União Europeia Portugal 2020 - Agricultura e Desenvolvimento Rural Fundação para a Ciência e a Tecnologia European University Foundation Recuperar Portugal Plano de Recuperação e Resiliência, Financiado pela União Europeia - Next Generation EU
Projetos Cofinanciados pela União Europeia Política de Privacidade e Cookies Sugestões, Elogios, Reclamações Denúncias
©2024 Instituto Politécnico de Coimbra. Todos os direitos reservados.

Pesquisa

Cibersegurança, um risco cada vez mais presente nas organizações

Início / Artigos / Cibersegurança, um risco cada vez mais presente nas…

De que se trata quando falamos em cibersegurança? O que é que isso tem a ver connosco? Estamos seguros ou devemos proteger-nos de alguma forma? Questões importantes quando vivemos num mundo onde o digital é omnipresente e em que a segurança informática é uma preocupação cada vez maior das organizações, que procuram proteger a informação sensível que circula todos os dias pelos e-mails, clouds e outros sistemas de armazenamento de dados que utilizam.

Segundo Bruno Horta Soares, docente coordenador da pós-graduação em Cibersegurança na CBS/ISCAC e presidente do ISACA Lisbon Chapter, a cibersegurança deve ser uma preocupação quando uma organização passa a utilizar tecnologias designadas de terceira plataforma digital (isto é, Cloud, Mobilidade, Big Data & Analytics e Social Business). Nas organizações que não evoluem nesse sentido para não se exporem aos riscos de ciberataques existe um risco de “falsa sensação de segurança”, e as entidades acabam por perder as oportunidades de evolução por não serem capazes de gerir as ameaças relacionadas. “O objetivo deve ser sempre aproveitar as oportunidades com um nível adequado de segurança e não evitar oportunidades por excesso de segurança”, explica.

Para o investigador, hoje a segurança digital é um elemento fundamental da confiança nas organizações. “Os ciberataques são cada vez mais e entre eles ataques como o ransomware têm ganho cada vez mais visibilidade mediática”, afirma Bruno Horta Soares, apontando a falta de capacidade das organizações de adotar práticas de segurança como a maior dificuldade, mais precisamente que acompanhem o ciclo de vida da ameaça, começando pela identificação, passando pela proteção, mas, cada vez mais, reforçando a deteção, a resposta e a recuperação. “A implementação deste tipo de práticas é cada vez mais complexa e envolve cada vez mais tecnologias e conhecimento especializado pelo que existe um risco significativo de as organizações não compreenderem a importância de colaboração com outras entidades parceiras para que se possa garantir não apenas uma segurança da organização, mas uma confiança mais alargada de todo o ecossistema”, explica o especialista.

Já a título particular, cada um deve adotar mecanismos de segurança e o investigador recomenda uma maior formação e capacitação das pessoas na utilização das tecnologias, uma vez que a utilização das mesmas começa cada vez mais cedo. “Talvez as boas práticas de segurança digital deverão começar a ser transmitidas desde o momento em que são transmitidas boas práticas de higiene, porque não há primeiro brincar ou trabalhar e depois proteger, devemos promover cada vez mais o brincar e trabalhar em segurança”, aconselha. O docente realça a importância de se reforçar a consciencialização para a importância do digital para indivíduos, organizações e sociedades em geral, uma vez que “hoje em dia já não estamos a falar de simples ferramentas ou equipamentos de entretenimento, mas de recursos fundamentais para as nossas vidas”. “O físico e o digital hoje estão fundamentalmente interligados e cada vez mais devemos ter a consciência de que comportamentos de segurança digitais podem ter impactos no mundo físico e vice-versa”, alerta.

No Politécnico de Coimbra, a segurança informática é uma preocupação constante. “No DTIC entendemos a segurança da informação, e em particular a segurança informática, como sendo um dos aspetos centrais da nossa atividade”, afirma José Luís Silva, chefe de divisão do Departamento de Tecnologias de Informação e Comunicação dos Serviços Centrais do IPC. A utilização de um vasto número de recursos de TIC fundamentais para o desenvolvimento de várias atividades na organização (como por exemplo a rede metropolitana do IPC (MANIPC), que garante a conectividade das Unidades Orgânicas (UO) à Internet e entre as mesmas, o sistema de informação de gestão académica NONIO, o ERP de gestão financeira e de recursos humanos, a aplicação de gestão documental, serviços de e-mail de várias UO, entre muitos outros) a isso obriga, na medida em que estes sistemas armazenam uma quantidade expressiva de informação crítica para a instituição, cujo comprometimento teria um impacto negativo no funcionamento e a reputação da organização.

O caminho tem sido a procura ativa de melhorias nos procedimentos de atuação na área, em articulação com entidades externas como o Centro Nacional de Cibersegurança (CNCS) e o RCTS CERT, e o investimento em sistemas de proteção. Nos últimos dois anos, o Politécnico de Coimbra investiu 34.000 euros na requalificação dos sistemas de backups (hardware e software) do centro de dados do IPC e mais de 180.000 euros num projeto de segurança de redes, que visa a instalação de um cluster de firewalls de alto desempenho (do fabricante Palo Alto Networks), com o objetivo de fornecer a todas as UO do IPC um nível de proteção adicional contra ciberataques.

Ainda assim, para José Luís Silva, não se pode afirmar que a instituição está “completamente blindada” a um ciberataque, visto que “nenhuma organização do mundo, independentemente dos meios humanos e materiais que disponha, pode assumir tal nível de proteção”. “A segurança informática é um processo, um “alvo em movimento” e é necessário trabalhar continuamente para garantir níveis elevados de proteção e celeridade na resposta a incidentes, exigindo o envolvimento de toda a comunidade, uma vez que todos temos um papel relevante a desempenhar nesse processo”, afirma. Acresce o facto de os desafios na área da segurança informática aumentarem de dia para dia, tanto pela maior exposição das instituições às ameaças crescentes do ciberespaço, como pelas exigências dos quadros legais mais recentes (como é o caso do Decreto-Lei n.º 65/2021, que regulamenta o Regime Jurídico da Segurança do Ciberespaço e define as obrigações em matéria de certificação da cibersegurança em execução do Regulamento (UE) 2019/881 do Parlamento Europeu, de 17 de abril de 2019).

O responsável adianta ainda que o bom trabalho feito pela equipa do DTIC tem permitido que não existam falhas graves de segurança informática até à data e recorda que, só em 2021, a instituição sofreu dois ataques de negação de serviço distribuídos (DDoS – Distributed Denial of Service), um, em pleno confinamento devido à pandemia, dirigido a um dos principais concentradores VPN responsável por garantir o teletrabalho de mais de uma centena de trabalhadores e outro, dirigido ao sistema de informação de gestão académica NONIO e a plataforma Moodle de algumas das Unidades Orgânicas de Ensino (UOE). “Apesar de alguns efeitos negativos decorrentes destes ataques, foi possível mitigá-los num espaço de tempo aceitável, recorrendo aos meios internos disponíveis e à colaboração do RCTS CERT e do CNCS”, assegura.

 

José Luís Silva, responsável DTIC do IPC
Bruno Soares, docente CBS/ISCAC

IPC sensibiliza para riscos e boas práticas na área da cibersegurança

Outubro foi o mês da cibersegurança e o Politécnico de Coimbra associou-se à MetaRed numa campanha de sensibilização junto da comunidade académica, que publicou um kit informativo para dar resposta a estas e outras questões.

A campanha #ProtegeOTeuCampus (https://www.metared.org/pt/ProtegeOTeuCampus.html) pretende sensibilizar e informar as comunidades académicas para os riscos e as boas práticas na área da cibersegurança, podendo os estudantes as melhores práticas para agirem e se defenderem neste âmbito.

O Kit é constituído por recursos gráficos, elementos interativos e informativos bem como outros recursos tecnológicos. O objetivo da Metared Portugal é que qualquer Instituição de Ensino Superior o posso utilizar e implementar de acordo com as necessidades específicas e velocidade adequadas. Mais de 23 instituições da MetaRed Portugal, universidades e politécnicos, receberam o Kit e procederam à sua divulgação, com o propósito de aumentar o impacto da campanha e destacar o papel que cada um de nós tem na segurança da Instituição.

A implementação do Kit em Portugal arrancou em outubro de 2021, o mês europeu da Cibersegurança, uma iniciativa da Agência Europeia para a Segurança das Redes e da Informação (ENISA), em que se destacam um conjunto de temas que fazem parte do Kit. A divulgação decorrerá ao longo de nove meses com várias ações dentro de cada instituição de ensino superior.

O Kit tem o apoio à divulgação do Centro Nacional de Cibersegurança (CNCS), do RCTS CERT (um serviço de resposta a incidentes de segurança informática cuja origem ou o alvo seja a RCTS – Rede Ciência, Tecnologia e Sociedade) e da MetaRed Global, assim como a participação das Instituições de Ensino Superior Nacionais.

A MetaRed Portugal é uma associação de instituições de ensino superior públicas e privadas portuguesas, aberta igualmente a outras entidades da administração pública que desenvolvam atividade relevante no domínio das TIC (Tecnologias da Informação e Comunicação) e em particular na sua aplicação no âmbito do ensino superior.

 

In Jornal do IPC n.º 19