocorre entre servidores.
Segurança das Comunicações: Como linhas de comunicação e de ligações entre os diferentes centros de dados geograficamente dispersos do fornecedor e entre eles e os clientes que os acedem devem ser protegidos. A segurança das comunicações deve centrar-se na prevenção da interceção de dados transmitidos e no acesso às linhas de comunicação. Encriptação, Redes Privadas Virtuais (VPN) e autenticação forte são usadas para isso.
Perante a teoria muito clara, da Incibe, Lozano insiste em lembrar que “como organizações devem ter em conta que os problemas de segurança na cloud, como acontece quando a arquitetura nas suas instalações próprias, requere um processo que tem de ser, com um ciclo de melhoria contínua. Não é algo que já foi implementado uma vez, e onde fica. Tecnologias, sistemas, ameaças, invasores… O Evoluir. Temos de estar a par da prevenção e ter essas soluções e tecnologias que nos inamem destes ataques, ou permitir-nos levant e funcionar o mais rapidamente possível se concretizarem.”
De acordo com o seu conselho, tudo o que contrata como serviços na cloud relacionados com a cibersegurança deve cobrir como nossas necessidades e ter opções de reclamação ou alguns tipos de compensação.
O teletrabalho que foi implementado devido ao imperativo da pandemia mostrou mais do que nunca que os perímetros de segurança estavam a expandir-se para um infinito quase incontrolável. Em muitas organizações, os responsáveis pela cibersegurança pensam em aplicar o paradigma do Zero Trust como uma estratégia para limitar os riscos tanto quanto possível, mas sem a consciência dos utilizadores dos procedimentos e da usabilidade, e sem investimento para implementar esta nova filosofia e a automatização que exige, os profissionais do setor de TI não o veem generalizado a curto ou médio prazo.
A Definição de Zero Trust indica que é uma estratégia de cibersegurança que impede que as fugas de dados atinjam os seus objetivos. Com esta “arquitetura”, cada dispositivo, aplicação e micro serviço é responsável pela sua própria segurança.
Nova filosofia nas estratégias tradicionais
Como seres humanos que somos, socializamos e confiamos nos outros a um certo nível. A informação partilhada está relacionada com o nível de confiança (ou seja, quanto maior o nível de sensibilidade da informação, maior o nível de confiança). Este mesmo conceito é o que foi aplicado na arquitetura de TI até que um analista da Forrester lançou o conceito Zero Trust em 2010, que se baseia na premissa de que a confiança não pode ser concedida para sempre e deve ser continuamente avaliada.
Com o Zero Trust efetivamente, para todos os efeitos práticos, não há perímetro. Um especialista explicou-nos que “este perímetro livre consiste em fingir que todos os dispositivos estão ligados a uma rede aberta ao público e, portanto, tudo deve ser suspeito, e tudo deve ser autenticado, autorizado e validado”. Ou seja, a segurança do perímetro está a ficar confusa devido à enorme complexidade da infraestrutura de rede que tem de ser gerida.
Para a maioria dos gestores especializados em e cibersegurança, o Zero Trust não é uma filosofia assim tão nova, embora implique uma mudança de paradigma em termos de perspetivas tradicionais. A necessidade de proteger os nossos sistemas de informação e proteger o que é considerado o “elo mais fraco”, que normalmente é o utilizador, sempre foi considerada.
Sabemos bem que os responsáveis pela gestão de cibersegurança terão mais trabalho pela frente para atingir dentro da sua organização a filosofia “Zero Trust”, na consciência do utilizador, os especialistas reconhecem que hoje com o surgimento de soluções cloud, software como serviço (SaaS), soluções descentralizadas, dispositivos médicos ligados à Internet (IoMT), etc., a barreira do perímetro é cada vez mais turva, por isso é necessário tomar medidas de segurança adicionais para permitir que estes novos ambientes sejam protegidos.”
Zero Trust, pandemia e teletrabalho
Existem alguns especialistas que não acreditam que a pandemia tenha afetado muito a implementação da política do Zero Trust nas empresas, “porque apesar de ter afetado todo o tipo de organizações, afetou em grande parte as empresas cuja transformação digital foi adiada e onde em muitos casos não tinham ligações adequadas ao exterior”, pelo que foram obrigadas a implementar acessos remotos que inicialmente não tinham previsto, esperado a médio ou longo prazo.
No entanto, estes especialistas, reconhecem que, como resultado de teletrabalho forçado, um grande número de funcionários acabou por trabalhar nos seus portáteis pessoais com anti malware gratuito, ligado a um router doméstico provavelmente mal configurado. “E este cenário, tão comum nos últimos tempos”, explicam, “gerará grandes problemas de cibersegurança ao longo do tempo e o regresso da normalidade, porque os invasores têm tido um caminho aberto e fácil de explorar para muitas organizações e estão a desdobrar as suas capacidades dentro delas para os explorar quando o considerarem mais rentável”.
As grandes empresas, que já tinham acesso remoto e medidas de segurança mais ou menos maduras, continuaram a implementar arquiteturas Do Zero Trust durante a pandemia, ou se não o fizeram, começaram a considerar a sua inclusão no seu roteiro. No entanto, para este tipo de empresa, pode ser muito complicado adotar 100% Zero Trust em muito pouco tempo, uma vez que têm as suas próprias infraestruturas que condicionam a sua adoção e fazem-nas processos ultra complexos, “pelo que será uma atividade de longa viagem que muitas vezes não termina de forma satisfatória”, afirmam alguns especialistas.
É claro que hoje é um desafio para qualquer organização iniciar uma mudança de arquitetura no panorama tecnológico, “uma vez que as organizações estão focadas principalmente em garantir o seu financiamento e cash flow, de forma a abordar a multiplicidade de imprevistos que esta pandemia nos está a levar. A crise COVID-19, segundo os profissionais, também destruiu as estratégias de segurança e os modelos de acesso remoto de muitas organizações, “é imperativo proteger os portos de entrada e saída de infraestruturas empresariais antes que seja tarde demais (se é que já ainda não é)”.
A pandemia alterou os parâmetros e modalidades de trabalho, e o que antes se encontrava num ambiente controlado nas instalações de uma organização, e como diz um dos especialistas com quem conversámos,”no nosso CPD, numa sala fechada, depois publicamos na Internet, com VPN e acessível a partir de um computador em casa, num hotel ou mesmo noutro país”. Por isso, considera que neste novo cenário, “é essencial não só validar a identidade do utilizador, mas também validar qualquer dispositivo que tente ligar-se à nossa infraestrutura antes de permitir o acesso “.
Só assim se poderão impor as políticas e medidas de segurança que são geralmente implementadas nas equipas empresariais de infraestruturas das organizações, se aplicável, mas também a todas estas equipas, sejam elas próprias ou fornecedores, “e se não cumprirem esses requisitos, o acesso é limitado”.
Especialistas acreditam que é necessário desmistificar o que a Zero Trust significa. “Porque não é uma nova tecnologia. Pode ser construída em cima da arquitetura existente na grande maioria das organizações e não deve exigir remoção e substituição. Não existem produtos da Zero Trust, mas há produtos que funcionam bem em ambientes da Zero Trust e outros que nem por isso.”
Custos de instalação e complexidade
Este novo paradigma de segurança faz da infraestrutura das organizações uma rede em evolução, movendo defesas de rede de grandes perímetros para se concentrar em grupos individuais ou pequenos recursos. Peritos explicam que uma estratégia do Zero Trust é aquela em que a confiança implícita não é concedida a sistemas baseados na sua localização física ou de rede (ou seja, redes locais versus Internet) se não se assumir que são princípios que:
A rede é sempre hostil.
Ameaças externas e internas estão sempre presentes.
As redes internas não são suficientes para confiar nelas só porque sim.
Cada dispositivo, utilizador e fluxo de rede devem ser testados.
Deve registar e inspecionar todo o tráfego.
Portanto, com este novo paradigma, temos de deixar claro que:
O acesso interno nem sempre é fiável, e modelos como o compromisso assumido devem estar na ordem do dia.
Os ataques modernos vêm de dentro para fora, não de fora para dentro, como foi feito no passado; é mais importante monitorizar a sua rede interna do que os ataques que ocorrem a partir da internet.
Sistemas fiáveis atraem invasores.
O acesso interno é regulado de forma mais flexível, mas tem de ser mais controlado para perceber qualquer mudança.
Assim, na opinião dos profissionais do setor, a Zero Trust oferece mais segurança, uma vez que aumenta os processos de verificação, monitoriza os utilizadores e compartimenta os dados da organização, dificultando o acesso à informação da empresa. Ou seja, utiliza muito mais recursos, o que se traduz em custos de instalação mais elevados e complexidade.
Os profissionais que estão no terreno na auditoria e implementação da cibersegurança em todos os tipos de organizações, dizem que “há muita desinformação sobre modelos de confiança zero na Internet. Leem-se artigos alegando que redes privadas virtuais (VPNs) e Camadas de Tomadas Seguras (SSL) são desnecessárias, ou outras afirmações igualmente escandalosas. O que devem dizer é que proteger até ao nível do servidor não é suficiente. O Zero Trust traz novas tecnologias e salvaguardas para a infraestrutura, bem como mexer com as existentes.”
No final, como explicam os especialistas, todas as proteções não são funções discretas, mas foram orquestradas numa estratégia de defesa correlacionada que é centrada em dados, consciente do fluxo de trabalho e empurra as ameaças de volta para a rede.
Basta lembrar que os dispositivos num modelo de acesso a políticas, como um ponto de aplicação de políticas (PEP), são semelhantes às firewalls de aplicações totalmente implantadas, até um tipo de utilizador e os seus dados associados. Continua a ser necessária uma abordagem de segurança em camadas, especialmente para a tecnologia antiga, que não pode ser totalmente integrada na sua estratégia de segurança.
Os pontos-chave mais problemáticos
Além dos custos, entre os problemas que alguns CSO frequentemente encontram, na opinião de alguns especialistas “está o uso de dispositivos pessoais para uso profissional. Isto ficou claro com a chegada “forçada” de teletrabalho. Constatou-se que nem todos os trabalhadores tinham dispositivos portáteis corporativos para poderem trabalhar a partir de casa, nem tinham acesso VPN até então, pelo que era necessário disponibilizar dispositivos corporativos aos nossos colaboradores.” Mas, como explicamos, sobretudo na Administração Pública, estes dispositivos na primeira fase não chegaram a todos os trabalhadores, com quem foi permitido o acesso à utilização de dispositivos pessoais. Não se sabia quais as medidas de segurança em vigor para estas equipas, pelo que foram consideradas inseguras em primeira mão.
Mas isto vai além; “Por exemplo, no setor da saúde, encontramos teleconsultas, ou mesmo equipamentos de diagnóstico ligados à Internet, o chamado IoMT, um pequeno dispositivo que se liga à rede e por sua vez interpela com os nossos sistemas. Obviamente, toda esta variedade de dispositivos e a informação que contêm devem ser protegidas de ameaças novas e cada vez mais sofisticadas.”
Os especialistas concordam com esta necessidade de proteção e, embora acreditem que a implementação de uma arquitetura Zero Trust é interessante para as organizações, traz muitos riscos associados de todos os tipos e em cada fase da sua implementação. Portanto, não há ponto mais problemático do que os outros, mas formam um conglomerado de problemas que podem comprometer a estratégia do Zero Trust de qualquer empresa.”
Alguns dos exemplos mais comuns de falha em Zero Trust:
Há uma falta comum de apoio por parte dos líderes das organizações. Isto pode ser devido a uma compreensão limitada e falta de consciência do que é uma arquitetura Zero Trust.
Muitas vezes, o âmbito de trabalho entre equipas de negócios e engenharia não é claro e pode afetar os resultados desejados.
A falta de apoio da organização na avaliação de riscos empresariais críticos pode fazer com que a equipa de engenharia use o seu julgamento com base na arquitetura de TI e não numa visão global que inclua negócios reais e necessidades de TI.
É um erro comum que, quando se gera um plano de migração do Zero Trust, não esteja alinhado com operações e prioridades empresariais, levando a determinadas falhas.
As políticas de acesso e as equipas de administração fazem parte da arquitetura Zero Trust porque são responsáveis pela execução de decisões de concessão e revogação de direitos de acesso. Portanto, políticas deficientes ou administração defeituosa ou comprometida podem resultar na concessão de acesso que não seria aprovado em circunstâncias normais e criar um risco para a organização.
A engenharia social tem sido um problema desde as origens da cibersegurança e pode levar a que os utilizadores falsifiquem até que os componentes da Zero Trust detetem uma anomalia e revoguem o acesso não autorizado. Para evitar isto, é necessária uma elevada consciência dos utilizadores da organização e uma análise do seu comportamento.
Os controlos IAM reduzem a superfície de ataque; no entanto, os cibercriminosos com uma identidade comprometida de uma máquina autorizada ainda podem aceder a informações parciais. E um playload descarregado enquanto um utilizador abre um e-mail malicioso pode levar a um cenário de ataque avançado e persistente. Portanto, os conceitos de Reautorização, expiração da sessão, lista de permissões de aplicação, agregação de registos em tempo real, análise de comportamento, inteligência de ameaças e mitigação são fundamentais para uma operação bem-sucedida do sistema e úteis para controlar este tipo de cenário que é prejudicial para a organização.
Conscientização e implantação
Em Portugal ainda não existem dados para avaliar o nível de implementação desta filosofia “os estudos que normalmente são acedidos são internacionais , e não conheço nenhuma instituição, nem privada nem pública, que tenha realizado este estudo.
Quanto aos dados internacionais, são bastante preocupantes na opinião de especialistas. O “Relatório Global sobre o Estado do Zero Trust” da Fortinet alerta sobre os problemas das empresas para implementar recursos básicos de Zero Trust. Especificamente, mais de 50% das organizações têm problemas nesse sentido, apesar de mais de 80% dos entrevistados admitirem ter uma estratégia de Zero Trust em vigor ou em desenvolvimento.
A análise reflete ainda que 77% dos participantes afirmam compreender os conceitos da Zero Trust. Além disso, 60% dos 472 líderes de TI e segurança inquiridos dizem não ter a capacidade de autenticar continuamente utilizadores e dispositivos, e 54% têm problemas em monitorizar estes utilizadores após a conclusão da autenticação.
“Como se isso não bastasse”, explica um especialista, no artigo “Zero Trust Architecture – Mito ou Realidade?” dos meus colegas da ISACA International, obtém-se como resultado de um inquérito a mais de 400 decisores de cibersegurança de uma amostra equilibrada de organizações de diferentes tamanhos e diversos setores, refletindo que 53% confiam nas arquiteturas da Zero Trust, enquanto 43% ainda hesitam em aplicar um modelo de confiança zero à sua arquitetura.”
Esta reação mista pode ser entendida pelo facto de 40% das execuções de confiança zero terem tido um aumento no orçamento, enquanto 45% dos orçamentos permaneceram os mesmos e 15% não só mantiveram o seu orçamento de cibersegurança, mas também sofreram uma diminuição do seu orçamento.
Neste momento, as empresas que estão a implementar o Zero Trust são empresas com um nível de maturidade muito elevado, uma vez que é uma arquitetura que aumenta os custos para a organização e requer um nível muito elevado de automatização de procedimentos e processos.
Por Fábio Vítor, Customer Engineer na Microsoft Portugal e Hélder Nascimento, Senior Consultant na Microsoft Portugal
Considerando os eventos de segurança mais mediáticos que ocorreram mais recentemente em Portugal, e devido ao contexto pandémico, assistimos a um crescimento nos projetos associados a Cibersegurança no mercado português.
De acordo com o nosso Relatório de Defesa Digital, à escala global, bloqueámos, entre julho de 2020 e junho de 2021, 9 mil milhões de ameaças a dispositivos, 32 mil milhões de ataques por e-mail e 31 mil milhões de ameaças. Para concretizar um pouco estes números, de acordo com os dados de registo de autenticação do Microsoft Azure Active Directory (Azure AD – o serviço de diretório de utilizadores na Cloud Microsoft), ocorrem 921 ataques de passwords por segundo, tendo a frequência dos mesmos quase duplicado nos últimos 12 meses. Isto justifica plenamente a expressão “Hackers don’t break in, they log in”.
Assim sendo, e de forma a poder fazer face a todas estas tentativas de intrusão, a Microsoft, acompanha de perto cerca de 40 estados-nação e mais de 140 grupos criminosos conhecidos, recolhendo diariamente 24 triliões de sinais. Isto possibilita a proteção em tempo real dos cerca de 650.000 clientes que a Microsoft serve através da sua cloud. Em função disso, em 2021, foi possível bloquear 32 biliões de ameaças por email, por exemplo.
Especificamente para Portugal, não temos acesso a estes dados, mas sabemos que o país acompanha as tendências globais do ponto de vista de volume, velocidade e sofisticação deste tipo de ataques. Todos testemunhámos diversos incidentes mediáticos no nosso país, numa escala, frequência e abrangência pouco comuns, e que trouxeram a temática da cibersegurança para a ordem do dia. Tornou-se um tema ao qual já não é possível ficar indiferente.
Com o contexto pandémico e a necessidade de acelerar os processos de digitalização, a tendência de adoção e migração para a cloud é seguramente de crescimento. Prova disso é que acelerou como consequência da pandemia: de acordo com a IDC, os serviços cloud cresceram 24,1% em 2020.
Atualmente, já muitas organizações em Portugal, tanto no setor público como no privado, assentam hoje o seu negócio em soluções cloud pública ou híbrida, tirando partido das vantagens financeiras e, sobretudo, do ritmo de inovação, que é cada vez um fator de diferenciação no mercado. No entanto, relativamente à adoção da cloud nem sempre são seguidas as boas práticas e, em alguns casos, existe demasiada pressão em migrar o mais rapidamente possível, deixando a segurança para segundo plano.
Devido a este cenário, as infraestruturas da organização poderão ficar expostas e mais facilmente serem comprometidas. Adicionalmente, a própria maturidade das organizações a nível de segurança tem impacto direto na correta adoção de serviços cloud. Existe uma responsabilidade partilhada entre o fornecedor de serviço cloud e o cliente, o que por vezes não é claro para as organizações. Esta diferença de expectativas pode ter como consequência a existência de lacunas nas configurações de segurança.
Adicionalmente, o próprio contexto de trabalho híbrido trouxe ameaças de segurança adicionais. Se antes, a segurança tinha fronteiras mais definidas, mais físicas e mais binárias, o utilizador e os seus dispositivos ou estavam fora (da rede interna, do edifício) ou estavam dentro – e o mesmo se passava com os dados – já, atualmente, as redes das nossas casas também fazem parte das redes das empresas, bem como muitos dos dispositivos pessoais dos utilizadores, partilhados entre os próprios e os seus familiares. Os paradigmas de segurança e as metodologias do passado tornam-se pouco eficazes nesta nova era de massificação da cloud e de trabalho híbrido, o que obriga a uma mudança de postura das organizações face à cibersegurança.
A Microsoft enquanto «provider» de soluções produtividade e segurança procura responder às necessidades dos clientes com uma oferta integrada, isto é, com a disponibilização destes serviços que permite às organizações disponibilizar ferramentas para aumentar a produtividade dos seus colaboradores, enquanto disponibiliza produtos de segurança integrados que procuram proteger os dados e aumentar a superfície de interação dos utilizadores (um dos principiais vetores de exploração de vulnerabilidades).
Esta abordagem combinada diminui o esforço de implementação bem como o seu custo, uma vez que tira partido da partilha de vários requisitos e do conhecimento dos objetivos do negócio para as fases de «deployment» das soluções.
Uma das grandes vantagens da utilização das chamadas «workloads» ou serviços em Cloud prende-se com o facto da capacidade de escalabilidade célere. Se a organização tiver um crescimento repentino do número de utilizadores por aquisição ou necessidades de disponibilização de aplicações com «picos» estimados, a Cloud dará essa resposta de forma mais ágil. Os custos aliados à manutenção ou instalação de atualizações programadas em que era exigido esforço das equipas é substancialmente menor, uma vez que a Cloud oferece esses serviços de atualização em modelos de “as-a-service” onde o cliente tira partido com menor esforço de implementação, manutenção e gestão continuada – o «core» da abordagem do Microsoft Azure.
Também a implementação das melhores práticas de segurança está inerente nos serviços Cloud da Microsoft, onde o cliente facilmente tem acesso a políticas já pré-definidas, fáceis e ágeis de implementar para proteger utilizadores e dados – disponibilizado pela suite de Microsoft Defender for Cloud – reduzindo o esforço de implementação.
Adicionalmente, a capacidade de deteção e proteção contra ameaçadas cresce com o apoio de engenheiros da Microsoft que suportam e alimentam estas mesmas plataformas. Um dos exemplos, o Microsoft Intelligent Security Graph, onde as organizações podem identificar atempadamente ameaças e responder, em tempo real, com serviços baseados em inteligência de cibersegurança global, fornecida à escala da cloud. As fontes de dados incluem 18 milhares de milhões de páginas web do Bing, 400 milhares de milhões de e-mails, mil milhões de atualizações de dispositivos Windows e 450 milhares de milhões de autenticações mensais.
Contudo, e porque a análise e visibilidade de dados também é muito importante, recentemente lançámos o Microsoft Purview, uma solução de gestão de dados unificada que permite gerir e proteger o património de dados das organizações, respondendo aos desafios da descentralização do local de trabalho. Esta nova ferramenta oferece recursos de gestão de identidade e acesso, proteção contra ameaças, segurança na cloud, gestão de postos de trabalho e gestão de privacidade, numa abordagem de segurança abrangente.
Devido aos recentes incidentes, mais mediáticos, temos assistido a um aumento da importância do investimento na cibersegurança no mercado português, mas sentimos que ainda há um grande caminho a percorrer. Este é um esforço que deve ser assumido e partilhado, em larga medida, tanto pelas organizações públicas como pelas privadas, para que possamos tentar minimizar o impacto que os ataques podem ter. Deve ser, também, essencialmente, um trabalho de prevenção – e não apenas mitigação já perante ameaças confirmadas – na delineação das estratégias de segurança com base nos modelos de avaliação, entre outros.
A cibersegurança deve ser tratada com uma visão de jornada, um caminho de avaliação permanente do risco, apoiada por processos e tecnologia que funciona como um suporte às iniciativas de transformação digital, e não um obstáculo à mesma. Devemos incluir princípios de cibersegurança na génese da cadeia de valor das soluções (security by design) de forma a definir processos que assentem nestes princípios. O «security by design» implica um investimento maior na fase de desenho, mas traduz-se numa redução significativa de investimento em fases mais avançadas do ciclo de vida das aplicações.
Por David Grave, Cybersescurity Director da Claranet
A transformação digital e a alteração dos hábitos de trabalho tornaram-se realidades para a maioria das organizações, aumentando as suas responsabilidades de segurança e cimentando termos como a cibersegurança, o risco, a privacidade e a proteção no topo das preocupações do C-Level.
Sabemos que esta tendência vai continuar até 2027. De acordo com dados do IDC, a transformação digital representará em Portugal 50% de todos os investimentos em TI, com investimentos em áreas como Cibersegurança, Cloud, Data e Inteligência Artificial (IA). Segundo o Brandessence Market Research and Consulting (BMRC), o mercado de cibersegurança deverá crescer 12,5% ao ano nos próximos cinco anos, a partir da premissa que as organizações geram cada vez mais dados digitais e a sua exposição aos riscos aumenta a cada dia.
Legislação mais complexa
Como resultado do aumento considerável dos ciberataques, da sua complexidade, sofisticação e consequente impacto, assistiremos à criação de legislação nacional e comunitária, mais complexa e com mais obrigações, aplicadas a empresas, organizações públicas e operadores de serviços críticos – com um novo foco na soberania digital.
Supply chain digital
Muitas organizações de grande dimensão terão os seus sistemas comprometidos a partir da sua Supply chain digital, já que o crescimento da conetividade entre empresas resultou no aumento do tamanho da superfície de ataque.
No ecossistema digital, uma pequena empresa ligada à rede de uma organização poderá trazer consigo um elevado número de vulnerabilidades, uma vez que os cibercriminosos as veem como mais facilmente exploráveis e com menos recursos dedicados à cibersegurança.
Cibersegurança não é só tecnologia
Continuaremos a ter investimentos significativos em áreas como o SOC (Security Operation Center), mas agora com um foco maior em soluções com IA e capacidades de automação.
Neste cenário, a recuperação de um ciberataque será também um desafio, devido à falta de recursos especializados, com a contratação de serviços de resposta a incidentes e análises forenses a surgir como a opção mais viável.
As organizações vão também entender que os investimentos em cibersegurança terão de contemplar mais do que tecnologia – e que os programas de security awareness permitirão reforçar as competências dos seus utilizadores.
A Ciber-resiliência
A transformação digital acelerada é também uma oportunidade para criar ciber-resiliência organizacional. Tendo sempre em mente de que será impossível alcançar a segurança completa no domínio digital, o foco passará para essa ciber-resiliência. No entanto, este objetivo exigirá uma abordagem holística, sistemática e colaborativa.
A Cibersegurança como diferenciador competitivo
À medida que a digitalização continua a proliferar e que novas tecnologias são introduzidas, os riscos digitais vão inevitavelmente crescer.
Tecnologias como a IA, a robótica, computação quântica, Internet das Coisas (IoTs), Cloud, Blockchain e modelos de trabalho / aprendizagem à distância, representam o futuro do nosso mundo digital. Contudo, trarão consigo desafios inerentes à própria tecnologia, riscos e vulnerabilidades, que devem estar no top of mind dos responsáveis pela adoção destas tecnologias.
Quanto menos formos surpreendidos nesta fase de digitalização acelerada, melhor estaremos preparados. É, assim, imperativo que os conceitos e práticas de cibersegurança, a ciber-resiliência e a análise de riscos sejam adotadas pelas lideranças das nossas organizações.
Só assim, poderemos estar mais bem preparados para enfrentar de forma resiliente estes e outros desafios de cibersegurança.
O setor da Saúde é um dos mais críticos no que diz respeito ao parque informático e tecnológico, não só devido às especificidades próprias da área e à dificuldade nas atualizações e compatibilidades de software, mas, também, ao facto de lidarem com os dados mais sensíveis e críticos que existem.
Com cerca de 130 aplicações, muitas delas legacy, e com um universo superior a 1100 utilizadores, o Centro Hospitalar do Baixo Vouga (CHBV) integra o Hospital Infante D. Pedro (Aveiro), o Hospital Distrital de Águeda e o Hospital Visconde de Salreu (Estarreja), e a sua área de influência abrange nove concelhos: Águeda, Albergaria-a-Velha, Aveiro, Estarreja, Ílhavo, Murtosa, Oliveira do Bairro, Sever do Vouga e Vagos.
Inventário completo
As atualizações e a aplicação de patches são um dos pontos base de uma estratégia de cibersegurança, mas, para tal, é necessário que haja um inventário exaustivo e pormenorizado do parque tecnológico de uma entidade, ainda para mais quando esta lida com dados sensíveis como os de Saúde.
Foi com isto em mente que o Centro Hospital do Baixo Vouga procurou uma solução de que lhe permitisse ter uma visão global de todas as máquinas existentes no seu raio de ação e do que cada uma precisaria. A solução chegou pelas mãos da inCentea, com o WatchGuard Patch Management.
“O ecossistema aplicacional de um centro hospitalar é um local diferente de uma empresa convencional, onde por norma temos três ou quatro aplicações para gerir. Num centro hospitalar de média dimensão como o nosso, existem à volta de 130 aplicações. Não é muito fácil conciliar um posto de trabalho onde temos de correr aplicações state of art e outras que têm de correr em ambientes idênticos ao Windows XP Service Pack 2”, explica Rafael Almeida, responsável pelo Serviço de Informática e Análise de Sistemas do CHBV.
“Sabemos que devíamos ter tudo atualizado, mas, se o fizermos, há serviços que param e, no limite, pára o hospital. Como tal, existe um compromisso entre a parte da operação e a parte da segurança”, continua o responsável, referindo que a infraestrutura do centro hospital já conta com 200 servidores virtuais e com a solução de Proteção, Deteção e Resposta de Endpoint (EPDR, na sigla original) da WatchGuard, o que acelerou a implementação da solução de Patch Management.
Visão global e granular
O CHBV “tinha uma necessidade relativamente específica e precisava de uma solução com um determinado nível de granularidade”, refere Susana Marrazes, Gestora da Unidade de Negócio da inCentea, explicando que, com a renovação do licenciamento da solução de endpoint da WatchGuard, a ativação do módulo de Patch Management daria à CHBV a visão global e pormenorizada de que precisava. “Ao nível de deployment não tivemos de fazer nada, devido ao sistema de segurança já instalado, pelo que o nosso trabalho se centrou na configuração e agilização da solução.”
“Os ciberataques aproveitam, cada vez mais, as falhas de segurança já identificadas em sistemas operativos e aplicações terceiras e esta é uma solução essencial para conseguir fechar ou minimizar a superfície de ataque”, afirma Susana Marrazes relativamente ao WatchGuard Patch Management.
“A gestão ponto a ponto que temos de fazer só é possível com ferramentas que nos deem granularidade ao nível do posto de trabalho e daquilo que lá está instalado”, acrescenta, por sua vez, Rafael Almeida, indicando que, para já, “não temos como objetivo automatizar tudo”. “A grande vantagem desta solução é podermos fazer o inventário e saber que podemos atuar máquina a máquina, para, depois, quando chegar a altura, disseminar essa política para o mesmo tipo de máquinas.”
Estratégia eficaz e “no caminho certo”
“Temos estado na primeira fase do processo, de inventário. Antes, tínhamos uma ideia de como estávamos, mas não sabíamos. Agora, já sabemos. Neste momento, já estamos a conseguir fazer o reporting, e, em breve, vamos começar a atacar ponto a ponto, naquelas máquinas menos críticas e nas quais já sabemos o que realmente o podemos fazer”, refere o responsável informático do CHBV.
Manifestando-se muito satisfeito com as soluções da WatchGuard e o trabalho desenvolvido pela inCentea, Rafael Almeida não prevê alterações futuras, até porque, “no Centro, não temos fornecedores de soluções, temos parceiros, e, sempre que podemos, tentamos mantê-los, desde que tenham o nível de serviço e qualidade exigidos. Isto é o mais importante para nós.”
“A inCentea, com quem estamos a trabalhar pela primeira vez, tem sido uma agradável surpresa. O acompanhamento melhorou bastante face ao que tínhamos e tem corrido tudo bem, nomeadamente ao nível comercial e técnico”, conclui o responsável, afirmando que “a estratégia de segurança” do CHBV “está no caminho certo”.
Por Nuno Vieira da Silva, Head of Google Cloud Portugal
A maioria das empresas que, nos últimos dois anos, adotaram modelos de teletrabalho ou modelos híbridos, fizeram estas mudanças sob imensa pressão. A necessidade era urgente, e o tempo era um fator importante. Porém, hoje, as empresas e organizações estão a olhar para esta realidade de uma forma muito mais proativa e a atualizar estratégias e políticas com foco no que será melhor para a empresa, e para os colaboradores no longo prazo. E isto é particularmente verdadeiro quando falamos de integridade e segurança de dados.
Acreditamos que o posto de trabalho híbrido/flexível será em breve uma realidade para grande parte das organizações, existindo assim uma mudança cultural. De acordo com um estudo realizado pela Economist Impact para o Google Workspace, 75% dos entrevistados acreditam nesta realidade num espaço de três anos. Sendo os desafios de segurança relacionados com um modelo de trabalho flexível bastante conhecidos, os últimos 18 meses vieram demonstrar muitas destas vulnerabilidades já conhecidas e numa escala nunca antes registada. Na primeira metade de 2021, a Accenture Security descobriu que houve um aumento no volume de intrusões na casa dos 3 dígitos.
Hoje, o trabalho deixou de estar associado a um espaço físico e a um perímetro específico e, por isso, as necessidades de segurança requerem uma nova abordagem, assim como meios de deteção e prevenção. Não se trata apenas de proteger apenas dados ou restringir o acesso aos mesmos– mas sim de criar metodologias seguras, eficientes e eficazes para facilitar a colaboração e a partilha da informação, de forma contínua com diferentes ecossistemas, interna e externamente.
Com os modelos Zero Trust, nos quais a Google Cloud foi pioneira, o foco muda para o utilizador sem a necessidade da tecnologia comum de VPN, de modo a que os controlos de acesso sejam reforçados independentemente de onde o utilizador estiver ou o dispositivo que estiver a usar. Qualquer utilizador ou dispositivo que tente aceder a uma rede ou aos seus recursos requer autorização, o que cria níveis de segurança mais elevados na partilha de arquivos, downloads de aplicações e utilização de dados.
Temos plena consciência da necessidade das empresas implementarem soluções de segurança que não afetem a eficiência dos seus negócios. A última coisa que uma organização deseja é criar barreiras à colaboração e exigir verificações excessivas para acesso a informações confidenciais. É por isso que na Google Cloud, damos prioridade à segurança por design e default, tornando assim o acesso aos diferentes serviços simplificados, integrados e homogêneos, permitindo que colaboradores trabalhem em colaboração continuamente, sem quaisquer impactos ou dificuldades.
Na Google Cloud, ajudamos os clientes a proteger os seus dados usando a mesma infraestrutura e serviços de segurança que a Google usa para as suas próprias operações, protegendo contra as ameaças mais sofisticadas e complexas. Hoje, a Google mantém mais utilizadores seguros online do que qualquer outra organização no mundo. Somos pioneiros no modelo Zero Trust no centro de nossos serviços e operações, e permitimos que os nossos clientes façam o mesmo com o nosso amplo portfólio de soluções. Recentemente, abrimos também em Málaga, Espanha, um centro de excelência em cibersegurança, num espaço de 2.500m2 onde será oferecido formação, palestras, workshops e mentoria sobre cibersegurança, bem como investigação e desenvolvimento de produtos .
A segurança é uma prioridade para nós e sabemos que o mesmo acontece com os nossos clientes, que confiam em nós para a proteção dos seus dados, plataformas e utilizadores, respondendo assim às suas necessidades diárias. O nosso objetivo é sermos um facilitador e um parceiro de eleição, capaz de apoiar e conectar todas as organizações na utilização de tecnologia cloud para transformar os seus negócios, criar valor e potenciar o crescimento. Entre as nossas soluções nesta área, posso citar, por exemplo, o Cloud IDS, sistema de detecção de intrusão da Google baseada na Cloud que permite detectar malware, spyware, ataques de comando e controlo e outras ameaças à rede, e ainda o Autonomic Security Operations, um conjunto de produtos, integrações e ferramentas que – através de uma abordagem adaptável, ágil e altamente automatizada para gestão de ameaças – melhoram a capacidade de uma organização de resistir a ataques de segurança. Sem falar no Chronicle, a plataforma nativa em Cloud para Google security analytics que integra Looker e BigQuery (produtos-chave do nosso conjunto de dados e analytics).
Mas também adotar as melhores práticas é muito importante para garantir a segurança da informação, especialmente num cenário de ameaças em permanente evolução: as políticas de segurança e de privacidade são resilientes e determinantes, enquanto estiverem atualizadas. Um relatório recente revelou que quase 25% das organizações não atualizavam os seus protocolos de segurança há mais de um ano. Ao atualizar políticas e protocolos, os líderes empresariais têm a oportunidade de proteger os funcionários, independentemente de onde eles estiverem. E isto cria não apenas uma cultura de confiança, mas também de segurança holística.
Uma maneira de os líderes incorporarem a cultura de segurança na sua organização é através da colaboração com os líderes de TI, na implementação das melhores práticas e partilhá-las internamente. É fundamental existir um reforço da formação contínua na área da segurança dos funcionários, e manter canais dedicados para respostas a perguntas, fomentando assim uma cultura de segurança.
A mudança para o trabalho híbrido veio obrigar os líderes empresariais a refletirem sobre as práticas internas, e a adotarem novas práticas e soluções de segurança. Com uma abordagem centrada no colaborador, e com os parceiros adequados como a Google Cloud, as organizações podem navegar hoje por cenários complexos de ameaças, atuais com muito mais confiança e atingindo melhores resultados.
