Não sendo a única, a “National Institute of Standards and Technology Cybersecurity Framework” está considerada a, provavelmente, melhor base para as políticas de ciber segurança empresarial. O seu principal objectivo é, claro, o de reduzir os riscos de ciber segurança. Consiste numa extensa colecção de ferramentas, políticas, conceitos e orientações, acções, melhores práticas e conteúdos formativos abrangentes. Também o “Software Engineering Institute – Carnegie Mellon University” se constitui como uma referência incontornável nestas matérias, através do “SEI CERT Coding Standards”. Cada uma das suas normas é ilustrada com exemplos de cumprimento e não cumprimento, com secções de “risk assessment” e com normas e bibliografia relacionadas. O principal objectivo é, também aqui, o de habilitar os “developers” na produção de programas mais seguros e fiáveis, minimizando, ou mesmo eliminando, códigos com desempenhos “vagos” que possam conduzir a resultados indefinidos e a vulnerabilidades.
A preocupação e a aplicação estrita de “Secure Coding” ultrapassa, inclusive, as normas mais comuns sempre que o campo de aplicação abrange sistemas críticos e de segurança. “Primus inter pares”, estes sistemas têm de ser ainda, de maior qualidade, de maior fiabilidade, de maior robustez e de maior resistência a ciber-ataques!
Nunca é demais recordar as “NASA’s 10 Rules of Coding” e o que delas disse Gerard Holzmann…
“… These ten rules are being used experimentally at Jet Propulsion Laboratory in the writing of mission critical software, with encouraging results. After overcoming a healthy initial reluctance to live within such strict confines, developers often find that compliance with the rules does tend to benefit code clarity, analyzability, and code safety. The rules lessen the burden on the developer and tester to establish key properties of the code (e.g., termination or boundedness, safe use of memory and stack, etc.) by other means. If the rules seem Draconian at first, bear in mind that they are meant to make it possible to check code where very literally your life may depend on its correctness: code that is used to control the airplane that you fly on, the nuclear power plant a few miles from where you live, or the spacecraft that carries astronauts into orbit. The rules act like the seat-belt in your car: initially they are perhaps a little uncomfortable, but after a while their use becomes second-nature and not using them becomes unimaginable…” – Gerard Holzmann, NASA/JPL Laboratory for Reliable Software
Mais uma vez… Tudo se ensina. Tudo se aprende. Tudo se treina. E esta é, acima de tudo, uma prerrogativa da boa gestão de pessoas, qualquer que seja o tipo de organização.
Hoje, qualquer pessoa transporta consigo, num computador portátil, num “tablet”, num “smartphone” e num qualquer “wareable device”, não só informação crítica pessoal, familiar e…, empresarial, como potenciais pontos de acesso indevido a toda essa informação. Tudo tende a estar ligado com tudo.
As tendências do “Bring Your Own Device” e de uma cada vez menor separação entre a vida pessoal e a profissional colocam, também nestes temas, desafios acrescidos.
Figura 2: “NASA – 10 Rules of Coding”. (Fonte: https://www.nasa.gov/)
Não vale a pena “tentar parar o vento com mãos”. A tecnologia existe, está em pleno desenvolvimento e cada vez mais acessível e, é para usar! Mas com conhecimento.
As áreas de Recursos Humanos, em articulação com as áreas técnicas e tecnológicas, podem aqui desempenhar um papel fundamental na formação dos colaboradores e na consciencialização para os riscos de ciber-segurança. Todos necessitam de elevar o seu nível de conhecimento tecnológico e perceber que a segurança de toda a organização depende, também, de todos os seus colaboradores… individualmente.
Figura 3: “What do your devices know about you?”. (Fonte: Cyber crime watch.)
Basta uma password mais “fraca”, uma resposta a um e-mail de “phishing”, uma ligação a um hotspot Wi-Fi livre, ou a perca / roubo de um smartphone desprotegido, para se colocar em risco toda uma organização! Basta a ligação a um simples dispositivo desconhecido com interface USB, seja uma PEN drive, seja uma multi-docking de carregamento, seja um aparentemente inocente carregador…, e o risco de comprometermos os nossos dispositivos e, a partir daí, todas as nossas redes e sistemas, é significativo.
Aquela PEN drive oferecida, ou encontrada por acaso na conferência… O multi-docking de carregamento que tão convenientemente estava ali, disponível para o público, mesmo quando já estávamos desesperadamente a ficar sem bateria… Aquele carregador esquecido no lounge do aeroporto… Se não se conhece a origem e o controlo, a regra deverá ser sempre – Não usar! Todos estes dispositivos podem ter sido previamente comprometidos por hackers.
Só para ilustrar o ponto, os investigadores de ciber-segurança da Ben-Gurion University of the Negev identificaram, até ao momento, mais de três dezenas de tipos de ataques diferentes via dispositivos com interface USB. Desde ataques com software malicioso, a ataques “eléctricos” com o intuito de destruir fisicamente o equipamento… Sim, aquele aparentemente inocente carregador de telemóvel, pode ser “apenas” um microcontrolador dentro de uma caixa exterior de um carregador.
“The general rule of thumb is: treat technology as something you don’t naturally trust. As users, we have a tendency to trust technology, to trust peripherals, i.e., you trust your flash drive, you trust your keyboard, but you trust it because you’re not aware. Treat it as a syringe: You wouldn’t find a syringe in the parking lot, pick it up, and inject it to yourself. Because you’re aware you could be infected. You have no knowledge of what could happen, but are afraid because it could be dangerous. This is exactly the same thing.” – Ran Yahalom (Cyber @ Ben-Gurion University of the Negev)
Tradicionalmente, os temas relacionados com os riscos de ciber-segurança não têm feito parte do top de preocupações da generalidade dos colaboradores. A normal pressão do trabalho, a par de alguma iliteracia tecnológica que urge corrigir, tem conduzido a um número crescente de brechas de segurança. Muitas delas, evitáveis.
Repetindo, mutatis mutandis, um parágrafo anterior… As áreas de Recursos Humanos ligadas à Formação e às Universidades Corporativas, podem aqui estabelecer uma parceria virtuosa com as áreas de IT, Redes e Sistemas, promovendo e concretizando programas de formação actuais e robustos que abranjam todos os colaboradores.
De novo, a mesma certeza e o mesmo comprometimento… Tudo se ensina. Tudo se aprende. Tudo se treina.
Parafraseando Sir Francis Bacon, “Knowledge is power”. Antes de qualquer medida preventiva poder ser tomada, é crucial que todos os colaboradores detenham algum conhecimento da variedade, tipo e características dos ciber-crimes. Esta base mínima de conhecimento é indispensável para a sustentabilidade de níveis de “alerta inteligente” sempre que se lida com hardware desconhecido, se recebe um e-mail (seus anexos e hyperlinks), se verifica um anúncio na Internet, se acede a um hotspot Wi-Fi…, permitindo desenvolver e consolidar hábitos elementares de atenção e prevenção:
– O computador (ou outro dispositivo) ficou inexplicavelmente lento após um download, ou outra qualquer acção on-line? Poderá ter sido comprometido…
– A password de todos os dispositivos e sites não é “forte” (em termos de número e tipo de caracteres) e diferente entre todos? Corrigir!
– Aquele e-mail em que se pede para abrir um ficheiro, ou para seguir um determinado hyperlink, é de origem conhecida e confiável? Se não for, apagar sem abrir anexos nem seguir hyperlinks!
– Utilizar hotspots Wi-Fi públicos para operações bancárias ou transferências de documentação sensível? Nunca!
– Etc., etc…
A tecnologia permite o ciber-crime, mas é, quase sempre, a interacção humana com essa mesma tecnologia que torna esse crime possível e que o potencia. O ciber-crime conta, sempre, com a ignorância e desatenção do ser humano para se concretizar e proliferar.
Figura 4: “Cyber Security Small Business Guide”. (Fonte: National Cyber Security Centre – United Kingdom.)
Este é, como referido, um desafio com proporções novas. Um novo paradigma que chegou e que se vai alargar e intensificar. Nas empresas, a consciencialização e formação de todos os colaboradores, mesmo em acções supostamente simples e óbvias, constituirá um dos mais robustos alicerces da protecção sustentável contra os riscos de ciber-segurança.
Uma “Missão” global, em que as áreas de Recursos Humanos e as Universidades Corporativas podem e devem ser uma mais-valia para as organizações.
Luís de Matos
[ Advisory Board Member at LUSOFLY ]
Leia o artigo completo aqui: https://www.linkedin.com/pulse/formar-pessoas-para-oportunidades-e-desafios-da-lu%C3%ADs-de-matos/