Segurança cibernética no local de trabalho: Santos, Pecadores e Escândalos
Publicado em: 2 Jun 2021
Última modificação em: 24 Jul 2025
A cibersegurança no local de trabalho tem-se tornado cada vez mais importante à medida que cada vez mais empresas avançam para recursos digitais e para a nuvem. O ransomware está no topo da lista de ameaças que podem paralisar uma organização, e estes ataques começam frequentemente com um e-mail de phishing malicioso dirigido a funcionários específicos. Basta que um funcionário seja vítima de um ataque sofisticado e a tua organização pode ficar paralisada devido ao bloqueio do acesso a ficheiros, ao roubo de dados e a ameaças persistentes avançadas escondidas na rede.
O Colonial Pipeline, que fornece gás e combustível para aviões do Texas para a Costa Leste, foi alvo de um ataque de ransomware. O ataque interrompeu a produção e forçou o encerramento da infraestrutura energética. Estes tipos de ataques têm vindo a aumentar e começam por visar um funcionário interno que não reconhece que uma mensagem é maliciosa. Muitas vezes, trata-se de uma falha na educação e sensibilização para a cibersegurança no local de trabalho.
O CryptoLocker, um dos primeiros e mais populares ataques de ransomware, começou com um e-mail de phishing. Afectou quase 500.000 computadores e levou a uma perda de dados generalizada em todo o mundo. O malware foi implantado através do envio de grandes quantidades de mensagens de correio eletrónico contendo um ficheiro ZIP anexado. Uma vez aberto, o ransomware analisava os computadores e encriptava os ficheiros para que ficassem bloqueados e não pudessem ser acedidos a menos que fosse pago um resgate. Os utilizadores devem saber que qualquer e-mail com um anexo de ficheiro ZIP deve ser considerado suspeito.
CISO: O valor de um comedor de pecados
O papel de um Chief Information Security Officer (CISO) é muito parecido com o mítico e medieval “comedor de pecados” do folclore inglês. Um comedor de pecados comia uma refeição e absorvia os pecados dos mortos. O comedor de pecados carregava então os pecados de outras pessoas para as absolver da culpa, vergonha e repercussões na vida após a morte.
Um CISO desempenha um papel semelhante, em que os pecados dos funcionários internos afectam a reputação, o desempenho profissional e as perspectivas futuras do CISO. Se um funcionário for vítima de escândalos internos de cibersegurança, arruína a reputação da organização e faz cair os serviços de produção. Para proteger um funcionário específico do impacto negativo e das consequências, o CISO assume os pecados da infeliz vítima e responde pelo seu erro.

Embora exista apenas um CISO na organização, isso não significa que a responsabilidade recaia apenas sobre um indivíduo. A organização como um todo assume a responsabilidade. No caso da violação de dados da Equifax, os administradores de servidores e o CISO responsável pela monitorização e correção do software poderiam ser os únicos responsáveis por uma das maiores violações de dados até à data, mas a organização Equifax como um todo foi vista como irresponsável e assumiu a culpa pelas consequências.
Para além de ser responsável pela cibersegurança interna, um CISO tem uma carga de trabalho crescente à medida que mais organizações mudam para a nuvem e se tornam digitais durante o confinamento pandémico em 2020. Para se manterem produtivas, as organizações foram forçadas a permitir uma força de trabalho em casa depois de a COVID se ter espalhado globalmente. Esta mudança nos ambientes de trabalho levou a um súbito impulso para a computação em nuvem e os fluxos de trabalho digitais. O resultado foi que as empresas passaram a utilizar a nuvem com muito pouca consideração pela cibersegurança. A cibersegurança foi uma reflexão tardia e os agentes de ameaças aproveitaram ao máximo o esquecimento. O phishing e o ransomware prosperaram à medida que mais funcionários eram vítimas de campanhas sofisticadas dirigidas a indivíduos.
Os sete pecados mortais da cibersegurança no local de trabalho
A sensibilização para a cibersegurança é fundamental para evitar riscos. Se os teus funcionários não conhecerem a anatomia de um ataque de phishing, não se pode esperar que o evitem. O erro humano é um fator importante nas violações de dados, mas aqui estão sete pecados mortais e formas de evitar ser a próxima vítima:
- Palavras-passe fracas. A complexidade e o comprimento das palavras-passe reduzem a possibilidade de um ataque de força bruta às credenciais dos empregados. Os administradores podem definir regras para as palavras-passe que exijam um determinado comprimento e complexidade, e impedir que os utilizadores sejam reutilizados.
- Riscos da rede Wi-Fi pública. Os utilizadores devem estar cientes dos riscos associados ao Wi-Fi público. Quaisquer aplicações críticas devem ser utilizadas através de uma rede privada virtual (VPN) e os utilizadores nunca devem transmitir dados não encriptados.
- Antivírus instalado e atualizado. As organizações que oferecem uma política de “traga o seu próprio dispositivo” (BYOD) devem educar os utilizadores sobre a importância do antivírus e de o manter atualizado. Os administradores podem forçar actualizações nas estações de trabalho, mas dependem dos utilizadores para manterem os seus próprios dispositivos seguros com o software antivírus mais recente.
- Abrir anexos de correio eletrónico. Os administradores podem bloquear mensagens de correio eletrónico suspeitas, mas os falsos negativos dão aos agentes de ameaças a oportunidade de enganar os destinatários para que abram anexos maliciosos. Os utilizadores devem saber que não devem abrir anexos, especialmente se vierem de remetentes externos.
- Clica em ligações no correio eletrónico. As hiperligações maliciosas abrem sites controlados por atacantes, onde os utilizadores podem ser levados a divulgar as suas credenciais de rede ou outras informações sensíveis. Os utilizadores devem saber que não devem introduzir credenciais depois de clicarem em links. Em vez disso, digita o domínio nos seus browsers para verificar se a mensagem é legítima.
- Partilhar credenciais com outros utilizadores. Os utilizadores nunca devem partilhar palavras-passe. Se partilharem palavras-passe, um funcionário que já não esteja na empresa pode continuar a ter acesso a sistemas críticos, mesmo que a sua própria conta tenha sido desactivada.
- Não há sensibilização para a cibersegurança. Sem formação, os utilizadores não têm os recursos necessários para identificar um ataque. É da responsabilidade do CISO criar um ambiente em que a formação em cibersegurança promova uma melhor prevenção de riscos e menos erros humanos.
Ajudar os empregados a combater os ciberataques e a serem mais ciberconscientes
Se os CISOs não dedicarem tempo para educar os funcionários, deixam uma grande lacuna na armadura de segurança cibernética da empresa. A sensibilização para a cibersegurança é a primeira defesa contra ataques sofisticados que visam os erros humanos, pelo que deve ser sempre uma formação obrigatória para os funcionários que entram na empresa e para o pessoal atual.
A sensibilização pode ser oferecida de várias formas: eLearning, formação prática e políticas. Os empregados não são piratas informáticos, pelo que a informação deve ser fácil de compreender. Devem compreender as consequências de serem vítimas de um ataque e devem estar munidos de informações que lhes permitam questionar a legitimidade de um e-mail, telefonema, sítio Web e qualquer outra forma de ciberataque. Não são necessários conhecimentos técnicos completos, mas os funcionários devem estar munidos das informações corretas.
As maiores ameaças a uma organização são o phishing e o ransomware, mas a formação reduz os riscos destas ameaças. Os funcionários munidos dos conhecimentos corretos identificarão o ataque, evitarão ser vítimas, alertarão as pessoas certas e o CISO terá um trabalho muito mais livre de stress. Sem a sensibilização para a cibersegurança, o CISO continua a responder reactivamente a ataques que podem arruinar a sua reputação e a da organização.
