Seis mitos sobre cibersegurança nas organizações

David Grave explica, no nº2 da revista IT Security, como o desconhecimento sobre o real impacto dos ciberataques continua a afastar muitas organizações das soluções de Resposta a Incidentes.

As organizações portuguesas começam a demonstrar maior preocupação em evitar ciberataques, investido mais em auditorias, soluções de cibersegurança e na formação dos colaboradores em áreas como o phishing e a engenharia social.

Mas a verdade é que muitas continuam a resistir ao investimento em serviços de Resposta a Incidentes e de monitorização em ambiente de Security Operations Center - SOC, seguindo alguns mitos associados à cibersegurança nas empresas, que convém esclarecer:

Claranet Cyber Security

1 - Apenas as empresas conhecidas do público são apetecíveis para os cibercriminosos

Falso.

Muitas vezes é mais fácil e rentável explorar as vulnerabilidades de organizações desconhecidas do grande público, do que atacar deliberadamente uma organização mais conhecida.

2 - É suficiente defender o perímetro e as aplicações expostas à internet

Deixou de o ser.

O fator humano está na base da maioria dos incidentes, o que torna as defesas tradicionais de perímetro quase inúteis. Basta um utilizador clicar inadvertidamente no link de um e-mail…

Claranet Cyber Security
Claranet Cyber Security

3 - Os cibercriminosos só usam técnicas de ataque altamente sofisticadas e evasivas

Apenas em algumas situações.

Os cibercriminosos apostam sobretudo nas técnicas mais eficazes e essas passam frequentemente pelos ataques de phishing, com recurso a engenharia social, de forma a ficar com os dados de acesso dos utilizadores.

4 - São necessários cada vez mais produtos de segurança para parar as novas ameaças

Não propriamente.

De nada servirá usar soluções altamente sofisticadas de cibersegurança se não tivermos capacidade para agregar e agir sobre os indicadores recolhidos.

Claranet Cyber Security
Claranet Cyber Security

5 - Desenvolver um plano de Resposta a Incidentes é muito caro

Falso.

O investimento na cibersegurança será sempre bem mais reduzido que o potencial custo de um ciberataque bem-sucedido, que pode inclusive representar uma ameaça concreta à continuidade do negócio. Os processos de Reposta a Incidentes permitem às partes interessadas responder de forma rápida e eficaz a um ataque.

6 – Manter segredo sobre um ataque sofrido ajuda a preservar a imagem da organização

Mito.

Manter um ataque de cibersegurança em segredo pode provocar danos irreversíveis de imagem e de reputação, incluindo a falta de confiança de colaboradores, fornecedores e clientes. É essencial uma organização saber transmitir informação sobre um ataque sofrido - internamente, às autoridades, aos reguladores, às seguradoras e, se necessário, à comunicação social.

in IT Security

Cybersecurity

Written by David Grave - Cybersecurity Director

Com mais de 15 anos de experiência nas áreas de engenharia de TI, segurança e compliance, David Grave tem pautado o seu trabalho pela participação em projetos na área da Cibersegurança, que ajudam a gerir, reduzir e mitigar os riscos nas organizações.

O seu percurso profissional inclui trabalhos em Testes de Penetração, coordenação de equipas de Crise, Critical Security Controls, Auditoria e Implementação de Roadmaps, Digital Forensics and Incident Response (DFIR), bem como Simulação de ataques de Phishing e de Engenharia Social.

Além de um Certificado em Data Protection Officer (DPO), David apresenta certificações e qualificações profissionais em Hacking de Infraestruturas, Web Hacking e Análise Forense.