As 5 principais ameaças à segurança do telemóvel da empresa

Se gere e armazena conteúdo confidencial no telemóvel da empresa, saberá que deve ter cuidados redobrados no que toca à segurança do dispositivo (não só em termos físicos, mas também dos dados aos quais este permite aceder).

Os perigos são inúmeros. Por exemplo, o roubo de informação, a violação de dados de clientes, a exposição de informação sensível para o negócio, a possibilidade de softwares maliciosos poderem localizar os aparelhos via GPS sem o seu conhecimento, entre muitos outros.

Para se prevenir de acordo com o nível das ameaças – que estão a atingir graus de sofisticação cada vez mais elevados – e salvaguardar não só informação empresarial, mas também informação pessoal, fique a par das principais ameaças cibernéticas às quais o telemóvel da empresa está sujeito.

Telemóvel da empresa: ameaças reais à segurança do dispositivo

1. Ataques de phishing

Num ataque de phishing a sua conta de e-mail pode ser pirateada e, a partir daqui, pode comprometer a informação guardada no telemóvel da empresa – e que permite, por exemplo, o acesso a dados armazenados em clouds. Dados de clientes, lista de contactos, passwords e dados confidenciais da própria empresa podem ser roubados e utilizados para os mais diversos fins.

Evite, por isso, abrir e-mails com as extensões .co, .exe, .scr, .pif, .cmd, cpl, .bat, .vir e .zip – mesmo que tenham sido enviados por pessoas que conhece ou que sejam da sua confiança.

Além disso, se se vir num site cheio de links com cores diferentes ou ofertas suspeitas, saia imediatamente da página. Uma visita a um site duvidoso pode contaminar o dispositivo com um vírus e a segurança de dados confidenciais fica automaticamente comprometida.

2. Spyware

Tal como o nome indica, são programas ‘espiões’. A sua função é obter informações sobre uma ou mais atividades realizadas num qualquer dispositivo. Também por definição, o spyware é um tipo de software malicioso difícil de detetar e, talvez, uma das formas mais perigosas de malware.

Isto porque não visa apenas provocar danos nos dispositivos, mas também recolher outro tipo de informações, por exemplo, financeiras (como contas bancárias online e passwords), informações de cartão de crédito e outros dados sensíveis.

O spyware permite o acesso remoto aos seus dispositivos, consegue identificar os toques de teclas (keyloggers) e acompanhar as suas atividades online.

Para evitar este tipo de armadilha, mantenha o telemóvel da empresa sempre consigo (não o empreste a ninguém) e instale um bom antivírus e/ou software de deteção de malware para eliminar esses programas antes que eles consigam aceder aos seus dados.

3. Softwares piratas

Apesar do recurso a softwares piratas ser uma estratégia de contenção de custos para muitos negócios, lembre-se que o barato pode sair muito caro. A este propósito importa perceber que é precisamente no “crack” de ativação que vêm os malwares, trojans e vários outros ciber-riscos – os quais, de imediato, passam a ter acesso aos dados do sistema da sua empresa.

O mesmo se aplica ao download de aplicações. Certifique-se decque são de fonte fidedigna antes de as instalar no telemóvel da empresa.

4. Exposição a falsas redes de Wi-Fi

Há hackers que configuram falsos pontos de acesso a redes Wi-Fi em locais públicos – como, por exemplo, cafés, bibliotecas ou aeroportos. Por norma, dão aos pontos de acesso nomes comuns, como “Wi-Fi gratuito Aeroporto”, para incentivar os utilizadores a conectarem-se à dita rede.

Em alguns casos, os hackers exigem que os utilizadores criem uma conta para aceder a esses serviços gratuitos – e para a qual têm de introduzir uma password. Esta é uma das muitas razões pelas quais não deve utilizar a mesma combinação de e-mail e password em serviços diferentes (e muito menos em redes Wi-Fi públicas).

Crie sempre uma password nova, até para salvaguardar todos os seus logins e acessos a serviços da empresa.

5. Falta de controlo de sessões

É um passo simples e pode evitar muitas situações constrangedoras. Pense que se lhe roubarem o telemóvel da empresa e tiver uma série de contas abertas e à mercê dos ladrões, eles poderão ter acesso garantido e facilitado a todas as informações do dispositivo.

Além disso, importa saber que para facilitar as transações em dispositivos móveis, muitas aplicações usam tokens – os quais permitem que os utilizadores realizem ações sem precisarem de confirmar a sua identidade sempre que acedem a um qualquer serviço.

Assim como as passwords, os tokens são gerados pelas apps para identificar dispositivos. Aplicações seguras geram novos tokens a cada tentativa de acesso, ou sessão, e devem permanecer confidenciais.

A ameaça aqui reside no controlo inadequado de sessão – quando as apps partilham, sem querer, os tokens da sessão com agentes mal-intencionados, permitindo-lhes que se passem por utilizadores legítimos. Sublinhamos, por isso, a importância de selecionar com cuidado as apps que instala no telemóvel da empresa e, apesar de ser um processo aborrecido, feche sempre as sessões no seu dispositivo.

A este propósito, opte por instalar um bom gestor de palavras-passe, para não ter que decorar todos os seus logins e passwords.

Consequências de um ataque cibernético ao telemóvel da empresa

Perda, roubo e violação de dados

A perda, o roubo e a violação de dados é um tema muito sensível, principalmente desde que começou a ser aplicável o Regulamento Geral de Proteção de Dados (RGPD).

Para garantir a proteção da privacidade dos cidadãos, as empresas passaram a ser obrigadas a recolher e processar dados pessoais só para objetivos legais e proteger sempre esse dados.

Os requisitos de segurança incluem prevenção de destruição acidental ou criminosa, perda, processamento, divulgação, acesso e alteração. Ou seja, estes requisitos devem garantir, entre outros, os direitos ARCO (Acesso; Retificação; Cancelamento; Oposição).

As penalizações para quem não se preparar devidamente para evitar a violação da segurança dos dados serão severas. O RGPD estabelece um quadro de aplicação de coimas assente em dois escalões (em função da gravidade), a saber:

• Nos casos menos graves, a coima poderá ter um valor até 10 milhões de euros ou 2% do volume de negócios anual a nível mundial, consoante o montante que for mais elevado;
• Nos casos mais graves, a coima poderá ter um valor até 20 milhões de euros ou 4% do volume de negócios anual a nível mundial, consoante o montante que for mais elevado.

No primeiro caso, as coimas aplicar-se-ão a falhas no cumprimento de exigências técnicas ou organizacionais, como, por exemplo, falha na comunicação de violações das suas bases de dados, ou falta de certificações.

No segundo, para os casos mais graves de violação dos princípios básicos relacionados com a segurança dos dados, como, por exemplo, o não respeito pelo consentimento dado pelo utilizador, a transferência de dados pessoais para outros países ou organizações que não assegurem um determinado nível de proteção de dados.

Ou seja, no que se refere à proteção dos dados, uma das regras fundamentais que o RGPD exige às empresas é que garantam a segurança dos dados pessoais dos seus clientes, incluindo a proteção contra o seu tratamento não autorizado ou ilícito e contra a sua perda, violação, destruição ou danificação acidental. Para tal, há que adotar medidas de segurança concretas e tecnologias adequadas.

Danos na reputação da empresa (e, por conseguinte, nas oportunidades de negócio)

Esta é, provavelmente, uma das piores consequências de um ciberataque para qualquer empresa, pois não há cliente no mundo que se sinta à vontade a trabalhar com uma empresa vulnerável aos ciber-riscos ou que não tenha uma política de segurança bem definida. Quando a reputação de uma empresa é manchada, muito dificilmente conseguirá reaver a confiança do mercado.

Afetada a imagem da empresa, a perda de clientes e oportunidades de negócio é mais do que certa. Este efeito dominó poderá colocar em risco a sobrevivência da própria organização.

Cuidados a ter

Além de todas as medidas de segurança digital a adotar no sentido de proteger os dados dos clientes e o próprio negócio, aconselhamos a contratação de um seguro contra os ciberataques.

Este tipo de seguro pode incluir cobertura para alguns dos seguintes incidentes:

• Intrusão de terceiros nos sistemas informáticos;
• Incumprimento do dever de custódia de dados de carácter pessoal;
• Responsabilidades informáticas do segurado;
• Violação do direito à honra e intimidade pessoal de terceiro;
• Perda de lucros pela interrupção da atividade do segurado (cobertura opcional)

Recorde-se que, na era da transformação digital, os ciber-riscos são mais frequentes e bastante sofisticados. A questão já não passa por saber se vai ser alvo de um ciberataque, mas sim, quando será.