A cibersegurança é uma responsabilidade partilhada

Nada que seja fabricado pelo homem é 100% seguro – backdoors intencionais resultam de um desenho incorreto e demonstram uma falta de entendimento significativo sobre os princípios básicos de um mundo ciber-seguro e os erros de programação não podem ser evitados completamente. A cibersegurança é uma responsabilidade partilhada, nenhuma das partes interessadas no mercado pode combater o cibercrime isoladamente, todos necessitamos de trabalhar em conjunto para estar numa posição avançada no ciber jogo.

Vejamos as várias responsabilidades das diferentes partes interessadas.

O Utilizador

A responsabilidade principal do utilizador é pagar para obter medidas de cibersegurança. Isto pode ser feito quer de forma “DIY” (do it yourself), o que significa que o próprio departamento de TI efetua as correções, ou pagando a um integrador/instalador para manutenção.

A vida útil de um sistema atinge facilmente os 10-15 anos. Assumir que nada necessita de ser feito para manter o sistema em bom estado é uma visão limitada.

O Integrador/ Instalador

Esta parte interessada assume um papel importante no ciber jogo. O integrador/instalador necessita assegurar- se de que todos os seus dispositivos, computadores, dispositivos móveis, entre outros, estão corrigidos com as ultimas versões do OS e com um sofisticado scanner anti-vírus. As palavras-passe selecionadas devem ser complexas o suficiente e individuais para cada cliente e cada site. O hábito comum de utilizar uma palavra-passe master de forma a tornar o serviço nos dispositivos mais acessível tem de ser evitado. O acesso remoto às instalações deve ser limitado e todos os dispositivos conetados ao sistema do cliente devem ser revistos cuidadosamente para saber se têm vírus e evitar qualquer tipo de problema.

Algo que atualmente é realizado com pouca frequência é a manutenção do software de videovigilância e hardware de rede. Assim que são instalados, estes sistemas são tipicamente atualizados apenas se novos dispositivos forem adicionados ou se funcionalidades adicionais são requeridas pelo cliente.

Sem a existência de manutenção, a cibersegurança terá tendência a reduzir- -se com o tempo. A probabilidade de que alguma vulnerabilidade seja descoberta no contexto do sistema é praticamente de 100%, seja o sistema operativo, o software ou o hardware.

Mesmo que o risco pareça reduzido, todas as vulnerabilidades conhecidas deveriam ser corrigidas. Na maior parte dos casos, uma aplicação instantânea da correção não é necessária. No entanto, uma atualização bianual de todo o sistema é fortemente recomendada.

É da responsabilidade do integrador informar os seus clientes sobre este procedimento, embora não seja muitas vezes a sua área de especialização.

O consultor

Outro componente essencial é o trabalho dos consultores, nomeadamente os que especificam os componentes para os sistemas de segurança.

Estes necessitam de especificar não só as propriedades e caraterísticas corretas dos produtos, como têm igualmente a responsabilidade de especificar a manutenção necessária para a vida útil do sistema. Devem frisar não só a importância de manter o sistema atualizado mas também ser transparentes no que respeita aos custos inerentes de o fazer.

Contudo, no contexto de instalação de dispositivos OEM/ODM, é bastante difícil garantir este aspeto de manutenção e muitos clientes simplesmente não comprariam um sistema para o qual a manutenção é um jogo de sorte.

O distribuidor

Para um distribuidor genuíno, o tópico de cibersegurança é muito simples. A sua atividade centra-se apenas na logística, não existindo contacto com o produto em si.

Contudo, os distribuidores de valor acrescentado necessitam de ter em consideração os mesmos aspetos que os integradores ou instaladores.

Para estes distribuidores que revendem igualmente os dispositivos OEM/ODM, os quais compram a um fabricante e atribuem uma nova (ou a sua) marca, um diferente conjunto de regras se aplica.

Em primeiro lugar, a transparência é fundamental: permitir que os clientes estejam cientes do que estão a comprar.

A não existência de transparência faz com que geralmente seja o preço o fator determinante no processo de decisão de compra do cliente.

É necessário igualmente que garantam o fornecimento de atualizações de firmware no caso da existência de vulnerabilidades por parte do fornecedor original. Os hábitos da indústria demonstram que uma vulnerabilidade detetada nos dispositivos do fornecedor original geralmente não é solucionada nos dispositivos de muitos dos parceiros OEM.

O fabricante

As responsabilidades são relativamente simples de entender:

• Não incluir nenhuns aspetos intencionais, como backdoors, palavras- passe altamente codificadas, etc.
• Fornecer as ferramentas certas para tornar a gestão cibernética o mais simples e acessível possível
• Informar sobre os riscos existentes e como evitá-los, tanto internamente como externamente
• Gravar aspetos relevantes em guias de hardening ou outra documentação
• Permitir a utilização de mecanismos padronizados de forma a tornar os dispositivos o mais seguros possível
• Informar os parceiros e o canal sobre vulnerabilidades existentes e correções disponíveis.

Advertorial