A indústria do Turismo é tentadora para os cibercriminosos. Quando o objetivo do atacante é o da obtenção do lucro, este é normalmente obtido através de duas vias: a ameaça direta à infraestrutura das organizações envolvidas, impedindo o normal funcionamento das operações, tipicamente com o pedido de um resgate, quase sempre em criptomoeda, para não permitir o rastreamento do dinheiro; e com a venda de informação, na Dark Web, relativa a credenciais de acesso, de dados pessoais, de saúde, e, entre outros tipos, de informação financeira.

Porém, nem sempre é o lucro o motivador de um atacante. O ataque pode ser efetuado, por exemplo, para marcar uma posição. Qualquer que seja o motivo, a organização terá a sua reputação afetada, perdas financeiras diretas e indiretas, muitas vezes consideráveis, e, eventualmente, consequências legais.

Salvo por imposição legal ou por exposição pública de terceiro, as organizações tendem a não comunicar os ataques que sofrem. Adicionalmente, muitas destas organizações podem já ter sofrido um ou vários ataques, sem que se tenham apercebido, por não terem os meios adequados para a sua deteção. Assim, a informação pública existente não permite tirar ilações fidedignas relativamente ao número real de ciberataques. Sabe-se, porém, que por inerência dos processos de transformação digital, este número tem subido de forma significativa. Adicionalmente, a comunicação social está bastante mais atenta, assim como os clientes, fornecedores e outros stakeholders, tornando este tipo de crime mais visível. Afinal, está a ler sobre o assunto na imprensa.

Perante o cenário, já não é possível viver no paradigma de que a segurança de informação é algo que diz respeito apenas aos outros. A discussão é somente em torno do quando e com que consequências e estas dependem sobretudo do quanto a organização investe em segurança da informação.

O que deve a organização fazer?
Cada organização é um caso específico. Procure, por isso, um especialista que possa aferir a sua situação real e que o ajude a tornar a sua empresa mais resiliente.

Este especialista fará inicialmente o que se designa por avaliação de risco, de onde resultará informação suficiente que lhe permitirá aferir onde deve a sua organização focar a atenção, isto é, onde é o risco mais elevado e quais os controlos necessários para o mitigar.

Não compre, porém, gato por lebre. Infelizmente há um défice considerável de especialistas em segurança de informação no mercado, o que traz consigo alguns problemas: o encarecimento deste serviço e a proliferação de profissionais que não possuem as características, formação e experiência adequadas.

Praticamente todas as empresas na área das tecnologias introduziram no seu portfolio a capacidade de trabalhar nesta área, convertendo profissionais doutras áreas, porém, a segurança de informação é uma disciplina que requer formação específica e adequada e uma longa experiência. Procure especialistas que se dediquem, no seu cerne, à segurança de informação. Áreas altamente especializadas, como a da auditoria, da análise forense, da segurança dos meios de pagamento, ou dos testes de penetração, apenas para referir alguns exemplos, deve apenas ser feita por especialistas certificados. Não receie solicitar o certificado respetivo, mesmo que este lhe tenha indicado que o possui. É, aliás, prática mandatória nalgumas situações.

Não espere milagres de quem contratou. Uma avaliação de risco implica algum trabalho de casa realizado. Por exemplo, é expectável que tenha um inventário atualizado e detalhado dos seus ativos. O hardware (incluindo o equipamento móvel), o software, as bases de dados, os edifícios, as patentes, os licenciamentos e os processos, apenas para referir alguns exemplos, devem estar inventariados. Não se esqueça de que nem todos os ativos estão em formato digital. Muito provavelmente terá, por exemplo, papel. Não encare este inventário como um típico inventário financeiro ou contabilístico. Terá de garantir a inclusão relativa a informação específica sobre os ativos, como, por exemplo, os responsáveis pelos mesmos. Não se esqueça de que não se pode avaliar e proteger o que não se sabe existir.

Há ainda que considerar aquilo que se designa por Shadow IT, que representa a utilização de ativos não autorizados pelos departamentos respetivos e que, por isso, não constam dos inventários.

Não tenho recursos. O que tenho obrigatoriamente de fazer?
Não podendo fazer mais nada neste momento, por exemplo por não o ter atualmente orçamentado, siga pelo menos os três conselhos seguintes:

1. Inclua no seu programa de formação aspetos relativos à chamada Engenharia Social. Formação e consciencialização são absolutamente fundamentais. A maioria dos ataques são efetuados através da persuasão e da utilização de meios não técnicos (a chamada Engenharia Social). Por exemplo, é muito mais simples solicitar através de uma email enganador uma informação sensível, do que atacar tecnicamente uma rede. Outubro é o mês internacional da consciencialização em cibersegurança. Aproveite esse facto para lançar algumas iniciativas;
2. Mantenha uma cópia de segurança de toda a informação, incluindo elementos técnicos capazes de recuperar os serviços, como as configurações de elementos de rede. Faça cópias regulares. Teste as cópias. Mantenha as cópias desligadas da rede e geograficamente afastadas dos originais, pois só assim impedirá que alguns ataques ou incidentes afetem também as suas cópias de segurança (por exemplo um ataque de Ransomware, ou alguns desastres da natureza);
3. Ative, em todos os serviços onde tal seja possível, a dupla autenticação. Utilize, sempre que possível, um gestor de passwords e software de autenticação. Há gestores de passwords e software de autenticação gratuitos no mercado e com bastante qualidade.

Tenho recursos. O que devo fazer?
A lista preencheria seguramente toda a publicação. Assim, se tiver recursos e apenas para indicar alguns elementos básicos exemplificativos, deve: manter o inventário atualizado; documentar os seus processos e/ou atualizar os documentos já existentes; definir uma política de segurança de informação; definir funções de segurança, incluindo um responsável que tenha um orçamento próprio e que seja independente do IT; manter um processo de gestão de incidentes (saiba como reportar um incidente, a quem reportar e o que fazer perante um); manter um processo de gestão de continuidade de negócio (saiba o que fazer antes, durante e depois de um incidente disruptivo); realizar testes de penetração e varrimentos de vulnerabilidades recorrentemente; e realizar uma avaliação de risco periodicamente.

Há legislação que tenha de cumprir?
É quase certo de que terá de cumprir alguma legislação ou de seguir os requisitos de alguma norma. Uma vez mais, cada organização tem as suas especificidades, mas fica a lista dos requisitos mais relevantes e comuns.

Se processar, transmitir ou guardar dados de pagamento, terá de cumprir com os requisitos definidos na norma PCI DSS.

Se for uma organização que se encontra nos 28 estados-membros da União Europeia e que trate dados pessoais de titulares singulares residentes no território da União Europeia independentemente da sua nacionalidade ou do seu local de residência, terá de cumprir o Regulamento Geral da Proteção de Dados.

Se for uma entidade da Administração Pública, um Operador de Infraestrutura Crítica, um Operador de Serviços Essenciais ou um Prestador de Serviços Digitais, terá de cumprir com o Decreto-Lei 65/2021, que regulamenta o Regime Jurídico da Segurança do Ciberespaço.