O que é cibersegurança?

Pilares fundamentais da cibersegurança na Iberdrola

A sociedade atual depende da Internet para todas as atividades que realiza durante o dia, seja ela à trabalho ou lazer, para finanças, armazenamento de dados pessoais ou comunicação com outras pessoas. O papel da cibersegurança cresce em paralelo com a preocupação com a proteção de nossas informações digitais. Saiba sua importância, como nos defendemos de ataques cibernéticos na Iberdrola e nossos conselhos para evitá-los.

A importância da cibersegurança cresce juntamente com o número de usuários, dispositivos e programas digitais e o volume de dados expostos na Internet.

Em um mundo cada vez mais dependente da Internet, a necessidade de evitar fraudes on-line e contar com práticas de cibersegurança está se tornando mais importante. Qualquer indivíduo ou empresa, independente do tamanho, é um alvo potencial para um ataque cibernético. Os usuários da Internet deixam um rastro de informação digital e as empresas possuem ativos importantes que os criminosos podem tentar explorar. Às vezes, trata-se de dinheiro ou informações financeiras, mas em outros casos buscam dados pessoais e até mesmo infraestrutura.

Conocer la importancia de la ciberseguridad y los tipos de ataques cibernéticos puede ayudarte a comprender mejor los riesgos y encontrar la manera de prevenirlos y afrontarlos.

Definição e alcance da cibersegurança

A cibersegurança, também conhecida como segurança cibernética, é a "prática que protege computadores, servidores, dispositivos móveis, sistemas eletrônicos, redes e dados conta ataques maliciosos", de acordo com a empresa de informática Kaspersky. Em outras palavras, é o conjunto de processos e ferramentas que se usam para proteger com previsão ou defender qualquer dispositivo ou plataforma eletrônica.

Significa o conjunto de capacidades, tecnologias, padrões, processos e práticas recomendadas que foram criadas para proteger a infraestrutura cibernética contra ataques, danos ou acesso não autorizado. Segurança cibernética é a capacidade de prevenir, identificar, detectar, responder e mitigar ou eliminar deficiências, vulnerabilidades, ataques e ameaças internas e externas que possam representar um risco para a infraestrutura cibernética da empresa, com o objetivo de eliminar ou minimizar danos e prejuízos de qualquer tipo que possam ser causados à empresa.

Como se fosse uma barreira, a cibersegurança detém ou minimiza os ataques. "Uma estratégia sólida de cibersegurança pode proporcionar uma boa postura de segurança contra ataques mal-intencionados criados para acessar, alterar, excluir, destruir ou extorquir os sistemas e dados confidenciais de uma organização ou usuário", aponta a empresa TechTarget. A cibersegurança também é fundamental para evitar ataques destinados a desativar ou interromper a operação de um sistema ou dispositivo.

Com um número cada vez maior de usuários, dispositivos, tecnologias e programas, juntamente com o crescimento da implantação de dados, muitos dos quais são sensíveis ou confidenciais, a importância da cibersegurança continua crescendo. Além disso, o aumento do volume e da sofisticação dos golpes digitais agravam ainda mais o problema. Embora esses ataques possam afetar diferentes níveis (por exemplo, governos, empresas ou instituições), o importante é prestar atenção principalmente ao papel dos seres humanos. De acordo com a empresa de cibersegurança Proofpoint, "mais de 99 % dos ataques cibernéticos exigem interação humana".

As ameaças cibernéticas mais comuns

A segurança cibernética trabalha para evitar e minimizar as ameaças on-line. No entanto, os ataques cibernéticos estão se tornando cada vez mais sofisticados e sigilosos para contornar as barreiras de defesa dos sistemas de computador. Estas são as ameaças mais comuns que a segurança cibernética enfrenta atualmente:

Programas maliciosos

Malware é um software malicioso criado para danificar ou se infiltrar em sistemas sem o conhecimento do usuário. Normalmente, esta ameaça ataca quando se clica em um link perigoso ou em um anexo de e-mail. Entre os diferentes tipos de malware estão:

Worms

Este malware se propaga de um dispositivo para outro sem intervenção humana, aproveitando as vulnerabilidades do sistema.
Trojans

São usados para ocultar outros malwares. Eles se infiltram no dispositivo da vítima como um software legítimo e permite que os invasores obtenham acesso não autorizado.
Ransomware

Bloqueia ou nega o acesso a um dispositivo e seus arquivos até que o usuário pague um resgate ao hacker.
Spyware

Coleta informações de um dispositivo ou rede para enviar ao invasor.

Mais informações

Ataque de negação de serviço (DDoS)

Impede que os usuários acessem informações, serviços e outros recursos. Esse tipo de ataque ocorre sobrecarregando ou inundando uma máquina-alvo com solicitações até o ponto em que o tráfego normal não pode ser processado e, como resultado, causa uma negação de serviço a usuários legítimos.

Mais informações

Ameaça de engenharia social

Diferentes técnicas e mecanismos pelos quais o invasor usa uma emoção humana, geralmente o medo ou um senso de urgência, para convencer o usuário a realizar uma ação, como fornecer informações pessoais que podem ser usadas posteriormente ou enviar dinheiro. Entre elas estão o phishing, vishing e smishing.

Mais informações

Desinformação

Baseada na criação ou disseminação de informações falsas ou enganosas para manipular a opinião pública. O objetivo é causar um impacto negativo no público-alvo a fim de criar uma visão negativa de determinados fatos ou da imagem de determinadas entidades por meio da manipulação de informações.

Mais informações

Ataques à cadeia de suprimentos

Os criminosos cibernéticos podem comprometer provedores de serviços ou fornecedores de software para se infiltrarem nas redes de seus clientes, que se tornam suas vítimas.

Mais informações

Fonte: Agência da União Europeia para a Cibersegurança (ENISA), Cisco.

VER INFOGRÁFICO: As amenaças cibernéticas mais comuns [PDF]

Estratégias de prevenção e resposta da Iberdrola

Na Iberdrola, como empresa líder em inovação e digitalização, atribuímos grande importância estratégica à cibersegurança, que é fundamental para enfrentar os desafios associados à transição energética. Em um ambiente tecnologicamente complexo como o atual, nosso principal objetivo é a proteção das infraestruturas críticas, que são essenciais para proteger os dados de nossos clientes e de outras partes interessadas, assim como da reputação do Grupo.

Este compromisso está expressamente expresso na Política de Segurança e nas Diretrizes de Riscos de Cibersegurança, que são revisadas, atualizadas e aprovadas anualmente pelo Conselho de Administração. A Política de Segurança, enquadrada nas Políticas relacionadas à cadeia de valor sustentável, promove uma forte cultura de cibersegurança e contribui para o fortalecimento das nossas capacidades de proteção, deteção, prevenção, defesa e resposta a potenciais ataques ou incidentes.

As Diretrizes de Riscos de Cibersegurança, enquadradas nas Bases Gerais de Controlo e Gestão de Riscos do Grupo Iberdrola, complementam os princípios e critérios estabelecidos na Política de Segurança em matéria de cibersegurança. Desenvolvem um enquadramento global para o controlo e gestão dos riscos de cibersegurança para os ativos cibernéticos (TI, TO e infraestruturas críticas) de todas as empresas do Grupo. Estabelecem o apetite e os limites de risco, as responsabilidades e prioridades que devem ser consideradas para a sua gestão e estabelecem as diretrizes básicas para a configuração de controlos adequados na matéria e a sua monitorização periódica, com uma visão global para as empresas do Grupo.

Além disso, estabelecemos uma estratégia global de cibersegurança, com o objetivo de integrar essa defesa digital às decisões de negócios e às operações diárias. Essa estratégia se baseia em seis pilares:

Governança. Atribuímos funções e responsabilidades claras na gestão de riscos digitais:
- Normas, quadros e critérios de proteção atualizados, adaptados ao ambiente e à sua evolução.
- Órgãos de coordenação e de tomada de decisão para a integração da cibersegurança nos processos de tomada de decisão:
  - Comitês de cibersegurança, globais e locais, presididos pelos CISOs correspondentes e nos quais todos os negócios e áreas estão representados, onde padrões, estruturas e modelos de cibersegurança são compartilhados, discutidos e aprovados.
  - Comitê trimestral formado pelo CEO do Grupo, pelos CEOs globais dos negócios e pelos CEOs de todas as subholdings, no qual são discutidas, decididas e promovidas iniciativas e planos específicos de cibersegurança vinculados aos planos estratégicos do Grupo.
Cultura. Identificamos e desenvolvemos habilidades e conhecimentos de cibersegurança por meio de programas de conscientização e formação nas diferentes áreas e funções da empresa e promovemos uma cultura de cibersegurança em todos os níveis da organização.
Gestão de riscos. Definimos e implementamos planos integrais de gestão de riscos, priorizando infraestruturas críticas e serviços essenciais.
Resiliência. Contamos com tecnologia global e local de resposta a incidentes de cibersegurança e equipes que estão sempre operacionais para minimizar o impacto sobre os objetivos comerciais e a continuidade de serviços essenciais.
Garantia. Estabelecemos mecanismos robustos de monitoramento e garantia reforçada para "infraestruturas cibernéticas" críticas e de alto risco para identificar e mitigar proativamente os riscos e as vulnerabilidades relevantes e garantir o cumprimento dos padrões internos de cibersegurança e as regulamentações externas aplicáveis.
Colaboração. Mantemos uma estreita ligação interna entre os negócios e os responsáveis de cibersegurança, e externa com autoridades policiais, órgãos governamentais, fornecedores de produtos e serviços, empresas e grupos de especialistas para fortalecer a defesa cibernética.

Para sua implementação adequada, nomeamos um diretor global de cibersegurança (CISO) que, em coordenação com o diretor global de segurança, reporta periodicamente ao Comitê de Auditoria e Supervisão de Riscos do Conselho de Administração. Além disso, dispomos de responsáveis de cibersegurança (BISOs) em cada negócio e área corporativa.

Por outro lado, damos atenção especial à privacidade das informações dos nossos Stakeholders. Por esse motivo, contamos com uma Política de proteção de dados pessoais. Além disso, temos um sistema de gestão de proteção de dados para garantir seu cumprimento. A proteção de dados pessoais é responsabilidade dos negócios e funções corporativas, sob a coordenação e supervisão do Diretor de Proteção de Dados do Grupo e com o apoio dos Serviços Jurídicos.

Como denunciar ataques cibernéticos

Na Iberdrola, criamos um canal de vulnerabilidades, uma plataforma de contato para a aviso de possíveis incidentes de segurança em nossos sites. Por meio desse formulário, podemos receber comentários da comunidade de pesquisadores de segurança que contribuem para a segurança dos produtos e serviços de todas as empresas do Grupo. Quando recebemos um aviso, investigamos e resolvemos todas as vulnerabilidades detectadas em nossas plataformas.

As informações necessárias para alertar sobre ataques ou incidentes são a página web ou o site afetado, uma breve descrição da vulnerabilidade, os passos para reproduzir a falha e a documentação que pode ilustrar o problema.

Phishing

Saiba como evitar cair em um golpe de e-mail, SMS ou mensagem instantânea.

Vishing

Como são os golpes por telefone e quais tipos existem.

Smishing

Descubra como ocorrem os golpes por mensagens de texto.

Inovação e o futuro da cibersegurança no setor de energia

A cibersegurança é fundamental no setor de energia devido ao aumento da interconexão dos sistemas e à dependência da tecnologia. As smart grids, também conhecidas como redes inteligentes, os sistemas de controle industrial e outros dispositivos habilitados para a internet já são uma parte essencial do setor, trazendo eficiência e controle. No entanto, esses desenvolvimentos exigem uma prova de segurança mais minuciosa para evitar a exposição a vulnerabilidades exploradas por invasores ou hackers.

Algumas inovações ou tendências esperadas em cibersegurança no setor de energia são:

Integração de tecnologias emergentes. A adoção de tecnologias como a Internet das Coisas (IoT), a Inteligência Artificial (IA) e a aprendizagem automática (machine learning) pode ajudar na detecção precoce de violações de segurança e otimizar as respostas.
Blockchain. Essa tecnologia está sendo explorada para melhorar a segurança das transações e a gestão de dados na cadeia de suprimento de energia. Fornece um registro imutável que ajuda a evitar fraudes e ataques. Na Iberdrola, nos tornamos a primeira empresa a usar o blockchain para certificar a participação na Assembleia Geral de Acionistas.
Segurança na nuvem. Com o surgimento dos serviços em nuvem, espera-se que sejam implementadas medidas robustas de segurança e técnicas de criptografia para proteger os dados armazenados e transmitidos, assim como acordos com fornecedores sólidos que forneçam tecnologias e serviços seguros.
Automação da resposta. O objetivo seria obter a automação da resposta a ameaças. Os sistemas capazes de identificar, analisar e responder no mesmo instante poderiam ajudar a minimizar o impacto dos ataques e o tempo de reação.
Formação e conscientização. Para lidar com a crescente sofisticação dos ataques, será fundamental a formação contínua das equipes de todos os níveis da empresa em cibersegurança e a conscientização sobre as práticas recomendadas.
Colaboração. O apoio formativo e o suporte técnico entre entidades do setor de energia, órgãos governamentais e empresas de cibersegurança serão fundamentais para o compartilhamento de conhecimento contra ataques cibernéticos.
Legislação. É provável que as regulamentações e as normas relacionados à cibersegurança no setor de energia aumentem para garantir a proteção dos ativos de infraestrutura crítica.

Conselhos para os usuários evitarem a coleta de dados

A cibersegurança começa com nossa própria atividade na Internet. Estas são algumas dicas para manter seus dados seguros:

Mantenha suas senhas seguras e atualizadas

As senhas são a primeira linha de defesa na proteção de suas contas on-line. É importante criar senhas únicas e complexas, evitar usar informações pessoais ou palavras comuns como senhas e alterá-las regularmente. Obviamente, nunca as compartilhe.

Atualize seus dispositivos e seu software

Manter seus dispositivos e softwares atualizados é essencial para garantir a segurança de seus dados. As atualizações geralmente incluem patches de segurança cruciais para evitar ou eliminar vulnerabilidades conhecidas.

Cuidado com e-mails, mensagens não solicitadas e links suspeitos

O phishing é uma das principais maneiras pelas quais os criminosos cibernéticos tentam roubar nossos dados pessoais. É importante ser cauteloso, não abrir e-mails de remetentes desconhecidos e evitar clicar em links ou fazer download de anexos de mensagens suspeitas, uma vez eles podem conter malware. Sempre verifique sua legitimidade.

Use uma rede segura

Use somente conexões e redes confiáveis (como uma rede privada virtual, conhecida como VPN, que criptografa o tráfego da Internet), principalmente ao fazer transações ou inserir dados confidenciais. Evite redes Wi-Fi públicas ou não seguras.

Configurações de privacidade em redes sociais

Revise e ajuste as configurações de privacidade em suas contas de redes sociais para controlar quem pode ver suas informações pessoais. Certifique-se de que elas estejam visíveis apenas para pessoas de confiança. Evite publicar informações confidenciais, como seu endereço, dados familiares, número de telefone ou dados bancários.

Instalação de antivírus e antimalware

Instale e atualize regularmente programas antivírus e antimalware em seus dispositivos para detectar e eliminar possíveis ameaças.

Backup de dados
Faça backups de seus dados importantes de forma regular. No caso de um ataque ou perda de informações, você poderá restaurá-los.