Porque é que os governos precisam de formação em sensibilização para a segurança
Publicado em: 28 Out 2021
Última modificação em: 30 Set 2025
Há uma série de razões pelas quais os governos precisam de formação em sensibilização para a segurança para reduzir o risco de ataques bem sucedidos, proteger informações sensíveis e manter a confiança do público nas instituições governamentais. Os governos e os departamentos do sector público estão na mira dos cibercriminosos. Um inquérito da Checkpoint confirma esta afirmação; um inquérito da empresa mostra que os sectores governamental e militar no Reino Unido e na Irlanda lidaram com uma média de 352 ataques informáticos por semana em meados de 2021.
O Reino Unido no seu todo registou um aumento de 20% nos ciberataques durante 2020, com tipos de ataque como o ransomware a aumentarem uns impressionantes 80% nos últimos 3 meses de 2020. Este tsunami de ataques cibernéticos segue um padrão típico de manipulação do fator humano, normalmente um empregado ou fornecedor.
Para ajudar a aliviar o ataque das ciberameaças de phishing, exposição acidental de dados e engenharia social, os departamentos governamentais devem recorrer à formação em sensibilização para a segurança.
Como ocorrem as perdas de dados e os ciberataques nas administrações públicas
Os piratas informáticos estão a aproveitar o sucesso de ataques anteriores a organismos governamentais.
Talvez o mais infame tenha sido o ataque de ransomware WannaCry, que foi sentido em todo o mundo, e de forma particularmente aguda pelo NHS do Reino Unido. Tal como acontece com todos os ataques de ransomware, o WannaCry foi devastador, fechando os hospitais a novos pacientes e colocando uma enorme pressão num NHS já sobrecarregado. O governo é um alvo para os cibercriminosos porque provou ser uma opção bem-sucedida, o equivalente do cibercrime à fruta fácil de apanhar.
Ataques como o ransomware começam muitas vezes com um funcionário a ser manipulado para clicar numa ligação maliciosa num e-mail ou descarregar um anexo infetado.
Um pedido de Liberdade de Informação (FoI) realizado pelo grupo de reflexão, Parliament Street, descobriu que o Tesouro de Sua Majestade conseguiu bloquear quase 5 milhões de e-mails de phishing, malware e spam durante os três anos até setembro de 2021. Um outro relatório do Parliament Street concluiu que a Câmara dos Comuns tinha bloqueado 126 milhões de tentativas de correio eletrónico malicioso.
Mas não são apenas os ataques cibernéticos que devem preocupar os responsáveis pela segurança e conformidade das administrações públicas.
Um relatório do Ministério da Defesa (MoD), analisado pelo Parliament Street, revela um aumento de 18% nos incidentes de perda de dados. A maior parte destes incidentes foi causada pela divulgação não autorizada de dados, enquanto que o resto se deveu à perda de equipamento eletrónico, dispositivos ou documentos, dentro das instalações do governo, ou à eliminação insegura de documentos em papel.
Os cibercriminosos jogam um jogo longo e estão continuamente a melhorar as suas técnicas de evasão. Um único e-mail malicioso que passa despercebido pode tornar-se noutro incidente do nível do WannaCry. Um único computador portátil perdido num comboio pode acabar nas portas dos meios de comunicação social, tratado como uma questão de não conformidade regulamentar pelo Information Commissioners Office (ICO).
A tempestade cibernética perfeita, composta por uma mistura de cibercrime e de eventos internos acidentais, está a juntar-se como uma nuvem negra sobre os departamentos governamentais do Reino Unido.
Como é que a formação de sensibilização para a cibersegurança pode ajudar um departamento governamental a manter-se ciberseguro
O ICO do Reino Unido declarou que 90% das violações de dados são causadas por erro humano: o papel que o fator humano desempenha na perda de dados e nas violações cibernéticas é evidente na investigação do Parliament Street. No entanto, o fator humano na segurança também constitui uma oportunidade para os departamentos governamentais reduzirem o risco.
A capacidade de educar os utilizadores sobre questões de cibersegurança e risco de dados é uma parte importante de uma política e estratégia de segurança global. A formação de sensibilização para a segurança proporciona um programa formal para ministrar esta formação; os cinco fundamentos de uma formação de sensibilização para a segurança eficaz são:
Evita as violações de dados
As violações de dados estão normalmente ligadas a uma campanha de phishing numa determinada fase da violação. Um funcionário ou outra entidade associada, como um empreiteiro ou fornecedor, será vítima de uma mensagem de phishing e o resultado pode ser uma infeção por ransomware (ou outro malware) ou roubo de credenciais.
A formação de sensibilização para a segurança treina o pessoal e outras pessoas para detetar sinais de mensagens de phishing e outras fraudes de engenharia social. As simulações de phishing podem ser utilizadas para ajudar nesta formação e para obter métricas que demonstrem a eficácia da formação. Num departamento de TI governamental com um orçamento limitado, os programas de formação em segurança podem ser altamente rentáveis.
Evita a exposição acidental de dados
A exposição acidental de dados abrange uma série de eventos, desde a entrega incorrecta de e-mails até ao simples facto de deixar documentos sensíveis numa impressora. A formação de sensibilização para a segurança educa o pessoal sobre os elementos de higiene para se manter seguro em linha, bem como sobre os elementos mais tecnológicos. Os funcionários e outras pessoas são formados em boas práticas, tais como manter uma política de secretária limpa e garantir que não partilham palavras-passe.
Segurança contínua
Os cibercriminosos estão sempre à procura de formas de contornar as medidas de segurança tradicionais, o que inclui mudar as tácticas para enganar os funcionários e levá-los a realizar actividades maliciosas em seu nome. A formação de sensibilização para a segurança não é um evento único, mas baseia-se no princípio da educação contínua para garantir que um departamento governamental (e os seus funcionários) se mantém a par das mudanças no panorama das ameaças à cibersegurança.
Segurança para todos
Cada funcionário, consultor e fornecedor é um alvo potencial para um cibercriminoso tirar partido. Cada funcionário e fornecedor também actua como um fator humano na exposição acidental de dados. Como tal, os programas de formação em sensibilização para a segurança são mais eficazes quando são utilizados em toda a organização e incluem os fornecedores. Com os departamentos governamentais a utilizarem serviços e pessoal subcontratados, este aspeto da Formação de sensibilização para a segurança é importante para garantir que o pensamento de segurança é universal.
A firewall humana e o reforço das medidas técnicas
O conceito de uma firewall humana é uma ideia que se baseia na formação fornecida por um programa de formação de sensibilização para a segurança. Se for bem feita, a formação em segurança pode capacitar todos os elementos de uma organização, assegurando ao mesmo tempo que o grupo beneficia como um todo desta formação.
Conformidade regulamentar, normas de proteção de dados e governo
Uma outra coisa que resulta de um programa eficaz de sensibilização para a segurança é o cumprimento dos requisitos regulamentares em matéria de segurança da informação. O governo deve dar o exemplo ao resto da indústria, assegurando que cumprem o mandato dos vários regulamentos de dados no Reino Unido, bem como aqueles que podem ter impacto para além das fronteiras do Reino Unido. Muitas normas e regulamentos em matéria de proteção de dados, incluindo a ISO27001 e a DPA2018/RGPD do Reino Unido, exigem agora ou incentivam fortemente uma organização a formar os seus empregados para que tenham consciência da segurança.
Embora as medidas de segurança tradicionais, como a autenticação de dois factores e a encriptação, possam ajudar a atenuar as violações de dados, não há nada como sensibilizar os funcionários para os riscos que o phishing e outros ataques de engenharia social representam para uma organização.
Os departamentos governamentais estão em risco de perda de dados e de ciberataques, tal como qualquer outro sector. Ao fornecer formação de segurança essencial aos funcionários, um departamento governamental pode reduzir o risco de exposição e dar o exemplo e a precedência a outros sectores.
