Fazer o básico

Em entrevista com um dos executivos da empresa que organizava essa conferência foi partilhado que a maioria dos ciberincidentes atuais não ocorre devidos a ataques sofisticados, “mas sim por coisas muito básicas”.

Segundo dados do Centro Nacional de Cibersegurança, os ciberataques em Portugal aumentaram mais de 716% entre 2015 e o final de 2023 e os cibercriminosos exploram, na maioria das vezes, passwords fracas, softwares desatualizados ou definições de segurança mal configuradas.

Na verdade, por vezes, as organizações lançam-se numa corrida tecnológica que, por uma razão ou por outra, é insustentável. Há casos e casos, claro, mas a execução rigorosa de fundamentos básicos oferece, na maioria das vezes, uma proteção eficaz para a maioria das organizações.

Apesar de ter ouvido que ‘é preciso fazer o básico’, a verdade é que o tema não é novo. Em 2021, numa outra entrevista, um executivo de uma fabricante de cibersegurança dizia que a cibersegurança é “como escovar os dentes três vezes ao dia”, onde “é preciso fazer o básico todos os dias”.

Ora, de 2021 a 2025 vão quatro anos. No entanto, nestes quatro anos a cibersegurança enfrenta o mesmo problema: fazer o básico.

Há investimentos que têm de ser feitos, claro, mas para a maioria das organizações talvez baste começar pelo básico: gestão de correções e atualizações nos sistemas operativos e nas aplicações; implementação de autenticação multifator; ter backup e testar a recuperação; gerir os acessos e os privilégios; e, claro, formar e sensibilizar os colaboradores, que podem – e devem – ser a primeira linha de defesa da organização.

A matemática, na verdade, é simples: implementar estes básicos custa uma fração do que se gasta a recuperar de um incidente. As organizações portuguesas – principalmente as de menor dimensão – têm de começar por aí.