Porque é que a sensibilização para a cibersegurança é mais importante do que nunca

Cibersegurança num mundo conectado

À medida que os edifícios e as empresas se tornam cada vez mais ligados, a linha entre a conveniência e a vulnerabilidade é cada vez mais ténue. baseados em IP sistemas de controlo de acessoAs plataformas de nuvem e os dispositivos inteligentes fazem parte desta transformação digital, mas cada um deles pode ser um potencial ponto de entrada para os cibercriminosos.

As ameaças à cibersegurança já não estão confinadas aos departamentos de TI. São riscos do mundo real que podem encerrar casinos e aterrar companhias aéreas ou comprometer infra-estruturas críticas - tudo por causa de um único erro descuidado.

É por isso que sensibilização para a cibersegurança já não é apenas uma preocupação informática. Trata-se de uma prioridade para toda a empresa - e de uma responsabilidade pessoal.

Neste primeiro blogue de uma série de três partes, vamos analisar o lado humano da cibersegurança: porque é que a consciencialização é importante, o que acontece quando falta e como as melhores práticas de cibersegurança podem proteger até os sistemas mais avançados, especialmente quando combinadas com o desenvolvimento e conceção seguros desde o início.

Se pretender obter mais informações sobre cibersegurança, não se esqueça de descarregar o nosso eBook gratuito sobre cibersegurança, repleto de informações, estatísticas chocantes, estudos de casos reais e conselhos práticos para a sua empresa.

Descarregar gratuitamente

Humanos error - To weakest ltinta no cybersecurity ccain

Nenhuma firewall, encriptação ou sistema de segurança baseado em IA pode proteger totalmente contra o elo mais fraco da cibersegurança - o erro humano. De facto, o Relatório de Riscos Globais do Fórum Económico Mundial indica que 95% de todas as violações de dados envolvem um elemento humano, seja através de palavras-passe fracas, caindo em esquemas de phishing, ignorando avisos de segurança, negligenciando actualizações periódicas, utilizando definições predefinidas ou configurando incorretamente as definições de segurança.

Os piratas informáticos estão conscientes deste facto e exploram-no sistematicamente, contornando muitas vezes sistemas de segurança sofisticados ao enganar os empregados para que concedam acesso. Por mais avançadas que sejam as suas medidas de cibersegurança ou por maior que seja a sensibilização para a cibersegurança que pensa possuir, um clique descuidado ou uma palavra-passe reutilizada pode pôr de rastos toda uma organização.

Como os utilizadores colocam as organizações em risco

• Palavras-passe fracas e reutilizadas: Estudos mostram que mais de 50% das pessoas reutilizam palavras-passe em várias contas, o que facilita o acesso dos piratas informáticos após uma única violação.

• Ataques de phishing: Mais de 3,4 mil milhões de e-mails de phishing são enviados todos os dias e, surpreendentemente, 1 em cada 4 funcionários admite ter clicado em ligações de phishing. A crescente sofisticação das tentativas de phishing, muitas vezes impulsionadas pela inteligência artificial, tornou-as mais convincentes e mais difíceis de detetar.

• Credenciais perdidas ou roubadas: Mais de 15 mil milhões de credenciais roubadas circulam na dark web, proporcionando aos hackers um acesso fácil aos sistemas empresariais.

Exemplos reais de erros humanos dispendiosos

O MGM Resorts Hack (2023) foi uma chamada de 10 minutos que custou 100 milhões de dólares. Um simples ataque de engenharia social permitiu que os piratas informáticos pusessem em causa os sistemas dos hotéis e casinos da MGM Resorts durante semanas. Os cibercriminosos utilizaram o LinkedIn para recolher os dados dos funcionários, depois fizeram-se passar por um funcionário da MGM IT e enganaram um funcionário real para que este redefinisse as credenciais de acesso por telefone. O resultado? Uma paragem total do sistema - os ATM, os cartões de hotel, as slot machines e até os menus digitais deixaram de funcionar. As perdas estimadas da MGM excederam os 100 milhões de dólares.

Mesmo um breve lapso na sensibilização para a cibersegurança pode ter consequências devastadoras. Como a pirataria informática da MGM Resorts prova de forma demasiado clara, o custo de um clique errado nunca foi tão elevado.

Edifício resiliência tatravés de design

Mesmo os utilizadores finais mais bem formados e os integradores de sistemas mais cautelosos são impotentes se a tecnologia em que confiam tiver vulnerabilidades de alto risco incorporadas. É por isso que a sensibilização para a cibersegurança deve começar na base - na conceção e no desenvolvimento dos próprios produtos.

Seguro desde a conceção: Segurança desde o início

Uma mudança fundamental no desenvolvimento de produtos é representada pela abordagem de segurança desde a conceção, que garante que a segurança é parte integrante de todo o processo de desenvolvimento de produtos e não uma reflexão posterior. Isto implica a implementação de medidas de segurança rigorosas ao longo de todo o processo de desenvolvimento, desde a fase inicial de conceção até à codificação, teste, implementação e manutenção a longo prazo.

Ao seguirem as melhores práticas de cibersegurança da indústria, como a modelação de ameaças, a avaliação de riscos e o teste de vulnerabilidades de segurança, os fabricantes podem reduzir significativamente o risco de pontos fracos exploráveis. Em vez de reagir às ameaças depois de estas ocorrerem, os produtos seguros desde a conceção são construídos com caraterísticas de segurança proactivas desde o primeiro dia.

Porque é que a SSDLC é importante

No entanto, a obtenção de uma segurança verdadeiramente robusta requer uma abordagem estruturada e normalizada ao desenvolvimento de software. É aí que entra o Ciclo de Vida de Desenvolvimento de Software Seguro (SSDLC). Define as principais boas práticas de cibersegurança que as organizações devem integrar no seu ciclo de vida de desenvolvimento de software. Estas práticas ajudam a reduzir o número de potenciais vulnerabilidades na cibersegurança, a melhorar a integridade do software e a reforçar a resiliência da cibersegurança.

Como a 2N integra a cibersegurança desde o primeiro dia

Como parte do Grupo Axis, a 2N adoptou o Modelo de Desenvolvimento de Segurança Axis (ASDM), uma estrutura meticulosamente concebida com base nos princípios fundamentais do SSDLC. A Axis desenvolveu este modelo com um forte enfoque na sensibilização para a cibersegurança, garantindo que cada produto é submetido a rigorosas verificações de segurança antes de ser disponibilizado aos clientes. Ao implementar o ASDM, alinhamos com as práticas líderes do sector e mantemos os mais elevados padrões de segurança nos nossos próprios processos de desenvolvimento.

O primeiro passo: Formação de sensibilização para a cibersegurança

Estes exemplos tornam uma coisa clara: para reduzir verdadeiramente o risco, a tecnologia e as pessoas têm de trabalhar em conjunto. É por isso que a formação de sensibilização dos utilizadores para a cibersegurança e a formação de sensibilização dos funcionários para a cibersegurança são tão importantes como a seleção da tecnologia certa.

No entanto, mesmo com utilizadores bem formados e um desenvolvimento seguro desde a conceção, continuarão a surgir novas vulnerabilidades, por vezes de formas inesperadas. No próximo blogue, vamos explorar a forma de lidar com elas: o que é uma gestão responsável de vulnerabilidades, que passos dar quando é descoberta uma falha e o que deve esperar de um fornecedor fiável.