«Pode parecer paranóico, mas acho que os family offices estão a tornar-se o alvo número um dos hackers e dos esquemas de phishing. Recentemente, participei numa teleconferência com outros dez family offices de grande dimensão e seis deles tinham sido alvo de ataques informáticos.» — Diretor Financeiro, family office de média dimensão, Relatório sobre Family Offices do Canadá

Pontos principais

chevron
Reforce os controlos de acesso – utilize a autenticação multifator (MFA), gestores de palavras-passe e funções de utilizador.
chevron
Elabore um plano de defesa – defina protocolos de segurança, resposta e recuperação.
chevron
Forme toda a gente – realize testes de phishing e sensibilize os familiares.
chevron
Utilize um software seguro para family offices, como o Masttro – beneficie de encriptação, feeds diretos e registos de auditoria.
Prevenir um ataque cibernético a um family office

Por que razão os Family Offices são vulneráveis

A maioria dos family offices continua a depender de uma combinação de aplicações antigas e fluxos de trabalho manuais. Muitas vezes, carecem de qualquer tipo de controlos de cibersegurança específicos ou de um plano de segurança da informação por escrito, e não utilizam gestores de palavras-passe ou cofres digitais, recorrendo a servidores de e-mail não seguros para partilhar informações financeiras confidenciais. Com este tipo de configuração, um desastre não é uma questão de «se», mas sim de «quando».

Principais riscos:

  • Contas partilhadas e software desatualizado
  • Ausência de autenticação de dois fatores ou multifatorial
  • Infraestrutura mínima de cibersegurança
  • Formação inadequada e planeamento de recuperação em caso de catástrofe
  • Dependência de canais não seguros, como o e-mail ou ferramentas na nuvem não verificadas

Os hackers têm-se tornado cada vez mais astutos na forma como atacam os family offices. Os esquemas de phishing podem começar com um simples e-mail ou uma mensagem de texto falsa com um link que pode expor dados bancários, documentos legais e informações pessoais. A falsificação de identidade e o sequestro de contas nas redes sociais acrescentam mais uma camada de risco. Grupos sofisticados de ciberataques recorrem agora a corretores de dados para recolher informações de fundo antes de lançarem esquemas de phishing direcionados, que convencem facilmente os alvos de que estão a comunicar com um contacto de confiança de um depositário ou prestador de serviços.

Tipos comuns de ataque

  • Ataques de phishing: e-mails ou mensagens que induzem os funcionários ou familiares a conceder acesso
  • Ameaças de ransomware: ataques de malware que encriptam dados e exigem o pagamento de um resgate
  • Violações de dados: acesso não autorizado a carteiras, ferramentas de relatórios ou unidades de armazenamento internas
  • Engenharia social: fazer-se passar por contactos de confiança para obter acesso ou transferir fundos
  • Extorsão cibernética: ameaças de divulgar dados confidenciais caso não seja pago um resgate

A ciberespionagem é uma tendência em crescimento — os atacantes recolhem informações ao longo do tempo, por vezes até criando uma relação de confiança através de várias comunicações inofensivas, antes de atacarem quando menos se espera.

Quando a prevenção falha

Os family offices podem dispor de recursos insuficientes, o que muitas vezes significa que:

  • Ignorar as políticas de cibersegurança e os controlos escritos
  • Não realize exercícios regulares de phishing
  • Adiar a instalação de atualizações de software
  • Falta de um profissional especializado em resposta a incidentes cibernéticos
  • Não dispõe de um programa de seguro cibernético

Mesmo ferramentas básicas, como cópias de segurança de dados ou a autenticação de dois fatores, estão ausentes em muitas configurações. Sem uma visão clara das ameaças cibernéticas internas, muitos ataques passam despercebidos até que sejam causados danos irreversíveis.

Documento técnico

Cinco painéis de controlo indispensáveis para qualquer investidor

Encontrar a tecnologia financeira certa poderá ser a sua prioridade mais urgente nesta década.
Decoração do anel Masttro

O que os Family Offices podem fazer

Uma estratégia de prevenção começa pelo básico e vai-se desenvolvendo até alcançar a resiliência. Aqui estão 5 passos que qualquer family office pode seguir, independentemente dos recursos de que disponha.

1. Reforçar os controlos de acesso

  • Utilize a autenticação multifatorial em todos os sistemas
  • Implemente um gestor de palavras-passe e configure credenciais únicas
  • Aplicar controlos ao nível do dispositivo para o acesso móvel

2. Elaborar um plano (com profissionais de cibersegurança)

  • Criar um plano de resposta a incidentes
  • Elabore um Plano de Recuperação de Desastres e um Plano de Continuidade de Negócios
  • Definir políticas de cibersegurança num Plano de Segurança da Informação por escrito

3. Aperte bem as suas ferramentas

  • Atualize regularmente todo o software de gestão de carteiras
  • Execute análises de deteção de malware semanalmente
  • Configure alertas para atividades relacionadas com links de phishing
  • Encriptar dados confidenciais, tanto em trânsito como em repouso

4. Formação e Avaliação

  • Realize exercícios de simulação de phishing com os funcionários e os seus familiares para os sensibilizar para os riscos
  • Limitar o acesso às redes sociais aos canais oficiais
  • Monitorizar a eventualidade de suplantacão de identidade ou apropriação de conta
  • Informe os membros da família sobre as táticas mais comuns utilizadas pelos golpistas cibernéticos

5. Escolha bem os seus parceiros

  • Trabalhe com fornecedores que utilizem fontes de dados diretas, em vez de intermediários externos
  • Escolha plataformas com encriptação de dados, controlos de segurança cibernética e registos de auditoria
  • Evite serviços que cobram com base no AUM ou que utilizam a técnica de screen scraping

Lista de verificação para a prevenção de ciberataques em Family Offices

Categoria Ação Objetivo
Controlo de acesso Ativar a autenticação multifator / de dois fatores Impedir acessos não autorizados
Utilize um gestor de palavras-passe e implemente cofres de palavras-passe Evite a reutilização de credenciais e senhas fracas
Criar funções de acesso específicas para cada utilizador Limitar a visibilidade apenas ao que é necessário
Políticas de cibersegurança Elaborar e atualizar um Plano de Segurança da Informação por escrito Estabelecer protocolos e responsabilidades
Elaborar um plano de resposta a incidentes e um plano de recuperação de desastres Responda rapidamente a ataques ou interrupções
Adote um plano de continuidade de negócios Garantir que as operações possam continuar durante uma violação
Acompanhamento e Formação Realizar exercícios de simulação de phishing trimestralmente Formar os funcionários e os familiares sobre como identificar esquemas de phishing
Acompanhar a atividade de início de sessão e os padrões de acesso Detectar ameaças cibernéticas internas
Monitorizar possíveis casos de apropriação indevida ou falsificação de identidade nas redes sociais Impedir a divulgação de informações pessoais
Dados e Infraestrutura Aplique atualizações de software regularmente Corrigir vulnerabilidades conhecidas
Utilize encriptação para todos os dados (em repouso e em trânsito) Proteja documentos confidenciais e dados de investimento
Configure cópias de segurança regulares dos dados Permitir a recuperação total dos dados em caso de violação
Ferramentas de fornecedores e plataformas Escolha um software de gestão de carteiras com integração direta com os dados bancários Elimine a captura de dados da tela e melhore a fiabilidade
Escolha sistemas com proteção de cibersegurança integrada Centralizar os controlos e minimizar os riscos
Estabeleça parcerias com fornecedores que ofereçam registos de auditoria e apoio em matéria de seguros cibernéticos Garantir a responsabilização e a mitigação de riscos

Como o Masttro melhora a sua cibersegurança 

A Masttro apoia a prevenção de ciberataques a family offices através de uma infraestrutura de cibersegurança líder no setor, que garante a segurança e a confidencialidade de todas as informações financeiras em todos os momentos.

A plataforma estabelece os padrões mais rigorosos em matéria de infraestruturas de cibersegurança através de:

  • Autenticação multifatorial
  • Protocolos de encriptação de nível militar
  • Dados encriptados em todas as camadas, tanto em repouso como em trânsito
  • Armazenamento num centro de dados Tier 4 dedicado na Suíça
  • Chaves de encriptação detidas pelo cliente para aceder aos dados
  • Arquitetura de nuvem privada com servidores dedicados
  • Nunca são guardados dados em nenhum dispositivo
  • Portal de comunicação segura em vez de e-mails não seguros
  • Arquivos digitais para o armazenamento de dados financeiros confidenciais
  • Controlos internos e gestão de permissões, com acesso baseado em funções e registos de auditoria
  • Suporte completo para rotinas de recuperação de dados e cópias de segurança

Ao contrário da maioria dos fornecedores, a Masttro não monitoriza os ativos sob gestão (AUM) dos clientes nem utiliza os dados financeiros dos clientes para fins de fixação de preços ou outros fins secundários. A plataforma garante que os utilizadores são os proprietários dos seus dados e inclui controlos seguros para a comunicação com os clientes, o acompanhamento de ativos alternativos e a elaboração de relatórios seguros, tudo num único sistema intuitivo.

Consideração final

Os riscos de cibersegurança já não são meramente teóricos, o que significa que os family offices precisam de responder com controlos claros, ferramentas inteligentes e um processo definido. Uma abordagem prática à segurança cibernética não é um extra, é um requisito básico.

A prevenção é possível quando existem os sistemas adequados: enquanto líder do setor em normas de infraestruturas de segurança, a Masttro ajuda os family offices a anteciparem-se às ameaças cibernéticas, combinando proteção de dados, controlo ao nível do utilizador e uma visibilidade clara. 

Fale connosco para saber como podemos ajudar o seu family office a reduzir os riscos de cibersegurança.