Proteger as Universidades no Digital

Os ataques informáticos estão cada vez mais criativos e ousados. As comunidades académicas, o público-alvo do Programa de Sensibilização em Cibersegurança da MetaRed Portugal, são alertadas para os riscos e as boas práticas na área da cibersegurança e da privacidade, mas qualquer cidadão interessado no tema da cibersegurança pode e deve aprender a proteger-se.

Conheça mais sobre o programa #ProtegeOTeuCampus, como surgiu e quais os seus objetivos, nesta entrevista feita à MetaRed Portugal.

#1 Em que contexto surgiu o Programa de Sensibilização em Cibersegurança para as Universidades? Que parcerias envolve?

O programa #ProtegeOTeuCampus surge do facto das Instituições de Ensino Superior que pertencem à MetaRed Portugal terem a perceção de que era necessário sensibilizar de forma proativa as suas comunidades para os riscos, cada vez maiores, da utilização das tecnologias de informação e comunicação num contexto de transformação digital. A disponibilidade do Kit de Sensibilização disponibilizado pela colaboração INCIBE / MetaRed Global acabou por constituir a base para a criação deste programa mais alargado e adaptado ao contexto Universitário e Politécnico.

#2 Com a evolução da tecnologia e a sua permanente mutação, qual tem sido a preocupação das Universidades para garantir as medidas necessárias e preventivas à segurança da informação?

Os desafios colocados no âmbito da cibersegurança são vários e a diferentes níveis, podendo-se estruturar de acordo três pilares fundamentais: a tecnologia, os processos e as pessoas. As Instituições de Ensino Superior têm de se preocupar com as várias frentes para poderem criar uma resposta preventiva e proativa no que respeita à cibersegurança. O programa #ProtetegeOTeuCampus tem um foco essencialmente no pilar da sensibilização e capacitação das pessoas.

#3 Para quem trabalha e estuda na Universidade, que cuidados deve ter?

Antes de mais, devemos estar alerta… alerta para pedidos inesperados, para as ofertas imperdíveis de ocasião, para qualquer pedido de informação privada ou confidencial (exemplo, a password, os dados bancários, …), para os alertas de instalação de software de proteção vindos da atividade de navegação na internet, para a navegação em sites duvidosos (que contenham ou listem produtos e serviços ilegais), entre outros. Deve haver uma preocupação individual em manter os equipamentos (computadores ou dispositivos móveis) sempre atualizados e com antivírus e firewall. Deve haver um cuidado absoluto em manter a password confidencial e “complexa”, usando uma diferente em cada site. Devem ser usados os cookies corretamente, ou seja, permitir apenas o registo da informação estritamente necessária. Deve haver preocupação com a desinformação, por um lado verificar a credibilidade das fontes, por outro não propagar informação falsa. As Instituições têm serviços de suporte de informática que devem ser usados em caso de dúvidas e que emitem recomendações para o bom funcionamento da rede, sistemas e serviços. Do lado dos ciber-criminosos, é clara a tendência para explorar o fator humano, em particular, a forma como reagimos e respondemos à informação que nos chega. É por isso fundamental que toda a comunidade saiba que sinais deve reconhecer e perceba o seu papel e os pequenos cuidados (ciber-higiene) a ter no dia a dia.

#4 Pode partilhar connosco um exemplo de um risco que tenha conduzido a uma situação crítica, tanto para a pessoa como para a instituição?

São exemplo os ataques de phishing que, mais ou menos direcionados, são um risco permanente para a segurança das contas dos utilizadores (em particular das suas passwords). A materialização destes ataques tem levado a que Instituições se vejam impedidas de enviar email para o exterior porque passam a ter os seus sistemas classificados como fontes de SPAM, levando a grave prejuízo para a atividade regular da Instituição.

#5 O Programa de Sensibilização em Cibersegurança contempla três cursos sobre “Informação”. Atualmente, será a informação e os dados de uma Instituição o factor mais importante a proteger? Porquê?

A transformação digital que tem vindo a ser implementada em todas as Instituições vem colocar na informação um ónus sem precedentes. A informação já tem e continuará a assumir um papel fundamental para a tomada de decisões humanas e automáticas. Ora, sendo que estas decisões condicionam ou têm impacto direto, quer na estratégia, quer na operacionalidade das Instituições, a garantia de que a informação é integra, está disponível e tem o necessário grau de confidencialidade é um imperativo na era digital.

#6 Os jovens utilizam permanentemente a internet e a tecnologia, tornando-se num dos públicos mais vulneráveis. Que boas práticas devem colocar em prática para se defenderem neste âmbito?

Genericamente as boas práticas devem ser as mesmas que qualquer cidadão deve adotar. Porventura, têm mais propensão para se exporem nas redes sociais e isso encerra mais riscos para si próprios, no entanto, o facto de serem nativos digitais também os torna mais hábeis para poderem lidar com o desafio da cibersegurança. Não obstante, é de toda a importância que também lhes sejam dirigidas campanhas de sensibilização e informação com a mensagem adequada aos seus escalões etários.

#7 O aumento de ataques no digital é preocupante. Que ataques maliciosos têm vindo a ser mais praticados?

Como já foi referido, os ataques que exploram o fator humano são usados numa fase inicial por serem “mais baratos” e muito eficazes. Explorar o fator psicológico levando as pessoas (os utilizadores dos sistemas e serviços) a errar é o primeiro método para obter informação sobre passwords, dados bancários e outra informação privada e confidencial. É assim essencial conjugar a atualização da tecnologia, em particular a atualização de sistemas e aplicações aliadas a sistemas de antivírus/antimalware e firewall, com procedimentos adequados e, em grande medida com a capacitação dos cidadãos, no caso, daqueles que fazem parte das comunidades académicas.

#8 A MetaRed Portugal tem alguma previsão de quando todos os cursos do Programa estarão disponíveis?

O programa #ProtegeOTeuCampus foi concebido para ser realizado ao longo de nove meses, disponibilizando um curso por mês, complementado com um webinar sobre o tema e com ações internas desenvolvidas pelas Instituições. Os nove temas abordam a generalidade da problemática e dos conceitos associados à cibersegurança para o cidadão/utilizador.

#9 Como é que a Plataforma NAU tem correspondido às vossas expectativas? A utilização da plataforma é acessível?

A plataforma NAU permitiu que o conjunto de Instituições colaborasse no sentido de criar um repositório comum de informação disponibilizado, não só para essas Instituições, mas também para toda a comunidade de Ensino Superior em Portugal. Com a adaptação dos conteúdos do Kit de Sensibilização ao formato MOOC disponibilizado pela NAU, acabou por se enriquecer estes próprios conteúdos, tornando-os mais apelativos. De uma forma geral, a plataforma NAU representa um valioso instrumento no suporte à implementação do programa #ProtegeOTeuCampus.

#10 Se alguém quiser trabalhar na área de cibersegurança, que áreas deve estudar? Existe alguma competência em específico que deve dominar?

A área da cibersegurança contínua muito ligada à informática e às tecnologias de informação e comunicação. Não obstante, a dimensão e o peso que esta passou a ter na sociedade, em concreto pela já referida transformação digital em curso, todas as áreas passam a ter alguma relação com a cibersegurança. Desde a tecnologia de informação à tecnologia operacional, desde a produção às cadeias logísticas, desde os serviços essenciais às infraestruturas críticas, desde os processos à gestão, desde a psicologia à comunicação e ao marketing, desde a segurança interna à geopolítica, a cibersegurança é um tema dominante e omnipresente.