Elemento humano: “Temos de embeber a pessoa na estratégia de segurança que definimos” (com vídeo)

Na mesa-redonda “O Elemento Humano”, composta por Nuno Branco, CISO da Volkswagen Autoeuropa, Nuno Neves, Chief Security Officer da Associação Nacional das Farmácias, Fernando Gomes de Amorim, Board Member e Cybersecurity Instructor da CIIWA, e Rui Antunes, Cybersecurity Specialist da Cisco, discutiram-se as práticas mais eficazes para diminuir riscos e fortalecer a segurança dentro das organizações, com especial foco na capacitação e sensibilização dos colaboradores.

Reconhecendo que a fragilidade humana nunca poderá ser totalmente eliminada, os especialistas exploraram estratégias para mitigar os riscos de segurança associados. Neste debate, foram partilhadas soluções que as organizações devem adotar para minimizar esses riscos, com ênfase em abordagens práticas e preventivas para reforçar a resiliência organizacional frente às ciberameaças.

Estratégias e soluções para minimizar erros humanos

Nuno Branco, CISO da Volkswagen Autoeuropa, compartilhou a sua experiência na empresa, enfatizando a importância de uma “gestão correta das ferramentas” e da adaptação das soluções tecnológicas à realidade da organização. Segundo o CISO, “o foco aqui não é tanto a ferramenta em si, mas sim fazer uma gestão correta dela, pois muitas vezes adquirimos ferramentas que não estão adaptadas às necessidades da organização, ou aos recursos disponíveis”, como é o caso de ferramentas mais simples, por exemplo o antivírus. O orador explicou que a organização conseguiu reduzir incidentes em 80% ao implementar uma solução de DLP que bloqueou todas as portas USB. Nesse sentido, para o orador, é essencial que as empresas priorizem a eficácia das ferramentas adquiridas: “temos de definir prioridades e, antes de mais, olhar para dentro da organização” e perceber “os riscos que a organização antecipa, ou com que está a lidar, para definir quais as melhores soluções”.

Já Nuno Neves, Chief Security Officer da Associação Nacional das Farmácias, reforçou a importância de equilibrar a tecnologia com a formação, especialmente em organizações onde os níveis de conhecimento tecnológico são diversos. “A formação é fundamental”, já que considerou que “o erro humano vai sempre existir”. O especialista destacou que campanhas de sensibilização ajudam a ilustrar o impacto dos erros humanos de forma prática e acessível. Campanhas de conscientização essas que, de acordo com Nuno Neves, devem ser constantes e interessantes para captar a atenção dos colaboradores de forma eficaz. Por outro lado, também considerou fundamental, para mitigar o mais possível o risco, os “controlos que também mitiguem aquilo que eles [colaboradores] conseguem fazer”.

Capacitação e hibridação com a tecnologia

Fernando Amorim, Board Member e Cybersecurity Instructor da CIIWA, abordou a capacitação do elemento humano nas organizações, alertando para a vulnerabilidade intrínseca ao comportamento humano. “Se queremos edificar uma capacidade de segurança, nós temos de embeber o elemento humano na estratégia de segurança que definimos”, revelou o orador que, por sua vez, considera essencial integrar as pessoas na estratégia de cibersegurança, com uma abordagem que vá além da formação teórica: “parece-me fundamental […] hibridar o comportamento com a tecnologia”. O treino constante e a prática de simulações, de acordo com o orador, ajudam a reduzir riscos e a preparar as equipas para tomar decisões informadas e conscientes, especialmente num contexto onde o ambiente estratégico é “não só competitivo, mas também conflitual”.

Rui Antunes, Cybersecurity Specialist da Cisco, destacou a importância de plataformas de simulação de phishing e campanhas de formação para prevenir erros humanos. Para especialista, o e-mail continua a ser um dos principais vetores de ataque, o que torna essencial a utilização de soluções robustas para filtragem de conteúdo e proteção de DNS. “Uma solução de proteção de e-mail é fundamental”, afirmou, mencionando ainda a relevância do multifator de autenticação para reduzir ataques baseados no roubo de credenciais.

No contexto da cibersegurança e resposta a incidentes, a monitorização ativa das infraestruturas assume um papel central. Segundo o Rui Antunes, a capacidade de “receber telemetria de todas as opções” de infraestrutura é essencial para “mais facilmente detetar e responder a esses ataques”. Esta abordagem de deteção e resposta torna-se especialmente relevante à luz das obrigações impostas pela NIS 2, que exige das organizações um rigoroso report de incidentes, mencionou o Cybersecurity Specialist da Cisco.

Segmentação do alvo dentro das organizações

O debate aprofundou-se ao abordar o conceito de guerra cognitiva, uma ameaça que explora a manipulação psicológica e a segmentação dos colaboradores nas organizações. Nuno Neves observou que, no passado, ataques de phishing eram mais fáceis de identificar, mas hoje “já vai parametrizado para aquilo que são as crenças do próprio utilizador” e, por sua vez “para nos fazer acreditar”. A inteligência artificial, neste contexto, facilita ataques altamente direcionados, representando um novo desafio para as equipas de cibersegurança, que precisam de "formar os utilizadores o mais possível" para que estes consigam identificar padrões suspeitos.

Fernando Amorim completou a discussão referindo que a guerra das perceções não é um conceito novo, mas adquiriu uma nova dimensão com a guerra cognitiva, que visa “influenciar, modificar, adulterar, condicionar o pensamento humano”. Para o Board Member e Cybersecurity Instructor da CIIWA, operações de desinformação e manipulação psicológica representam um risco crescente, destacando que “hoje estamos a assistir ao advento de um conceito doutrinário da guerra cognitiva”.

Rui Antunes destacou a complexidade das ciberameaças, dividindo-as em dois tipos principais: os ataques direcionados e sofisticados, feitos “à medida”, com elevada probabilidade de sucesso, e os ataques “mais negros”, associados a campanhas de desinformação. Estas últimas representam uma ameaça subtil e eficaz, onde são laçadas falsas emergências que obrigam “um colaborador a agir precipitadamente e eventualmente a fazer uma ação que põe em causa a segurança da organização”. Para mitigar este risco, o Cybersecurity Specialist da Cisco, sublinhou a importância da “monitorização dessa informação nas redes sociais e noutros veículos e ter um protocolo de resposta para evitar essas situações”.

Nuno Branco realçou a importância de uma “segmentação eficaz” para adaptar a consciencialização dos colaboradores aos riscos específicos da organização, iniciando o processo com uma análise de risco e campanhas de phishing direcionadas, de modo a identificar departamentos ou grupos mais vulneráveis. Por sua vez, o CISO da Volkswagen Autoeuropa, destacou a necessidade de uma “campanha de comunicação e também de formação” específica para os grupos identificados, avaliando posteriormente a eficácia das medidas implementadas. Se o risco for reduzido a um nível satisfatório e que “garante alguma maturidade”, considerou que a temática pode ser revista esporadicamente; caso contrário, repete-se o processo de forma cíclica para assegurar melhorias contínuas.

Uma defesa comum contra ameaças

A mesa-redonda “O Elemento Humano” deixou uma mensagem final de união e resiliência sobre os próximos passos para enfrentar os desafios da cibersegurança relacionados com o fator humano. Os especialistas sublinharam abordagens eficazes e específicas, desde a consciencialização e controlo, destacados por Nuno Branco e Nuno Neves, até à hibridação entre comportamento humano e tecnologia, proposta por Fernando Gomes. Rui Antunes concluiu com um apelo à colaboração, incentivando as organizações a “unir-se contra um inimigo comum” para reforçar a resiliência coletiva no combate às ciberameaças.