O ano de 2022 iniciou-se com notícias de um ciberataque massivo ao Grupo Impresa cujas repercussões ainda não são totalmente conhecidas. Sabe o que fazer se a sua empresa se tornar um alvo?
A grande maioria das empresas, na atualidade, opera na ou com a internet. Muitas informações, documentos, bases de dados, programas ou páginas de internet dessas mesmas empresas, encontram-se hospedadas em servidores cloud ou servidores próprios com acesso à internet.
As informações e os dados ali constantes são vulneráveis e encontram-se, muitas vezes, fortemente expostos a atividades criminosas, com origens internas e externas. Por esse motivo, é fundamental que a presença de uma empresa na rede seja pensada desde o seu início e a construção da sua presença e exposição na internet seja pensada de raiz (por conceção e por defeito), com o fito de evitar problemas que podem ser gravosos e colocar em causa a atividade, a reputação ou comprometer dados de terceiros.
Desde logo e por defeito, a implementação deste tipo de sistemas deveria já precaver e mitigar estes riscos próprios da presença na rede. Isto é necessário e fundamental. Ao mesmo tempo, é necessário que as empresas tenham e apliquem, efetivamente, políticas em torno da sua presença na rede que reduzam a possibilidade de êxito criminoso e facilitem a deteção de quebras de segurança.
Mas o que deve uma empresa fazer quando essa segurança foi quebrada?
Resposta rápida e procedimentos definidos.
Quanto mais depressa uma empresa detetar uma quebra de segurança, mais rapidamente conseguirá desencadear os mecanismos necessários para pôr termo à mesma.
Por exemplo, a Legal Block tem aprovado e em vigor – como, aliás, todas as empresas que têm qualquer tipo de ligação com a internet deveriam ter – um Procedimento de data breach. No nosso caso concreto intitula-se: “Procedimento de Resposta e Notificação em caso de falha de segurança de dados pessoais”. Este procedimento foi também aprovado nos termos e com base nos artigos 33.º e 34.º do Regulamento Geral de Proteção de Dados (RGPD) e contém todas as indicações consideradas necessárias na eventualidade de um evento que coloquem em causa a segurança informática.
Por exemplo, no âmbito deste procedimento de data breach, é imediatamente constituída uma equipa de CSIRT (Computer Security Incident Response Team), composta por elementos da Administração, do Departamento Legal, do Departamento de TI e do Departamento de Comunicação. Este mesmo procedimento elenca todas as atividades que têm de ser realizadas subsequentemente ao ataque cibernético e todas as entidades que deverão participar da resolução do problema e todas as entidades públicas e privadas que terão de ser notificadas. Existem ainda tempos de resposta curtos definidos e obrigações laborais de presença e disponibilidade exíguas neste tipo de situações.
Constitua a equipa rapidamente.
Sendo o tempo de resposta a este tipo de incidentes fundamental, é importante ter profissionais ou empresas, aptos a dar uma rápida resposta neste tipo de situações.
A equipa que constituir, deve sempre englobar pessoas de áreas-chave:
- Administração: Deve sempre estar presente alguma(s) pessoa(s) com poderes decisórios ou poderes delegados para, no menor tempo possível, tomar todas as decisões que são necessárias;
- Tecnologias de Informação: É essencial a presença de pessoas das áreas da programação e computação que tenham conhecimentos técnicos efetivos que permitam a adoção de medidas cessação urgente do ataque cibernético. Ao mesmo tempo, estas pessoas serão essenciais para o relacionamento técnico com entidades terceiras que disponibilizam serviços de internet ou de cloud.
- Jurídico: A Legal Block integra equipas de CSIRT de empresas, sendo importante a presença de profissionais jurídicos que prestem atividade jurídica e aconselhamento legal sobre procedimento, medidas e formas de atuação a adotar nestes casos.
- Comunicação: Consoante a maior ou menor dimensão da empresa, do ataque, dos dados comprometidos, é essencial responder aos desafios resultantes da atividade criminosa, tendo como escopo mitigar os efeitos reputacionais nefastos para a empresa e, ao mesmo tempo, gerir a comunicação com clientes, fornecedores, trabalhadores e com os mercados.
Ligar-se às Entidades Públicas
Tendo em linha de conta o escopo das atividades criminosas desenvolvidas no âmbito do cibercrime, é importante ligar-se desde logo com as principais entidades nacionais e europeias nesta matéria.
Desde logo, a mais importante, será com o CNCS (Centro Nacional de Cibersegurança), cujo website contém informação muito importante no caso de ocorrência deste tipo de eventos mas, também, informação de carácter preventivo e de boas práticas.
Depois, a Polícia Judiciária tem uma Unidade Nacional de Combate ao Cibercrime e à Criminalidade Tecnológica (UNC3T), a quem compete a prevenção, deteção e investigação de crimes informáticos ou relacionados com as tecnologias de informação.
A ENISA (European Union Agency for Cybersecurity) é, também, um excelente exemplo para obter informações, apoio e estar atualizado sobre as políticas comuns europeias nesta matéria.
De todo o modo e em conclusão, o melhor é sempre que a sua empresa tenha uma atuação preventiva nesta matéria. Isso implica o desenvolvimento de um trabalho importante que tem de, necessariamente, passar pela análise da atividade da empresa e tem de contar com a participação de todos os agentes (colaboradores, prestadores de serviços, fornecedores, etc.) que contribuem para o regular funcionamento da mesma. Planear, mitigar e antecipar são, pois, nesta matéria, palavras-chave de atuação imprescindível.
Se gostou deste artigo, divulgue-o e partilhe-o nas redes sociais. Quem sabe não ajuda pessoas com dúvidas e questões sobre este tema! Se precisar do nosso apoio, estão disponíveis os nossos contactos para o ajudar e esclarecer no que for preciso.
Este artigo foi escrito por João Carlos Pinto Correia segundo as regras do Novo Acordo Ortográfico.