Ciberhigiene: a base da saúde de uma organização

É sabido que o ponto mais fraco da cibersegurança é a componente humana, mas, simultaneamente, é impossível retirar as pessoas por completo dos sistemas. A partir do momento em que existem colaboradores, existe uma possível porta de entrada.

O trabalho remoto cresceu com a pandemia. Também é sabido que as organizações abriram os acessos aos seus colaboradores e que as ameaças cresceram durante o período de confinamento. Ao verem- -se no conforto das suas casas, muitos relaxaram a atenção dada a potenciais emails de phishing que podem ser o primeiro ponto de entrada para um ataque cibernético de larga escala.

Cabe às organizações formar e alertar os colaboradores para as ameaças existentes. O phishing é apenas um deles, mas há mais. Assim, todos os utilizadores de Internet – seja num contexto profissional ou pessoal – devem adquirir um conjunto de práticas para garantir que utilizam as várias ferramentas online existentes sem problemas nas suas rotinas, para além de saber identificar potenciais ameaças.

Pontos críticos para uma ciberhigiene

O Centro Nacional de Cibersegurança (CNCS) publicou no seu site uma série de recomendações que os utilizadores devem ter em conta quando navegam na Internet. No caso da navegação, devem ser utilizadas firewalls, privilegiar endereços ‘https’, desconfiar de ofertas demasiados boas na Internet e, ao máximo, recolher informação sobre o vendedor, utilizar formas de pagamentos seguras e guardar o registo das transações.

Com o aumento de trabalho remoto, aumentou, também, a utilização dos dispositivos corporativos para temas pessoais. No caso de o dispositivo ser utilizado por terceiros – algo que não deve ser feito – deve ser acompanhada a navegação dessa pessoa para garantir que não prejudica o dispositivo e os sistemas.

Os emails são uma conhecida porta de entrada para vários ciberataques. Assim, os utilizadores devem abrir emails apenas de origem conhecida e, no caso de abrir um email de origem desconhecida, não devem carregar em nenhuma ligação ou anexo.

Simultaneamente, deve-se verificar o endereço e a veracidade dos emails conhecidos, não enviar informação sensível por email, identificar SPAM para que o sistema faça uma seleção prévia e terminar sempre a sessão quando se finaliza a utilização do email.

Também as redes sociais são não só um ponto de entrada para um ciberataque, como uma ferramenta para retirar informação que pode ser utilizada para realizar um ciberataque direcionado.

Assim, mesmo numa componente mais pessoal, os utilizadores só devem aceitar ligações apenas de pessoas conhecidas e nunca partilhar telefone ou moradas no seu perfil. Ao mesmo tempo, deve- se evitar partilhar locais, imagens de crianças ou dados sensíveis e não carregar em publicações suspeitas, uma vez que pode ser uma campanha de phishing.

Cuidar dos dispositivos

Os colaboradores e as organizações devem ter em conta uma série de procedimentos para garantir uma ciberhigiene do equipamento. Assim, só devem ser utilizados dispositivos autorizados pela organização e, em caso de perda, informar o responsável de cibersegurança. Para além de não deverem ser utilizado por terceiros ou para tarefas pessoais, o utilizador também deve utilizar apenas pens USB confiáveis, utilizar um filtro no ecrã do portátil e ativar o bloqueio automático dos dispositivos e utilizar um PIN ou uma palavra-passe para desbloquear o dispositivo.

Curso Cidadão Ciberseguro

O Centro Nacional de Cibersegurança conta com um curso que “visa garantir um conjunto de competências que permitam que o cidadão, enquanto utilizador do ciberespaço, se sinta apto a navegar de forma segura”.

Este curso gratuito – disponível até ao final de março de 2021 no site do CNCS – tem uma carga total de cerca de três horas, divididas em três módulos e que inclui uma avaliação. Os módulos dizem respeito à casa, ao trabalho e ao exterior e, cada um deles, se foca na identidade, nas redes e na navegação, no comportamento social e no posto de trabalho ou posto doméstico.