Advanced Persistent Threat
O papel da inteligência artificial na estratégia de cibersegurança das
organizações.
Abstract: Numa era digital, marcada
intensamente por uma pandemia onde o
teletrabalho foi assumido como prática
constante e consequentemente com a
digitalização massiva dos serviços, os
ciberataques transformaram-se numa
preocupação para a segurança das
organizações. A falta de investimento em
cibersegurança vulnerabiliza as organizações,
que se encontram cada vez mais permeáveis à
possibilidade de um ciberataque. Como o
nome indica, um ataque persistente avançado
(Advanced Persistent Threat) utiliza técnicas
de ataque prolongadas e contínuas com o
intuito de obter acesso a um sistema e
permanecer com acesso ao mesmo por um
período grande de tempo, com consequências
eventualmente devastadoras. A incorporação
de estratégias de cibersegurança nas
organizações deveria avançar paralelamente
ao ritmo a que os hackers mudam as suas
estratégias para ataques mais complexos.
Neste sentido, é crucial que as organizações
incutam não só uma cultura de
cibersegurança sólida e transversal a toda a
organização como deverão capacitar os
colaboradores para práticas e procedimentos
de gestão de segurança. Quando os
colaboradores se sentem envolvidos,
desempenham melhor as suas funções,
altamente motivados pelo sentimento de
pertença, onde se identificam e se reconhecem
no contexto da organização.
Keywords: Segurança, Organizações,
Tecnologia, Risco, Cibersegurança, Cultura
Organizacional, Comportamento
Organizacional, Segurança da Informação,
Gestão de Segurança, Ciberataques,
Advanced Persistent Threat (APT),
Inteligência Artificial.
1. Introdução
A era da Informação e do
Conhecimento provocou um impacto
inequívoco no mundo como o conhecemos.
Hoje, a tecnologia tem constituído um dos
temas mais relevantes no contexto das
organizações, determinando aspetos fulcrais
do seu funcionamento. O paradigma da gestão
da tecnologia nas organizações centra-se
fundamentalmente no impacto do processo de
implementação tecnológico, ou seja, na gestão
equilibrada entre os processos, as pessoas e a
tecnologia [1, 2].
A inserção da tecnologia na arquitetura das
organizações, numa era de transição digital,
implica que os colaboradores entendam,
valorizem e interiorizem a importância
transversal da cultura de cibersegurança.
Numa era interligada à escala global, os
crescentes ciberataques nas organizações
exploram a enorme dependência não só
relativamente à Internet como relativamente
ao ciberespaço.
Este artigo tem como objetivo demonstrar a
urgência em encontrar um caminho que
possibilite direcionar as organizações para
uma abordagem focada na segurança da
informação, reconhecendo o risco cibernético
como um risco corporativo.
Este reconhecimento permitirá às organizações
tomar decisões estratégicas eficazes,
necessárias à proteção dos recursos e
infraestruturas de segurança nas organizações.
Para isto, as organizações deverão utilizar não
só os recursos tecnológicos mas todos os
recursos humanos de forma a desenvolverem
uma estratégia operacional de deteção e reação
a ciberataques.
2. Metodologia
A formulação da pergunta de partida, fio
condutor de uma investigação científica,
permite não só clarificar as intenções e as
perspectivas do investigador, como permite
colocar em prática uma das dimensões
essenciais do processo científico: a quebra de
preconceitos e noções previamente definidas
[3]. Com base nesta premissa, procura-se
responder à seguinte pergunta de partida:
Perante as mudanças no mundo
globalizado, estarão as organizações
preparadas para combater a evolução
sofisticada das ameaças persistentes
avançadas?
2.1. Design Science Research
A metodologia, enquanto prática organizativa
de uma investigação, permite produzir e
desenvolver conhecimento científico, ao
responder à pergunta de partida inicialmente
definida.
Nesta investigação optou-se pelo Design
Science Research como abordagem
metodológica.
Este tipo de abordagem tornou-se popular na
área da Informática e das Tecnologias de
Informação, tendo como objeto de estudo
fenómenos artificiais (ao invés de estudar
fenómenos naturais) [4, 6].
Este método é composto por duas atividades:
primeiramente construir e desenvolver
artefatos que possibilitem resolver um
determinado problema e posteriormente
avaliar, a construção de novos artefatos
(conhecimentos técnicos e científicos) [4]. Ou
seja, o desenvolvimento de um artefato
(tecnologia) deverá ser suportado por teorias
associadas ao estudo do comportamento
humano (ciência) [5, 7].
3. Gestão das
Organizações: a se claramente às perspetivas funcionalistas
importância das
estratégias de segurança
Nas últimas décadas, as organizações trilham a
sua estratégia, focadas na competitividade
existente no meio. Por sua vez, o impacto
tecnológico das últimas décadas, obrigou as
organizações a grandes mudanças quer na sua
gestão estratégica quer na gestão interna dos
recursos humanos.
3.1. Cultura Organizacional
O início do século XX permitiu o crescente
desenvolvimento teórico destinado a explicar e
descrever as constantes mudanças existentes
nas organizações.
A abordagem cultural nas organizações
assume-se como um paradigma analítico, em
especial no contexto competitivo que define o
atual mundo organizacional [8].
O conceito de cultura organizacional é
definido por um conjunto de premissas,
objetivas e estratégicas, partilhadas por um
grupo de pessoas, que influenciam diretamente
o clima de uma organização [9].
A definição do conceito de estratégia assente
na definição do conceito de cultura permite
compreender os processos dinâmicos das
organizações, ou seja, analisar as organizações
numa perspetiva cultural valorizando e
centralizando os aspetos humanos.
Ao longo do século, assistiu-se ao
desenvolvimento de práticas e modelos
inovadores de gestão de recursos humanos,
que potenciaram a interligação entre os
objetivos organizacionais e os individuais.
A cultura de qualquer organização deverá ser
sempre definida como um conceito
multidisciplinar, polissémico e alternativo às
abordagens mais tradicionais utilizadas nas
organizações [10,11].
No campo organizacional, a transversalidade
da cultura organizacional permite a aquisição
de novos conhecimentos relativamente à
realidade, possibilitando uma melhoria e
agilização das práticas organizacionais,
diretamente ligadas à eficácia.
A análise cultural tem como objetivo
direcionar e estruturar a forma como os
colaboradores, enquanto parte integrante da
organização interagem. Esta abordagem opõe-
das organizações [8].
A cultura organizacional é um dos grandes
pilares de qualquer estrutura organizacional.
No entanto, é importante que as lideranças e os
colaboradores entendam não só a sua
importância como o seu impacto nos
resultados.
O atual contexto tecnológico exige um olhar
atento para a definição estratégica que deve
pautar a cultura organizacional de uma
estrutura. Isto é, fruto da concorrência e da
competitividade dos mercados atuais, assim
como da ausência de profissionais
qualificados, a cultura organizacional, deverá
ser um diferencial de atração e retenção de
talentos.
3.2. A importância do
Comportamento Organizacional nos
processos de gestão das organizações
A eficácia de qualquer organização é
profundamente influenciada pelo
comportamento humano. Por sua vez, as
pessoas são o recurso comum a todas as
estruturas organizacionais.
Um dos princípios fundamentais da psicologia,
afirma que cada indivíduo é diferente e dotado
de personalidade, perceções e estilo diferentes.
Aquilo que define o comportamento de uma
organização, além da lógica comportamental
de cada indivíduo, é a interação dos indivíduos
em grupos.
O comportamento organizacional é uma área
de conhecimento que estuda o comportamento
do indivíduo em contexto organizacional, com
base em metodologias interdisciplinares que
permitem conhecer as perceções e os valores
dos indivíduos, através da análise das
capacidades de execução das atividades
durante a realização do trabalho
individual/grupo, contextualizado nos
objetivos e estratégias da organização [12].
A eficácia da gestão de uma organização
depende assim da ligação eficaz entre as
estruturas, os processos e a cultura
organizacional.
A definição da cultura organizacional
determina e define o comportamento mais
adequado à cultura da organização, motiva os
colaboradores e define a linha que orienta a
organização na definição da estratégia, dos
valores e das relações internas.
A definição multidisciplinar do conceito de
comportamento organizacional opera em três
níveis distintos mas diretamente interligados:
individual, grupo e organizacional.
O Comportamento Organizacional é assim
fator decisivo para o desempenho de qualquer
organização. Gerir as atitudes dos
colaboradores em contexto organizacional
permite não só otimizar os processos como
capacitar o desenvolvimento do colaborador,
reconhecendo as suas necessidades enquanto
indivíduo e enquanto parte integrante de um
grupo [12].
3.3. Organizações e Segurança da
Informação
Nos últimos anos, o desenvolvimento rápido
das Tecnologias de Informação e
Comunicação fizeram com que grande parte
das organizações sentissem necessidade de
aumentar a eficiência na utilização de
mecanismos de segurança.
Perante este cenário, as organizações estão
cada vez mais expostas ao risco, colocando em
causa a segurança do seu ativo principal: a
informação. Por isso mesmo, gerir a
informação, no contexto competitivo em que
as empresas estão inseridas, torna-se cada vez
mais desafiante.
Apesar de ter ocupado sempre um papel
relevante na capacitação e desenvolvimento
humano, a importância da informação tornou-
se ainda mais relevante nas últimas décadas
devido ao grande contributo, totalmente
viabilizado pelo crescimento das Tecnologias
de Informação e Comunicação [13].
A gestão eficaz da informação deixou de ser
vista como uma atividade maior na estrutura
das organizações passando a ser indispensável
para o futuro das mesmas.
Através da construção de uma política
estratégica que possibilite a prevenção de
futuros ciberataques, a segurança de
informação de uma organização tem como
principal objetivo proteger, de forma adequada
os sistemas de informação contra o acesso não
autorizado, divulgação, modificação ou
destruição de informação, preservando assim
três aspetos críticos [14]:
● Confidencialidade
● Integridade
● Disponibilidade
3.3.1. Dimensões da Segurança
da Informação
A Segurança da Informação procura assim
garantir os seguintes elementos [15]:
● Confidencialidade: o princípio da
confidencialidade deverá garantir que
as informações de uma organização
deverão ser acedidas apenas por
 pessoas devidamente credenciadas e
autorizadas.
● Integridade: o princípio de
integridade deverá salvaguardar a
informação e garantir que a
informação em momento nenhum será
alterada, sem autorização prévia pelos
responsáveis de segurança.
● Disponibilidade: o princípio da
disponibilidade pressupõe que, com a
devida autorização, as características
das informações estejam disponíveis
para os utilizadores.
A Cultura da Segurança deriva assim da
Cultura Organizacional. O processo de
construção de uma cultura organizacional num
ambiente onde a segurança organizacional é
entendida como valor, permite traçar melhores
estratégias para os indivíduos, beneficiando
diretamente a organização.
3.3.2. A importância dos
Recursos Humanos na gestão
estratégica de segurança de uma
organização
As pessoas são comumente identificadas como
o elo mais fraco da segurança da informação.
No entanto, é indiscutível a importância dessas
pessoas, enquanto colaboradores de uma
organização. A eficácia dos processos
organizacionais está diretamente ligada ao
desempenho das pessoas.
A informação, enquanto ativo de uma
organização, é condicionada pela utilização
(correta ou não) que os colaboradores fazem
dela, especialmente quando é necessário
assegurar os três princípios descritos
anteriormente: confidencialidade, integridade
e disponibilidade [8]. As pessoas são o
principal ativo na gestão estratégica de
qualquer organização. A definição do conceito
de estratégia pressupõe alinhar os recursos
humanos à estratégia da organização.
As pessoas que integram as organizações
deverão estar assim envolvidas na definição da
estratégia e no planeamento da mesma.
Na ótica competitiva dos mercados, o fator
humano é considerado o elemento
diferenciador não só quanto à concorrência
mas também quanto à motivação e
envolvimento de cada colaborador,
transformando-se na base de toda uma nova
gestão de pessoas.
O grau de exigência da gestão das Tecnologias
de Informação e Comunicação, associado à
gestão estratégica de recursos humanos de
uma organização pressupõe não só potenciar e
reforçar a ligação entre os colaboradores e as
necessidades estratégicas da organização como
apresenta uma nova abordagem onde todas as
pessoas deverão estar capacitadas por um
conjunto de competências e qualificações que
são estratégicas para o futuro da organização
[16].
Quando se assume a cultura organizacional
como um encadeamento de ideias e
significados, as organizações passam a
assumir e a aceitar novos manifestos de
consciência humana.
A adoção e desenvolvimento crescente das
Tecnologias de Informação e Comunicação em
contexto organizacional deverão estar
alinhadas com a necessidade (e o
aparecimento) de novos papéis a serem
desempenhados nas organizações [8].
3.4. Cultura de Cibersegurança
No último ano, o mundo tem sido abalado por
uma série de ataques informáticos que têm
colocado em risco a segurança da informação
de várias organizações nacionais e mundiais.
Os ataques informáticos à escala mundial
acentuaram a necessidade das organizações
criarem uma cultura de cibersegurança capaz
de fazer frente a possíveis ciberataques,
protegendo assim os seus ativos de
informação.
Perante este cenário, em contexto
organizacional, o termo Cibersegurança é
amplamente utilizado. No entanto, as
definições para o termo são variáveis: por
vezes subjetivas e, muitas vezes, pouco
informativas.
A inexistência de uma definição concisa e
amplamente aceitável que permita compilar a
multidimensionalidade do conceito de
cibersegurança impede muitas vezes a
materialização técnica e científica do mesmo,
em especial em contexto organizacional [17].
O conceito de cibersegurança pode ser
definido como um conjunto de práticas digitais
e métodos de defesa utilizados para detetar e
impedir possíveis hackers [19] protegendo
assim o ciberespaço, as organizações e os
utilizadores [18, 20] do aumento do risco de
ciberataques [21].
Criar uma cultura de cibersegurança
transversal à estrutura da organização é a
solução para promover o consumo seguro do
ciberespaço [22].
A definição de uma política de segurança deve
arquitetar e caracterizar toda a estrutura de
uma organização. É neste sentido que é
importante capacitar os colaboradores da
organização de acordo com os níveis de risco
existentes na mesma.
Os colaboradores da organização deverão
olhar para as estratégias de cibersegurança
definidas como parte integrante não só da
transformação tecnológica mas como da
cultura organizacional da organização.
Conseguir que os colaboradores interiorizem
boas práticas nas suas rotinas deveria
constituir o objetivo principal de qualquer
política de segurança. Mais do que uma
preocupação, a cultura de cibersegurança
deverá ser vista pelos colaboradores como um
ativo de inovação.
3.5. Ciberataques nas
organizações: Ameaça Persistente
Avançada (Advanced Persistent Threat)
Numa era digital, fruto da falta de
enraizamento de políticas de segurança nas
estruturas organizacionais, os ciberataques não
param de aumentar. No âmbito do aumento
significativo de ciberataques às organizações,
têm-se verificado que as ferramentas
tradicionais utilizadas pelas organizações têm
dificultado a identificação de ciberataques
mais modernos e sofisticados. Estes ataques
são denominados de Ameaças Persistentes
Avançadas (Advanced Persistent Threat).
O termo Ameaça Persistente Avançada
(Advanced Persistent Threat), foi criado em
2006, pela Força Aérea Americana, para
abordar com civis, temas relacionados com
ataques informáticos.
Richard Bejtlich, Intelligence Officer da Força
Aérea Americana explica o significado do
termo Advanced Persistent Threat [23]:
● Advanced: o termo advanced significa
que o adversário tem acesso a recursos
que possibilitam a recolha de
informação, exploração e
aproveitamento total de
vulnerabilidades já conhecidas ou, de
uma perspetiva mais elevada,
pesquisar novas vulnerabilidades e
desenvolver exploits personalizados.
● Persistent: o termo persistent significa
que o adversário (orientado por uma
organização externa) é formalmente
encarregue de cumprir uma missão, ou
seja, o adversário não atua de forma
oportunista mas sim à procura de
informações que possibilitem retorno
financeiro.
● Threat: os Advanced Persistent
Threat são uma ameaça pois são
ataques organizados e executados por
ação humana e não apenas pelo
automatismo de um determinado
software, incapaz de responder, de
forma inteligente, a situações
inesperadas.
A definição apresentada pelo US National
Institute of Standards and Technology (NIST)
[24] refere-se a uma Ameaça Persistente
Avançada como a capacidade de concretizar
um ciberataque, de forma sofisticada e
especializada que um determinado indivíduo
possui com o intuito de criar oportunidades
para atingir os seus objetivos, utilizando para
isso várias estratégias de ataque.
Este tipo de ameaça persegue os seus objetivos
repetidamente por um longo período de tempo,
adapta-se aos esforços de quem defende para
resistir e perpetuar as ameaças e é determinado
a manter o nível de interação necessário para
executar seus objetivos.
3.5.1. Fases de um ataque APT
Um ataque APT é estruturado em seis fases:
1. Reconnaissance and Weaponization:
nesta primeira etapa, o hacker faz o
reconhecimento da organização, ou
seja, analisa o alvo de forma
pormenorizada e recolhe informações
 que permitam caracterizar a
organização. Estas informações são
obtidas através de ferramentas open
source intelligence (OSINT) e
técnicas de engenharia social.
2. Delivery: a segunda etapa consiste em
quebrar todos os parâmetros de
segurança da organização: os hackers
fazem o envio do código malicioso.
Uma das técnicas mais utilizadas pelos
ataques APT é o spear phishing, ou
seja, o hacker envia uma mensagem
direcionada e personalizada para o seu
alvo.
3. Initial Intrusion: a terceira fase
refere-se ao momento em que o
hacker consegue aceder pela primeira
vez (de forma não autorizada) ao
computador/rede do alvo. O ataque
inicial é uma fase crucial num ataque
APT
4. Command and Control: após a
instalação do malware, é estabelecido
um canal oculto de comunicação entre
o computador/rede atacado e o hacker.
É através desse canal que todas as
outras etapas do ataque APT serão
realizadas.
5. Lateral Movement: Após instalados,
os hackers movimentam-se dentro da
rede, com o intuito de controlar a
organização. Este controlo é feito
primeiramente através do
reconhecimento interno da
organização, onde os hackers
identificam e recolhem ativos digitais
que possam comprometer a mesma.
Normalmente, esta fase dura um longo
período de tempo, pois os hackers
desejam não só recolher o máximo de
informação possível como evitam a
todo o custo serem detetados.
6. Data Exfiltration: o objetivo principal
de um ataque APT é aceder a
informações relativas à estratégia da
organização. A exfiltração de dados
transforma-se assim num passo crítico
para os hackers. Normalmente, os
dados são direcionados para um
servidor interno, (controlado pelos
hackers), onde são compactados e
muitas vezes criptografados.
4. A Inteligência Artificial
como solução estratégica
de segurança numa
cultura organizacional
Com o avanço galopante da tecnologia nos
últimos anos, os sistemas de informação
acompanharam essa evolução, tornando-se
cada vez mais tecnológicos. Como
consequência, o risco de ciberataques
aumentou proporcionalmente.
As organizações necessitam assim de
modernizar as suas políticas de proteção de
dados e estratégias de segurança,
reconhecendo a necessidade de implementar
mudanças que permitirão antecipar novos
riscos.
A ação humana, influenciada pelo
desfasamento entre o comportamento humano
e a cultura organizacional das organizações,
origina cada vez mais falhas na proteção das
infraestruturas de segurança das organizações.
O frequente e significativo aumento do
número de ciberataques nos últimos anos
permitiu às organizações compreenderem a
ineficácia da ação humana para analisar a
quantidade de informação associada a estas
falhas de segurança e agir, não só em tempo
real como em conformidade.
A emergência do conceito de “Internet Of
Things” significa o aumento significativo de
dispositivos digitais a interagirem no
ciberespaço, transformando-o assim num
espaço dinâmico mas também num espaço
falível, imprevisível e permeável, abrindo
espaço para mais e novas ameaças.
Devido a todos os problemas apresentados, os
algoritmos estáticos perdem assim capacidade
de responder aos desafios impostos pelas
novas estratégias de cibersegurança. Para
minimizar estes impactos é necessário recorrer
à inteligência artificial [25].
4.1. A utilização da Inteligência
Artificial no contexto das organizações:
Técnicas de Inteligência Artificial
O termo Inteligência Artificial surgiu depois
da Segunda Guerra Mundial e foi proposto por
McCarthy na conferência de Dartmouth em
1956 [26]. No entanto, foi em 1950 que Alan
Turing no artigo “Computing Machinery and
Intelligence”, fez previsões claras e objetivas
relativamente ao que seria necessário para um
computador se fazer passar por um ser
humano, lançando assim a base para a
definição do conceito de Inteligência Artificial
[27].
O conceito de Inteligência Artificial pressupõe
assim simular a inteligência humana em
máquinas programadas para pensar como
humanos através da imitação das suas ações.
O termo Inteligência Artificial também pode
ser aplicado a qualquer máquina que apresente
características associadas à mente humana.
A característica que mais caracteriza a
Inteligência Artificial prende-se com a sua
capacidade de racionalizar e realizar ações.
4.1.1. Técnicas de Inteligência
Artificial: a utilização do Machine
Learning em contexto organizacional
As contribuições do conceituado matemático
britânico Alan Turing, são consideradas até
aos dias de hoje cruciais para a evolução
histórica das ciências da computação.
Alan Turing formulou um modelo teórico que
seria responsável pela criação de conceitos
como o algoritmo e o desenvolvimento dos
computadores modernos.
Alan Turing foi também o inventor da
chamada Máquina de Turing e do famoso
Teste de Turing, com o qual pretendia avaliar
a inteligência de um computador.
Para isso, são utilizadas algumas técnicas que
permitem que uma máquina possua
inteligência.
O Machine Learning é uma área da
Inteligência Artificial definida pela execução
de algoritmos que permitem a criação, de
modo automático, de modelos de
representação de conhecimento baseados em
dados, sem a necessidade explícita de ser
programado.
Esta definição assenta na ideia que devemos
treinar as máquinas, permitindo-lhes acesso a
dados históricos, deixando o algoritmo
aprender [28].
5. Apresentação de
Resultados
O desenvolvimento da tecnologia enquanto
tendência mundial assim como o consequente
aumento dos ciberataques nas organizações
(cada vez mais sofisiticados e complexos),
desencadeou a necessidade de as organizações
avaliarem as suas políticas de segurança e
compreenderem se efetivamente estão
preparadas para combater a evolução
sofisticada das ameaças persistentes
avançadas.
Durante e após a pandemia que abalou o
mundo em diversas áreas, o número de
ciberataques aumentou substancialmente
colocando as organizações em situação de
profunda vulnerabilidade.
Como consequência, para poderem dar
resposta às exigências competitivas dos
mercados atuais, as organizações foram
forçadas a digitalizar todos os seus processos,
tendo, em alguns casos ultrapassado vários
estágios considerados essenciais na prevenção
de ciberataques.
Para prevenir eventuais ataques e promover
ambientes seguros, é necessário que as
organizações definam uma cultura de
cibersegurança que permita alinhar os
processos, as pessoas e a tecnologia.
Uma organização necessita de várias estruturas
para funcionar. No entanto, entre elas, é
inegável o elo que as une: as pessoas. Por isso,
as ações dos colaboradores são determinantes
para o sucesso das organizações.
Quando os colaboradores estão vulneráveis, a
organização fica permeável a grandes riscos e
os impactos podem ser desastrosos.
Quando a organização e a sua dinâmica
estrutural são o foco de análise, a cultura
organizacional é vista como um elemento
permeável e influenciado pelas políticas e
práticas de gestão.
As práticas inerentes à gestão de uma
organização alicerçadas ao conceito de cultura
induzem à partilha de valores e ao sentimento
de pertença, materializado em claras vantagens
para a organização.
A tecnologia tem constituído um dos temas
mais importantes no debate da área
organizacional.
A gestão tecnológica numa organização é um
processo naturalmente difícil e tem implicação
direta no modo como os colaboradores se
relacionam entre si e nas atitudes que
desenvolvem para e com a organização.
Por outro lado, as exigências inerentes ao
desenvolvimento tecnológico tornam
ultrapassados alguns perfis profissionais.
O desenvolvimento das tecnologias obrigou ao
aparecimento de novos perfis profissionais e
de novas competências. Além disso,
constatou-se que as chefias intermédias nas
organizações tendem a desaparecer,
proporcionando a aproximação das chefias de
topo aos colaboradores, contribuindo assim
para a estruturação do conceito de cultura
organizacional.
A evolução tecnológica, obriga assim a novas
qualificações que permitam uma política de
gestão mais participativa, mais flexível, e
consequentemente, mais eficaz na resposta às
exigências do mercado [8].
Não sendo possível garantir a total proteção
dos sistemas de informação a todas as
ameaças, é fundamental analisar o risco de
segurança da informação, de forma a detetar
possíveis ameaças e a definir quais as medidas
necessárias a aplicar de modo a minimizar o
impacto dessas mesmas ameaças.
As estruturas organizacionais, configuradas
pelo desempenho dos colaboradores, devem
estar capacitadas para identificar e comportamento humano possibilitando a
compreender quais os riscos que existentes no
seu ambiente e de que forma esses riscos
podem comprometer a segurança dos seus
ativos de informação.
É esta análise de risco que permite a tomada
de decisão acertada relativamente à definição
da política de segurança de uma organização.
No entanto, a gestão de risco deverá ser um
processo contínuo de forma a manter um nível
de segurança organizacional também contínuo
e equilibrado.
As organizações e os seus colaboradores
deverão estar assim sensibilizados para a
importância das políticas de cibersegurança e
para a construção de uma cultura de
cibersegurança dentro da sua organização.
As organizações deverão ainda estar
preparadas para a introdução de estratégias de
avaliação de risco que permitam avaliar de
forma crítica, as ameaças e as vulnerabilidades
à segurança da informação e mitigação de ciberataques complexos,
consequentemente recolher sugestões de
melhoria através da introdução de avaliações
contínuas que permitam sugerir potenciais
modelos de soluções.
Nestes últimos anos os hackers desenvolveram
estratégias cada vez mais sofisticadas para
contornar as medidas de segurança e
infiltrarem-se nas organizações.
Uma ameaça persistente avançada (APT)
refere-se a um ciberataque que utiliza métodos
furtivos com o objetivo de roubar, controlar e
prejudicar uma determinada organização
através do acesso a informações confidenciais.
Um ataque APT é difícil de detetar e tem
características bem diferentes dos outros
ciberataques.
Por isso mesmo, as estratégias de segurança
das organizações necessitam de assumir
transformações radicais. As organizações
devem modernizar as suas políticas de
segurança, agilizar processos e realizar
mudanças internas que permitam antecipar
novos riscos.
Para que isso aconteça, é necessário que as
organizações utilizem tecnologias em
expansão: a Inteligência Artificial juntamente
com o Machine Learning poderão ser
utilizadas como verdadeiras aliadas na
definição estratégica da cultura de
cibersegurança da organização.
A Inteligência Artificial permite definir um
determinado comportamento a ser aplicado
num sistema, através do estudo do
replicação das suas reações e das suas ações.
No entanto, nem tudo é positivo.
Os sistemas ao serem construídos com base no
comportamento humano, tornam-se alvos
fáceis de atacar, dando origem a ciberataques
com impactos desastrosos para as
organizações.
Por consequência, é fundamental proteger os
sistemas de informação destes ataques, através
da definição de barreiras nos sistemas,
melhorando a Inteligência Artificial colocada
nos mesmos.
Se os hackers podem utilizar a Inteligência
Artificial para construir ameaças, as
organizações também podem utilizá-la para
melhorar a sua política de segurança. Os riscos
são muitos, mas é possível geri-los se as
organizações conseguirem encontrar um
equilíbrio para os eliminar.
A Inteligência Artificial permite assim a
garantindo a segurança das informações das
organizações.

6. Reflexão
A Inteligência Artificial atua em processos
desempenhados por pessoas. Muitos se
questionam se o galopante avanço da
tecnologia e a consequente automatização dos
processos substituirão a inteligência humana
na gestão das políticas de segurança das
organizações.
À medida que as organizações recorrem à
automatização dos processos através da
Inteligência Artificial de forma a aumentarem
a eficácia da organização, o papel dos
colaboradores deverá continuar a ser parte
integrante dos processos de gestão de
segurança.
Parece contraditório.
Por um lado, temos cada vez mais
organizações que automatizam os processos
com base na Inteligência Artificial. Por outro
lado, a utilização da Inteligência Artificial no
contexto das organizaçĩes torna os
colaboradores cada vez mais essenciais. A
Inteligência Artificial avança, mas as pessoas
são e serão sempre o ponto de partida e a meta
neste processo.
Na linha competitiva dos mercados atuais, a
capacidade de tomar decisões é essencial para
os modelos de Inteligência Artificial.
É esta capacidade que permite às organizações
atuarem com a clareza necessária para gerirem
os riscos.
No entanto, em qualquer organização, é ainda
mais importante mapear sentimentos de acordo
com as necessidades e padrões
comportamentais.
7. Conclusões
Os sistemas de informação tornaram-se parte
integrante da vida das populações.
Hoje em dia, a maioria das informações que
utilizamos está digitalizada. Os
acontecimentos dos últimos anos alteraram por
completo o panorama tecnológico, em especial
no contexto organizacional. Por sua vez, o
número de ciberataques aumentou
substancialmente e as organizações
encontram-se em risco permanente.
Perante esta situação, os hackers têm-se vindo
a adaptar ao contexto e neste momento estão
munidos de ferramentas altamente sofisticadas
para conseguirem implementar ataques
complexos, isto é, os chamados ataques APT.
Uma ameaça persistente avançada (APT) é um
ciberataque prolongado no tempo onde os
hackers, de forma planeada, atacam de forma
despercebida, para se poderem infiltrar numa
organização específica, contornar as medidas
de segurança existentes e aceder a informações
altamente confidenciais.
Como os ataques APT exigem um esforço
redobrado não só a nível técnico como de
utilização de recursos, os hackers geralmente
apostam em alvos portadores de informações
altamente confidenciais e valiosas, como
estados-nação ou grandes estruturas
organizacionais. O objetivo é sempre o
mesmo: roubar dados por um longo período de
tempo.
Este binómio relacional entre a evolução do
mundo da tecnologia e a evolução do mundo
dos hackers, transformou o mundo das
organizações gerando impactos não só na
forma como as organizações precisam de
alterar as suas estruturas como na definição de
políticas que possam prevenir e combater
essas ameaças.
O produto resultante desta situação é nada
mais nada menos do que o ataque persistente
avançado (APT).
A forma como os seres humanos se relacionam
com as organizações têm de se alterar
urgentemente.
As pessoas são o maior ativo das
organizações. Não adianta as organizações
pensarem em planeamentos estratégicos
inovadores quando não podem contar à partida
com o envolvimento ativo dos colaboradores.
As falhas de segurança das organizações são
fruto de falhas humanas, seja pela utilização
errada de uma determinada ferramenta ou por
negligência durante o processo de tomada de
decisão nas rotinas básicas do dia a dia.
Por isso, é importante as organizações
valorizarem o conceito de unidade e cultura e,
neste seguimento, desenvolverem uma cultura
de cibersegurança que permita
consciencializar os colaboradores para uma
verdadeira cultura orientada para a proteção de
dados. Ou seja, os colaboradores precisam ser
o principal ativo no plano de cibersegurança
da organização.
A falta de conhecimento e a pouca literacia Available: https://bit.ly/3NXwxmv . Accessed
cibernética por parte dos colaboradores sobre on: Jul., 10, 2022.
as temáticas e procedimentos de segurança faz
com que os colaboradores, por vezes, atuem de [5] A. Hevner and S. Chatterjee, Design
forma despreocupada. É também papel das research in information systems: theory and
organizações oferecer formação que capacite practice. New York, USA: Springer, 2010.
os colaboradores relativamente a tudo o que
permita a gestão segura dos sistemas de [6] H. Simon, The Sciences of Artificials.
informação. Por vezes, é necessário mostrar Cambridge, United Kingdom: The MIT Press,
que os colaboradores e a organização estão em 1996. [Online]. Available:
risco. https://bit.ly/3atNiI0 . Accessed on: Jul., 10,
A construção de uma cultura organizacional 2022.
assente em princípios diretamente ligados à
temática da cibersegurança coloca como [7] K. Peffers, T. Tuunaneen, M. Rothenberger
prioritária a proteção dos sistemas de and S. Chaterjee, “A Design Science Research
informação. Este processo combina a methodology for information systems
consciencialização e a capacitação formativa Research”, Journal of Management
dos colaboradores. Information Systems, vol. 24, no. 3, pp. 45-78,
Investir em tecnologia melhora os processos 2007. [Online]. Available:
de gestão, mas a necessidade de educar https://bit.ly/3aqo11F . Accessed on: Jul., 10,
colaboradores garante que todos trabalhem de 2022.
acordo com a cultura organizacional definida.
Com base nesta cultura organizacional, as [8] A. Caetano and J. Vala, Gestão de
organizações estarão preparadas para construir Recursos Humanos. Contextos, processos e
uma posição sólida no futuro. técnicas. Lisboa, Portugal: Editora RH, 2007.

[9] E. Schein, Organizational Culture and

Leadership. San Francisco, USA: Jossey-Bass
8. Referências Publisher, 1992.
Bibliográficas
[10] G. Morgan, Images of organizations.
London, United Kingdom: Sage, 2007.
[1] J. McCumber, Assessing and Managing
Security Risk in IT Systems: A Structured
[11] A. Lopes and L. Reto, Identidade da
Methodology. Boston, USA: Auerbach
empresa e gestão pela cultura. Lisboa,
Publications, 2004.
Portugal: Sílabo, 1990.
[2] R. Raposo, "Gestão do risco e garantia da
[12] J. Gibson, J. Ivancevich, J. Donnelly Jr
informação: a influência do fator humano e da
and R. Konopaske, Organizações:
ética na segurança da informação e
comportamento, estrutura e processos. São
cibersegurança nas organizações", M.S. thesis,
Paulo, Brasil: Mc Graw Hill, 2006.
SIDC, Lisboa, PT, 2016. [Online]. Available:
https://bit.ly/3PALAnl . Accessed on: Jul., 10,
[13] J. Gaivéo, "As pessoas nos Sistemas de
2022.
Gestão da Segurança da Informação", Ph.D.
Dissertation, UA, Lisboa, PT, 2008. [Online].
[3] R. Quivy and L. Campenhoudt, Manual de
Available: https://bit.ly/3AVrpfK . Accessed
investigação em ciências sociais. Lisboa,
on: Jul., 16, 2022.
Portugal: Gradiva, 2008.
[14] M. Gladden, “An Introduction to
[4] M. Pimentel, D. Filippo and T. Marcondes, Information Security in the Context of
“Design Science Research: pesquisa científica Advanced Neuroprosthetics”, in The
atrelada ao design de artefatos”, RE@D – Handbook of Information Security for
Revista de Educação a Distância e eLearning, Advanced Neuroprosthetics, 2nd ed.
vol. 3, no. 4, pp. 37-61, 2020. [Online]. Washington DC, USA: Synthypnion
Academic, 2017, pp. 42-60. [Online].
Available: https://bit.ly/3IG2QFr . Accessed
on: Jul., 16, 2022.
[15] R. Gomes, "Uma abordagem relacional e
planeada para a aplicação de modelos de
gestão da segurança na saúde", M.S. thesis,
UP, Porto, PT, 2010. Available:
https://bit.ly/3oarPqM . Accessed on: Jul., 16,
2022.
[16] J. Bilhim, Gestão Estratégica de
Recursos Humanos. Lisboa, Portugal: Instituto
Superior de Ciências Sociais e Políticas, 2007.
[17] D. Craigen, N. Diakun-Thibault and R.
Purse, “Defining Cybersecurity”, Technology
Innovation Management Review, vol. 4, no.
10, pp. 13-21, 2014. [Online]. Available:
https://bit.ly/3yNI6XA . Accessed on: Jul., 17,
2022.
[18] R. Von Solms and J. Van Niekerk, “From
information security to cyber security”,
Computers and Security, no. 38, pp. 97-102,
2013. [Online]. Available:
https://bit.ly/3c823AL . Accessed on: Jul., 17,
2022.
[19] R. A. Kemmerer, "Cybersecurity", 25th
International Conference on Software
Engineering, 2003. Proceedings., 2003, pp.
705-715.
[20] A. Lewis, Cybersecurity and Critical
Infrastructure Protection. Washington, DC:
Center for Strategic and International Studies.
[Online]. Available: https://bit.ly/3RA6BQV.
Accessed on: Jul., 17, 2022.
[21] E. Amoroso, Cyber Security. New Jersey:
Silicon Press, 2006.
[22] N. Gcaza, R. Von Solms and J. Van
Vuuren, “An Ontology for a National
Cyber-Security Culture Environment”,
presented at the Ninth International
Symposium on Human Aspects of Information
Security & Assurance, Lesvos, Greece , 2015.
[Online]. Available: https://bit.ly/3uPJjfN .
Accessed on: Jul., 17, 2022.
[23] A. Lima, "Advanced Persistent Threat",
M.S. thesis, UL, Lisboa, PT, 2015. [Online].
Available: https://bit.ly/3RHzhYf . Accessed
on: Jul., 17, 2022.
[24] P. Chen, L. Desmet and C. Huygens, “A
Study on Advanced Persistent Threats”,
presented at the IFIP International Conference
on Communications and Multimedia Security,
Aveiro, Portugal , 2014. [Online]. Available:
https://bit.ly/2GjUpjl . Accessed on: Jul., 17,
2022.
[25] L. Borges Gouveia and R. Morgado, “O
recurso e a contribuição potencial da
inteligência artificial para a cibersegurança em
ambientes digitais”, in As Atas dos Dias da
Investigação na UFP, Porto, Portugal:
Universidade Fernando Pessoa, 2016.
[Online]. Available: https://bit.ly/3ATiACX .
Accessed on: Jul., 17, 2022.
[26] S. Prajapati, B. Prajapati, S. Vegad and G.
Gohil, “Artificial Intelligence and Software
Engineering: Status, Future Trend, and Its
Interaction”, International Journal for
Research in Applied Science & Engineering
Technology, vol. 10, no. 3, pp. 1411-1417,
2022. [Online]. Available:
https://bit.ly/3yPruia . Accessed on: Jul., 18,
2022.
[27] A. Turing, “Computing machinery and
intelligence”, Mind, vol. 59, no. 236, 433–460,
1950. [Online]. Available:
https://bit.ly/3uWqSWS . Accessed on: Jul.,
18, 2022.
[28] V Oliveira, "Cibersegurança e
Inteligência Artificial. Como garantir a
segurança de um sistema de informação", M.S.
thesis, UNL, Lisboa, PT, 2021. Available:
https://bit.ly/3yQ77Bu . Accessed on: Jul., 18,
2022.