Três Passos para a Proteção Cibernética

Cibersegurança na Siemens

Isso não se aplica a mim, tudo tem estado bem até agora e é uma péssima altura para uma atualização de software neste momento: muitas pequenas e médias empresas não levam muito a sério a proteção contra ataques de hackers. Mesmo que uma boa proteção seja vital - e de forma alguma inalcançável. A Carta de Confiança desenvolveu um plano em três etapas

Porque é que as pequenas e médias empresas (PME) são repetidamente alvo de hackers - e não reparam até ser demasiado tarde? Que risco os empregados correm? E Como as empresas podem lucrar em investir em mais proteção contra intrusos da Web? O primeiro dos quatro postos da série intitulada "Cibersegurança nas pequenas e médias empresas" respondeu a estas e muitas outras questões. Agora cabe ao quinto e último posto responder à pergunta mais importante de todas: O que pode ser feito? Como pode uma empresa com recursos limitados se proteger contra a maioria dos ataques? "Com um conceito de segurança abrangente", recomenda Christian Haas, Chefe do Laboratório de Treinamento de Segurança Cibernética do Fraunhofer IOSB em Karlsruhe, Alemanha. Ter boa cibersegurança é frequentemente um problema organizacional nas PME: responsabilidades pouco claras, falta de know-how quando se trata de cibersegurança na produção, prioridade simplesmente dada aos volumes, só para citar alguns. O Cybersecurity Training Lab gostaria de mudar isso. Lá, as empresas podem simular ataques de hackers e usar o conhecimento resultante para criar uma melhor segurança subjacente para a sua própria TI de produção

À espera da explosão

No entanto, as coisas quase nunca funcionam assim. Muitas empresas não estão cientes dos perigos, lamenta Ernst Esslinger. "A cibersegurança na indústria é considerada uma espécie de espada de Dâmocle". Esslinger é o Diretor de Métodos e Ferramentas da Homag, fabricante alemão de máquinas para trabalhar madeira em Schopfloch, Alemanha. As máquinas Homag estão completamente conectadas, porque é isso que a indústria moveleira atual exige: os clientes configuram armários online, gerando assim automaticamente dados de produção para as máquinas, que são usados para cortar as tábuas e fazer furos nelas. Em termos de segurança, ainda há algum espaço para melhorias. O engenheiro mecânico foi coordenador do projeto de pesquisa IUNO, que avaliou conceitos para garantir a segurança de TI para a indústria 4.0 e foi promovido pelo Ministério Federal Alemão de Educação e Pesquisa. A Siemens também era uma parceira. Segundo a Esslinger, a IUNO desenvolveu soluções de segurança para todas as quatro áreas de aplicação, no entanto, atualmente dificilmente há uma demanda por tópicos relacionados à segurança. As desculpas são familiares: as empresas acreditam que não são interessantes para os hackers. Ou que a instalação de um firewall será suficiente. E as atualizações para as máquinas são adiadas, porque ninguém pode se dar ao luxo de ficar parado neste momento. "Mas em algum momento as coisas explodem", avisa Esslinger

 

Assim como o pesquisador do Fraunhofer Christian Haas, Ernst Esslinger tem visto menos obstáculos técnicos, mas mais organizacionais, e uma falta de consciência. A Carta de Confiança, que a Siemens lançou com empresas internacionais e parceiros de pesquisa em 2018, também chegou a esta conclusão. A iniciativa desenvolveu um catálogo de medidas com três fases.Pretende-se abordar precisamente essas áreas.

Fase I: Estabelecer uma cultura de cibersegurança

A Cibersegurança diz respeito a todos os funcionários - antes de mais nada à gerência, que prefere lavar as mãos do assunto, delegando o departamento de TI para que sejam tomadas as medidas necessárias. Em vez disso, os gestores devem declarar este tópico como prioridade máxima e assumir a responsabilidade. Primeira medida: avaliação de risco. Os empregados das próprias empresas representam o maior risco. Segundo Kaspersky, um fornecedor de software de segurança, mais de 80% dos incidentes de segurança são resultado de erro humano. Exemplos clássicos disso são e-mails fraudulentos e senhas simples. O único remédio aqui são cursos regulares de treinamento. "Estas sessões de formação também são importantes, porque permitem às empresas provar que tomaram todas as medidas necessárias que estão delineadas no Regulamento Geral de Protecção de Dados", enfatiza Markus Schließ, um advogado com sede em Estugarda, especializado em direito das TI

Fase II: Implementação e incorporação de medidas

As ameaças são conhecidas - agora é uma questão de medidas organizacionais concretas. As PME devem examinar cuidadosamente e otimizar a proteção de dados, as políticas de segurança, a segurança física e a gestão do acesso e começar a realizar ações de formação. Estas medidas são também recomendadas pela Carta de Confiança, que a Siemens acrescentou aos seus Termos e Condições para fornecedores. Mas isso não é tudo: Particularmente as empresas que oferecem produtos e serviços digitais e conectados devem incorporar a segurança cibernética como parte desses produtos. É aqui que entra em jogo o conceito chave: segurança pelo design - desde o desenvolvimento, passando pelo funcionamento do produto, até ao serviço. Isto está estreitamente relacionado com a segurança por defeito: Todas as medidas de protecção devem estar em vigor no momento da entrega, tais como senhas mais fortes em vez das ainda frequentemente utilizadas "0000"

A proteção cibernética não é um produto no qual você simplesmente investe uma vez e pode então esquecer tudo. É um processo bastante contínuo.

Fase III: Comunicar medidas e agir como modelo a ser seguido

Faça um bom trabalho e conte às pessoas sobre isso. Esta recomendação também se aplica a medidas destinadas à cibersegurança. Significa mais do que apenas "Relações Públicas", mas sim prova individual do estado da segurança através de medidas de certificação como IEC 62443 ou ISO 27001. As empresas que dão um bom exemplo encorajam outros a seguir a mesma abordagem. Isto é importante, porque os ciberataques não param simplesmente nas fronteiras corporativas ou nacionais. É por isso que as medidas de cibersegurança devem ser sempre vistas no contexto, como em toda a cadeia de fornecimento ou, por exemplo, com fornecedores de serviços que são posteriormente responsáveis pela manutenção do produto.

 

Se uma empresa completou estas três fases, então ela está bem protegida contra hackers, mas não para sempre, já que os criminosos estão constantemente desenvolvendo novos métodos maliciosos de ataque. A proteção cibernética não é, portanto, um produto no qual você simplesmente investe uma vez e depois pode esquecer tudo. É um processo contínuo que requer atenção constante, mas também é precisamente por isso que é uma forma de proteção mais sustentável.

 

Mas aí reside a oportunidade: a boa segurança cibernética serve como base para a mudança e novos modelos de negócios digitais. Estes já existem na indústria do mobiliário, um exemplo disso é a configuração online de mobiliário personalizado. No entanto, muitas outras indústrias ainda estão no início, observa Ernst Esslinger, da Homag. E ele acha que isso tem de mudar: "Só há uma coisa que recomendo para não perder as muitas oportunidades que o mundo digital oferece - fazer mais pela segurança cibernética"

 

Clique aqui se você gostaria de saber mais sobre os riscos cibernéticos que as pequenas e médias empresas enfrentam e aprender o que você pode fazer para enfrentá-los - inclusive com a assistência da Siemens.

A nossa série de cinco artigos explica o que as pequenas e médias empresas podem fazer para se protegerem contra os riscos cibernéticos. Este é o quarto artigo da série. A série examina porque as empresas menores são mais frequentemente impactadas por ataques e que papel os funcionários desempenham. Os artigos também fornecem dicas sobre como as empresas podem se proteger contra ataques a custos razoáveis e aproveitar isso como parte de sua estratégia de negócios - por exemplo, com a assistência concreta da Siemens. Assim que um novo artigo aparecer em um intervalo de duas semanas, ele também será ligado neste artigo.

 

Parte 1: Espaço para melhorias

Parte 2: Frutos pendurados muito baixos

Parte 3: Seres humanos: a fenda na armadura

Parte 4: Digitalização, claro - mas segura