5 peritos explicam como ter um colete à ‘prova de balas’ na internet

    Foto: Ben Sweet / Unsplash

    Trabalham em algumas das maiores empresas do mundo na área da segurança informática, mas têm conselhos e dicas simples para serem seguidas por todos os utilizadores. Saiba como deve proteger-se online.

    É uma data que ano após ano ganha relevância: talvez porque a vida de todos está cada vez mais digitalizada, talvez porque o número de grandes casos – ou escândalos? – de segurança informática também não para de aumentar. O Dia da Internet Mais Segura, celebrado esta terça-feira, é o dia em que todos são convidados a pensar mais ou melhor sobre a forma como se protegem online.

    O que começou em 2004 como uma iniciativa europeia, rapidamente tornou-se num evento de escala global e que atualmente é assinalado em 140 países.

    A Insider dá voz a especialistas nacionais e internacionais que dão dicas simples que qualquer utilizador de internet pode seguir para manter a sua segurança online.

    Saber escolher os equipamentos

    Os dispositivos que escolhe podem logo à partida ter influência no seu nível de segurança. Se em tempos a BlackBerry já foi o expoente máximo da segurança em dispositivos móveis, esse título agora tende a cair mais para a Apple.

    A marca da maçã investe muito para que os seus equipamentos sejam impenetráveis – ao ponto de haver empresas de segurança informática dispostas a pagar dois milhões de dólares por uma única vulnerabilidade que seja encontrada no iPhone.

    “Atualmente se tiveres alguém que não sabe o que deve usar para ficar seguro, diz-lhe para usar um iPhone, um iPad ou um Chromebook, e usar aplicações online [como a GSuite da Google]. Se usares estas ferramentas e ativares a autenticação em dois passos, se tiveres algo mais do que a tua password a proteger a tua autenticação, se fizeres isso, estas três coisas vão tornar-te mais seguro do que a maioria dos bancos. É surpreendente, mas é verdade”, aconselha Dug Song, fundador e diretor executivo da empresa de segurança Duo Security.

    Leia também | Já pertenceu a um clube de hackers milionários. Agora defende empresas como o Facebook e Twitter

    O browser é o melhor amigo do Homem

    “[Os piratas informáticos] Não conseguem explorar o Flash e o Java, porque os nosso browsers atualizam-se de forma automática. Desde que o Chrome e o Firefox começaram a atualizar de forma automática, as vulnerabilidades são quase inexploráveis. Assim que são encontradas falhas, são corrigidas em dois dias. Os criminosos não conseguem tornar aquilo numa arma antes que esteja corrigido”.

    A análise é de Chester Wisniewski, um dos investigadores principais da Sophos. Um pouco à semelhança do que a Apple faz com hardware, outras empresas fazem-no ao nível do software. Isto significa que se usar serviços baseados na web, então está menos exposto a riscos.

    “O esforço que a Microsoft, Apple, Google e a Mozilla colocaram para proteger os browsers, é incrível o avanço que eles fizeram nos últimos anos. Não posso dizer que é verdadeiro para todos os sectores de negócio, mas até na Sophos, quase tudo o que acedo é através do browser”.

    Ativar a autenticação em dois passos

    Mark Risher já foi conhecido como o Czar do Spam, quando trabalhava na Yahoo, e agora é o homem-forte das passwords na Google. Portanto quando diz que a segurança dos utilizadores não deve ficar dependente de apenas oito – ou menos – caracteres, é para levar a sério.

    “Não devemos depender simplesmente da password. Mais de 99% das vezes, mesmo que alguém saiba o teu username, a tua password e o teu número de telefone, eles não conseguem autenticar-se porque nós usámos desafios adicionais, estes factores secundários. Estás num dispositivo que já vimos antes? Tens acesso ao telefone que está registado?”, explica o perito.

    Atualmente os principais serviços digitais – seja da Google, Facebook ou Twitter – disponibilizam um forma de autenticação em dois passos. Ative-a o quanto antes, pois pode ser a diferença entre ser atacado ou ficar a salvo.

    A total garantia de segurança é um mito

    Com uma vida cada vez mais digital, há quem garanta que o importante é a consciencialização de que aquilo que fazemos online tem implicações e que, em muitos casos, o erro está mesmo nas pessoas.

    “A ‘total garantia de segurança’ é por si só um mito”, diz Bruno Castro, CEO da empresa VisionWare. Por isso, por mais seguro que algum serviço ou empresa diga que é, vale a pena ter em mente que já não há empresas à prova de bala.

    Leia também | O principal inimigo da segurança informática? “Nós, as pessoas”

    “Não podemos nunca assumir que essa, ou outra informação está 100% segura. Apenas podemos gerir o risco e as medidas preventivas que aplicamos a determinada informação. A aplicação de normas como as do RGPD são garantias maiores de que esses dados estão salvaguardados”.

    Ainda assim, também este responsável recomenda a utilização de autenticação de dois fatores (2FA). “Para o utilizador comum, 2FA é já uma medida de segurança muito eficiente. No entanto, quando falamos do contexto corporativo, esta pode ser sempre acompanhada por outras medidas. Boas práticas na utilização da Internet e outras medidas, como a escolha de passwords fortes – mais de 8 dígitos, letras maiúsculas e minúsculas, números e símbolos – são exemplos”, recomenda.

    Eliminar totalmente o risco? É uma ilusão

    Carlos Figueiredo é senior manager specialties na Marsh Portugal, empresa de gestão de riscos e corretagem de seguros. O responsável refere que as empresas portuguesas têm vindo a “fazer uma evolução constante da consciencialização do risco que as entidades têm”.

    Aliás, indica até que “esta evolução não só foi motivada pelo RGPD”, mas também por outros dois pontos importantes para o negócio das empresas: a reputação e a paralisação, em que ambas podem ter graves implicações para as receitas das empresas.

    “O investimento [em segurança] é uma proteção necessária”, avisa Carlos Figueiredo, reforçando também que ataques como o WannaCry e o NotPetya, em 2017, não passaram despercebidos em Portugal e serviram para deixar as empresas mais alerta, por serem casos reais.

    “Não há nenhuma entidade empresarial que não tenha tido uma experiência negativa ou incidente de segurança”, explica o responsável da Marsh Portugal. “Ninguém consegue eliminar o risco”, reconhece, indicando também que já há empresas em Portugal que estão a aumentar o orçamento dedicado aos investimentos na área da segurança.

    Por Cátia Rocha e Rui da Rocha Ferreira

    Centro de Cibersegurança tem curso para que portugueses aprendam a estar seguros na internet