“A maioria dos ciberincidentes ocorre não devido a ataques sofisticados, mas por coisas muito básicas”

Numa era em que se destacam diariamente ataques de ransomware sofisticados e ameaças de atores estatais, Mark Ryland, Director of Amazon Security, defende que o mais importante para a maioria das organizações é fazer o básico. A entrevista foi realizada durante o AWS Re:Inforce 2025, em Filadélfia, no qual a IT Security marcou presença, a convite da AWS.

“A maioria dos ciberincidentes ocorre não devido a ataques sofisticados e complicados de alto nível, mas por coisas muito básicas, como sistemas sem correções ou emails de phishing”, revelou contrariando o foco habitual dos diretores de cibersegurança em ameaças avançadas.

Esta realidade assume particular relevância em Portugal, onde, de acordo com os dados de 2023 da Pordata, 99,3% das empresas têm menos de 50 funcionários – organizações frequentemente sem recursos para equipas de segurança dedicadas, mas que podem beneficiar significativamente de abordagens pragmáticas aos fundamentos.

O paradoxo da procura por complexidade

Ryland admite frustração com uma tendência recorrente: “muito frequentemente os clientes dizem que querem ouvir mais sobre a mais recente evolução do cenário de ciberameaças, sobre quais são os mais recentes ciberataques incríveis que estão a acontecer”. A resposta desafia esta mentalidade: “se fizer apenas o básico, provavelmente vai ficar bem”. Para organizações com recursos limitados, esta perspetiva oferece uma abordagem mais sustentável que a corrida constante por soluções tecnológicas avançadas.

Mesmo sabendo que Mark Ryland trabalha num fornecedor de cloud específico, os princípios que partilha aplicam-se independentemente do fornecedor escolhido. Para as empresas mais pequenas, Ryland recomenda “escolher fornecedores de software com serviços reputados para que lhes forneçam os seus serviços de IT. Por outras palavras, não tentem gerir os vossos próprios servidores e bases de dados e websites”, argumentando que “há uma riqueza de fornecedores muito capazes por aí”.

Esta abordagem transfere complexidade técnica e responsabilidade de segurança para especialistas, permitindo que as organizações mais pequenas beneficiem de investimentos em segurança que individualmente não conseguiriam suportar.

Paralelamente, mantém-se a necessidade de formação básica dos colaboradores, especialmente relevante numa era em que a inteligência artificial generativa facilita a criação de “emails de phishing muito convincentes” em português correto, eliminando as pistas linguísticas que anteriormente ajudavam a identificar tentativas de fraude.

Falhas de arquiteturas persistentes

Mesmo em ambientes cloud modernos, Ryland identifica duas vulnerabilidades recorrentes que revelam a persistência de problemas básicos: a autenticação multifator e as credenciais de longa duração.

Sobre o primeiro refere que “a falta de MFA é sempre um problema” e levou a AWS a adotar uma posição radical de, “literalmente, não permitir [ao cliente] fazer login até configurar o MFA” para contas privilegiadas.

Já sobre o segundo, o Director da AWS Security aconselha a “não utilizar credenciais de longa duração”. O problema é estrutural: “estas credenciais, se forem de longa duração, tendem a andar por aí. São colocadas em código que não deviam”. A migração para “credenciais temporárias” exige mudanças no processo, mas elimina uma categoria inteira de vulnerabilidades relacionadas com gestão inadequada da informação.

Mark Ryland destacou, também, uma capacidade específica da AWS, o Nitro, que diz ser algo que os CISO desconhecem e que oferece “um serviço de máquina virtual que não só protege de outros tenants num mundo multitenant, o chamado isolamento horizontal, como também protege de nós, do fornecedor cloud”.

Esta proteção “não é uma funcionalidade adicional, não é algo extra pelo qual se pague”, mas representa separação técnica fundamental: “não conseguimos ver o que se passa dentro da computação, armazenamento e bases de dados quando usam esta tecnologia”.

Para os responsáveis de cibersegurança preocupados com dependência excessiva de fornecedores cloud, esta separação arquitetural oferece garantias técnicas além de contratuais. Para além da AWS, também a Google Cloud e a Microsoft Azure disponibilizam serviços semelhantes para computação confidencial.

Colaboradores como primeira linha de defesa

A Amazon adota o princípio de “ver algo, dizer algo” através da cultura organizacional que encoraja o reporte sem penalizações. “Preferimos muito mais ouvir de todos os nossos funcionários e clientes, qualquer pessoa, que acham que algo está errado, mesmo que acabe por ser um falso positivo”, afirma.

A lógica é simples: os colaboradores “notam coisas mais frequentemente do que a equipa de cibersegurança, que não tem visibilidade sobre tudo o que é utilizado no dia a dia da operação”.

O resultado são “muitos falsos positivos, sim, mas, em geral, isso vai realmente ajudar uma empresa a elevar o seu nível”. Para organizações sem recursos para monitorização 24/7, esta abordagem oferece capacidades de deteção distribuídas – ainda que limitadas – sem investimento tecnológico significativo.

Transparência como diferenciação

Questionado sobre uma eventual relutância organizacional em discutir cibersegurança, Ryland propõe uma mudança de perspetiva: admitir imperfeições pode constituir uma vantagem competitiva ao “construir confiança na base de clientes” através da transparência. Esta abordagem torna-se mais relevante com regulamentação como NIS2, que exige divulgação de incidentes significativos.

A perspetiva de Mark Ryland sugere que a execução rigorosa de fundamentos oferece proteção eficaz para a maioria das organizações. Para os diretores de cibersegurança em empresas portuguesas – especialmente com menos de 50 colaboradores – esta abordagem oferece um caminho sustentável para melhorar a postura de segurança com recursos limitados.

A chave está em reconhecer que “se fizer apenas o básico, provavelmente vai ficar bem” – uma perspetiva que pode transformar estratégias de gestão de risco baseadas em fundamentos sólidos em vez de corridas tecnológicas insustentáveis.

A IT Security viajou até Filadélfia, nos Estados Unidos, a convite da AWS