A Sonae passou a integrar, este mês, a rede CSIRT.pt, Computer Security Incident Response Team. O grupo junta-se assim aos 46 CSIRTs nacionais.
O grupo tem levado a cabo uma série de medidas, colocando a cibersegurança no topo das principais preocupações. No seu Relatório de Contas de 2019, segundo consultou a Security Magazine, a Sonae, como resultado da análise de Enterprise Wide Risk Management, definiu os principais riscos críticos, os quais monitoriza continuamente.
Estes riscos foram considerados para a Sonae como um todo. Como apontava na altura, “compreender a natureza do risco no contexto das operações da Sonae ajudará a mitigar o seu potencial impacto e probabilidade”.
Para todos os riscos classificados como críticos (maior probabilidade e impacto), a empresa designou um responsável e representante para definir o plano de acção de mitigação e principais indicadores de risco.
Os ataques cibernéticos foram um dos principais riscos identificados pela empresa. Como referia, “a ocorrência de uma violação na privacidade e /ou segurança de dados dos funcionários, fornecedores ou clientes, bem como outras informações comerciais, devido a um nível inadequado de protecção dos sistemas de informação e/ou comportamento de risco dos funcionários, pode sujeitar a empresa a multas e afectar a sua reputação e continuidade”.
Identificar principais ameaças
Na altura a empresa identificou como potenciais ataques a fuga de dados, Denial of Service, phishing, código maligno (entrada de código maligno nos sistemas internos de informações organizacionais), insider (ataques cibernéticos coordenados usando vectores de ataque externos, internos e cadeia de fornecimento), engenharia social baseada em agentes externos para obtenção.
A empresa, já em 2019, destacava os principais controlos focados na política e modelo de estão de segurança cibernética, equipas dedicadas à segurança cibernética, programa de consciencialização sobre segurança, procedimento de gestão de incidentes, informação de ameaças cibernéticas em colaboração com o CNCS, monitoramento contínuo da classificação Bitsight Cybersecurity, perímetro de segurança de rede, testes periódicos de ethical hacking para sites da internet, recuperação de desastres para sistemas críticos, gestão de identidade de acesso, encriptação de dados críticos e antivírus, anti-spam e detecção de malware.
A empresa tinha como acções de mitigação planeadas a reavaliação dos objectivos de segurança e procedimentos de gestão de segurança cibernética, seguro cibernético, estratégia da segurança, matriz de avalização de maturidade e CSIRT – definição de uma equipa de segurança informática.
Mitigar o risco
Já no seu relatório de 2020, a Sonae destaca que “do ponto de vista da segurança da informação têm sido desenvolvidas várias acções de mitigação do risco de comprometimento da confidencialidade, disponibilidade e integridade dos dados de negócio, nomeadamente a implementação de sistemas de alta-disponibilidade, redundância da infraestrutura de rede, controlo de qualidade dos fluxos entre aplicações, gestão de acessos e perfis e reforço dos mecanismos de proteção do perímetro da rede, realização de testes de intrusão aos sites na Internet e protecção de dispositivos móveis e computadores”.
Ao longo de 2020, a empresa focou-se na consolidação dos processos desenvolvidos para garantir o cumprimento legal do RGPD, promovendo a sua melhoria contínua no sentido de se alcançar um maior nível de maturidade.
Entre as actividades realizadas, destaca a actualização dos registos de actividades de tratamentos, a melhoria do processo de resposta ao exercício de direitos, procurando sermos ainda mais transparentes com os(as) nossos(as) clientes, a análise, avaliação e redação de documentação legal, em matéria de protecção de dados pessoais, e as acções de sensibilização e awareness às diferentes áreas de negócio.
No que diz respeito à gestão dos ciber riscos “foram desenvolvidas diversas actividades, consolidando-se o modelo de governo de cibersegurança suportado pelas melhores práticas internacionais, tendo sido iniciado, paralelamente, o processo de revisão das principais políticas de segurança e definição do processo de gestão de risco cibernético, articulando com várias empresas Sonae”.
Mais acções
Na componente de mitigação de riscos associados a comportamentos, “foram desenvolvidas acções de sensibilização e formação direccionadas para as principais ameaças impactantes para a actividade da Sonae, nomeadamente com foco nos riscos emergentes resultado da pandemia COVID-19 que colocou os(as) colaboradores(as) em trabalho remoto”. Nesse respeito, “foram realizadas campanhas de phishing ético que permitiram avaliar o impacto das campanhas de sensibilização”.
Na categoria de protecção, em 2020 “foram reforçados os mecanismos de autenticação com a adoção de esquemas de duplo factor, realizaram-se actividades de consolidação e reforço dos mecanismos de protecção das infraestruturas tecnológicas do perímetro”. A capacidade de detecção também foi reforçada com a adoção de um programa de auditorias de segurança contínuas.
Importa salientar que a S21SEC, empresa do universo Sonae, já integra a rede CSIRT desde 2018.
Se gosta desta notícia, subscreva gratuitamente a newsletter da Security Magazine.