Não sendo a única, a “National Institute of Standards and Technology Cybersecurity  Framework” está considerada a, provavelmente, melhor base para as políticas de ciber segurança empresarial. O seu principal objectivo é, claro, o de reduzir os riscos de ciber segurança. Consiste numa extensa colecção de ferramentas, políticas, conceitos e  orientações, acções, melhores práticas e conteúdos formativos abrangentes. Também  o “Software Engineering Institute – Carnegie Mellon University” se constitui como uma  referência incontornável nestas matérias, através do “SEI CERT Coding Standards”.  Cada uma das suas normas é ilustrada com exemplos de cumprimento e não  cumprimento, com secções de “risk assessment” e com normas e bibliografia  relacionadas. O principal objectivo é, também aqui, o de habilitar os “developers” na  produção de programas mais seguros e fiáveis, minimizando, ou mesmo eliminando,  códigos com desempenhos “vagos” que possam conduzir a resultados indefinidos e a  vulnerabilidades.  

A preocupação e a aplicação estrita de “Secure Coding” ultrapassa, inclusive, as normas  mais comuns sempre que o campo de aplicação abrange sistemas críticos e de  segurança. “Primus inter pares”, estes sistemas têm de ser ainda, de maior qualidade,  de maior fiabilidade, de maior robustez e de maior resistência a ciber-ataques!  

Nunca é demais recordar as “NASA’s 10 Rules of Coding” e o que delas disse Gerard  Holzmann…  

“… These ten rules are being used experimentally at Jet Propulsion Laboratory in the  writing of mission critical software, with encouraging results. After overcoming a healthy  initial reluctance to live within such strict confines, developers often find that compliance  with the rules does tend to benefit code clarity, analyzability, and code safety. The rules  lessen the burden on the developer and tester to establish key properties of the code  (e.g., termination or boundedness, safe use of memory and stack, etc.) by other means.  If the rules seem Draconian at first, bear in mind that they are meant to make it possible  to check code where very literally your life may depend on its correctness: code that is  used to control the airplane that you fly on, the nuclear power plant a few miles from  where you live, or the spacecraft that carries astronauts into orbit. The rules act like the  seat-belt in your car: initially they are perhaps a little uncomfortable, but after a while their  use becomes second-nature and not using them becomes unimaginable…” – Gerard  Holzmann, NASA/JPL Laboratory for Reliable Software 

Mais uma vez… Tudo se ensina. Tudo se aprende. Tudo se treina. E esta é, acima de  tudo, uma prerrogativa da boa gestão de pessoas, qualquer que seja o tipo de  organização.  

Hoje, qualquer pessoa transporta consigo, num computador portátil, num “tablet”, num  “smartphone” e num qualquer “wareable device”, não só informação crítica pessoal,  familiar e…, empresarial, como potenciais pontos de acesso indevido a toda essa  informação. Tudo tende a estar ligado com tudo.  

As tendências do “Bring Your Own Device” e de uma cada vez menor separação entre  a vida pessoal e a profissional colocam, também nestes temas, desafios acrescidos. 

Figura 2: “NASA – 10 Rules of Coding”. (Fonte: https://www.nasa.gov/)  

Não vale a pena “tentar parar o vento com mãos”. A tecnologia existe, está em pleno  desenvolvimento e cada vez mais acessível e, é para usar! Mas com conhecimento.  

As áreas de Recursos Humanos, em articulação com as áreas técnicas e tecnológicas,  podem aqui desempenhar um papel fundamental na formação dos colaboradores e na  consciencialização para os riscos de ciber-segurança. Todos necessitam de elevar o seu nível de conhecimento tecnológico e perceber que a segurança de toda a  organização depende, também, de todos os seus colaboradores… individualmente.  

Figura 3: “What do your devices know about you?”. (Fonte: Cyber crime watch.)  

Basta uma password mais “fraca”, uma resposta a um e-mail de “phishing”, uma ligação  a um hotspot Wi-Fi livre, ou a perca / roubo de um smartphone desprotegido, para se  colocar em risco toda uma organização! Basta a ligação a um simples dispositivo  desconhecido com interface USB, seja uma PEN drive, seja uma multi-docking de  carregamento, seja um aparentemente inocente carregador…, e o risco de comprometermos os nossos dispositivos e, a partir daí, todas as nossas redes e  sistemas, é significativo.  

Aquela PEN drive oferecida, ou encontrada por acaso na conferência… O multi-docking  de carregamento que tão convenientemente estava ali, disponível para o público,  mesmo quando já estávamos desesperadamente a ficar sem bateria… Aquele  carregador esquecido no lounge do aeroporto… Se não se conhece a origem e o  controlo, a regra deverá ser sempre – Não usar! Todos estes dispositivos podem ter sido  previamente comprometidos por hackers.  

Só para ilustrar o ponto, os investigadores de ciber-segurança da Ben-Gurion University  of the Negev identificaram, até ao momento, mais de três dezenas de tipos de ataques  diferentes via dispositivos com interface USB. Desde ataques com software malicioso,  a ataques “eléctricos” com o intuito de destruir fisicamente o equipamento… Sim, aquele  aparentemente inocente carregador de telemóvel, pode ser “apenas” um  microcontrolador dentro de uma caixa exterior de um carregador.  

“The general rule of thumb is: treat technology as something you don’t naturally trust. As  users, we have a tendency to trust technology, to trust peripherals, i.e., you trust your  flash drive, you trust your keyboard, but you trust it because you’re not aware. Treat it as  a syringe: You wouldn’t find a syringe in the parking lot, pick it up, and inject it to yourself.  Because you’re aware you could be infected. You have no knowledge of what could  happen, but are afraid because it could be dangerous. This is exactly the same thing.” –  Ran Yahalom (Cyber @ Ben-Gurion University of the Negev)  

Tradicionalmente, os temas relacionados com os riscos de ciber-segurança não têm  feito parte do top de preocupações da generalidade dos colaboradores. A normal  pressão do trabalho, a par de alguma iliteracia tecnológica que urge corrigir, tem  conduzido a um número crescente de brechas de segurança. Muitas delas, evitáveis.  

Repetindo, mutatis mutandis, um parágrafo anterior… As áreas de Recursos Humanos  ligadas à Formação e às Universidades Corporativas, podem aqui estabelecer uma  parceria virtuosa com as áreas de IT, Redes e Sistemas, promovendo e concretizando  programas de formação actuais e robustos que abranjam todos os colaboradores.  

De novo, a mesma certeza e o mesmo comprometimento… Tudo se ensina. Tudo se  aprende. Tudo se treina.  

Parafraseando Sir Francis Bacon, “Knowledge is power”. Antes de qualquer medida  preventiva poder ser tomada, é crucial que todos os colaboradores detenham algum  conhecimento da variedade, tipo e características dos ciber-crimes. Esta base mínima  de conhecimento é indispensável para a sustentabilidade de níveis de “alerta inteligente”  sempre que se lida com hardware desconhecido, se recebe um e-mail (seus anexos e  hyperlinks), se verifica um anúncio na Internet, se acede a um hotspot Wi-Fi…,  permitindo desenvolver e consolidar hábitos elementares de atenção e prevenção:  

– O computador (ou outro dispositivo) ficou inexplicavelmente lento após um download,  ou outra qualquer acção on-line? Poderá ter sido comprometido…  

– A password de todos os dispositivos e sites não é “forte” (em termos de número e tipo  de caracteres) e diferente entre todos? Corrigir!  

– Aquele e-mail em que se pede para abrir um ficheiro, ou para seguir um determinado  hyperlink, é de origem conhecida e confiável? Se não for, apagar sem abrir anexos nem  seguir hyperlinks

– Utilizar hotspots Wi-Fi públicos para operações bancárias ou transferências de  documentação sensível? Nunca!  

– Etc., etc…  

A tecnologia permite o ciber-crime, mas é, quase sempre, a interacção humana com  essa mesma tecnologia que torna esse crime possível e que o potencia. O ciber-crime  conta, sempre, com a ignorância e desatenção do ser humano para se concretizar e  proliferar.  

Figura 4: “Cyber Security Small Business Guide”. (Fonte: National Cyber Security Centre –  United Kingdom.)  

Este é, como referido, um desafio com proporções novas. Um novo paradigma que  chegou e que se vai alargar e intensificar. Nas empresas, a consciencialização e  formação de todos os colaboradores, mesmo em acções supostamente simples e  óbvias, constituirá um dos mais robustos alicerces da protecção sustentável contra os  riscos de ciber-segurança.  

Uma “Missão” global, em que as áreas de Recursos Humanos e as Universidades  Corporativas podem e devem ser uma mais-valia para as organizações.

Luís de Matos  

[ Advisory Board Member at LUSOFLY ] 

Leia o artigo completo aqui: https://www.linkedin.com/pulse/formar-pessoas-para-oportunidades-e-desafios-da-lu%C3%ADs-de-matos/

Deixe um comentário

O seu endereço de email não será publicado. Campos obrigatórios marcados com *