“As organizações têm de analisar o seu contexto, definir a sua estratégia tecnológica e de segurança e definir o seu caminho”

O Sport Lisboa e Benfica é conhecido pelo lado desportivo, mas é mais do que apenas desporto. Qual é a realidade do Benfica?

Quando alguém fala do Benfica, intrinsecamente a imagem que nos vem à cabeça é a de um clube de futebol; no entanto, vai muito além do futebol, tendo um elevado grau de complexidade nas várias vertentes onde atua.

Foi realizado um trabalho exaustivo na identificação de verticais, ou áreas, que estão intimamente ligadas com o negócio, e chegámos a um número superior a 20, entre plataformas e aplicações que são utilizadas no dia a dia da organização.

No nosso portfólio e devido aos verticais identificados, temos um pouco de tudo, como, por exemplo, o site SL Benfica, as redes sociais, a BTV, o retalho com as nossas lojas, o museu, os eventos que se realizam em geografias distintas, nem tudo acontece no estádio… tudo isso são verticais que têm elevada complexidade tecnológica, obrigando a uma análise apurada dos desafios inerentes.

Com verticais tão díspares uns dos outros, temos de estar preparados para assumir uma complexidade na gestão, na operação e na segurança tecnológica. É preciso conhecer e perceber a área, garantindo que todos conhecem as políticas que aplicamos – sejam de segurança, de sistemas, de operações – e que todos utilizam o mesmo o canal de comunicação.

Há quem diga que trabalhamos apenas de 15 em 15 dias, quando há um jogo, mas esse pressuposto está muito longe da realidade: o trabalho realizado no Benfica tem um horário de 24 sobre sete, 365 dias por ano. A tecnologia está no nosso ADN. Se nos focarmos, por exemplo, nos canais digitais, para as estratégias digitais e inovação, tudo o que fazemos está interligado com a tecnologia, e a tecnologia leva à inovação e a pensarmos fora da caixa. É assim que vivemos o nosso dia a dia.

Os clubes, devido à sua diversidade, produzem cada vez mais conteúdos multimédia. No caso do Benfica, os mesmos são disseminados quer para o canal digital, quer para um canal de televisão, seja a apresentação de um jogador, a venda de bilhetes ou a divulgação de um resultado desportivo relevante das equipas ou de atletas.

Sempre que acontece um evento especial, a nossa infraestrutura é testada ao limite, pois a afluência que existe num determinado momento, num espaço temporal muito curto é extremamente elevada, o que faz que exista um stress na infraestrutura. Se, por exemplo, amanhã ocorrer um episódio como a apresentação do Di Maria ou a venda de bilhetes para a Liga Europa, garantidamente temos as plataformas digitais e os canais de televisão a querer saber mais informações. Num clube como o Benfica, felizmente vivemos muito destes picos, sendo que tal implica o reverso da medalha: temos de ser capazes de gerir uma grande complexidade de plataformas e meios.

Nos últimos anos, além de uma transformação tecnológica grande que temos vindo a fazer, sinto que estamos continuamente a evoluir e que hoje estamos muito melhor; isto é sempre a crescer, é normal, e um dos grandes desafios com que nos debatemos diariamente, como em qualquer outra organização, é o de conseguirmos ter uma velocidade que acompanhe as necessidades de negócio. Nem sempre somos tão ágeis como gostaríamos de ser, nem conseguimos endereçar todas estas áreas da melhor forma, mas procuramos fazê-lo sempre com o máximo de profissionalismo e dedicação.

Cada vez mais pretendemos ter uma dinâmica de fan engagement, seja num jogo de futebol, nas modalidades, ou em qualquer outra área em que os nossos sócios e adeptos estejam. Isto é muito interessante e desafiante para nós. Quando olhamos um jogo hoje, já nada tem a ver com o que era há uns anos. Atualmente, temos outro tipo de abordagem. Queremos melhorar o que é a experiência de quem vê um jogo, desde que chega ao estádio, ao parque, que compra uma bebida e segue para o seu lugar. Foi feito um trabalho notável na renovação do estádio. Para termos uma ideia, hoje temos mais de dois quilómetros de LED, o sistema de som foi considerado o melhor sistema de som em estádio no ano de 2023, novo sistema de luzes, robótica de luz, e, para controlar toda esta dimensão, foi necessário montar uma régie que garante toda esta operação do evento.

Com base nas últimas estatísticas, temos tido uma média de espetadores acima das 59 mil pessoas. Por vezes, em apenas dez dias, podemos realizar três jogos no estádio e todo o evento é cada vez mais suportado em tecnologia, desde o ingresso digital do evento ao controlo de acessos ao parque.

Um dos grandes desafios, senão o maior de todos, é o de garantirmos a segurança dentro de uma organização que tem uma diversidade e segmentos tão díspares. Hoje, o desporto tem um componente muito analítica e tecnológica nos diversos verticais de atuação.

Como é que olha para o ambiente de cibersegurança atual? Quais são as principais ciberameaças que tem visto a crescer nos últimos tempos?

Isto é muito o jogo do “gato e do rato” ou do “polícia e do ladrão”. A forma de ataque é cada vez mais complexa e dissimulada. Creio que as organizações têm hoje um awareness maior do que tinham há uns anos. Isso vê-se pelos investimentos que têm sido feitos na indústria. Qualquer empresa ou organização está cada vez mais preocupada e atenta aos temas relacionados com a segurança.

Há uma maior consciencialização dos boards das organizações para as necessidades destes investimentos e das várias formas de atuar e analisar. Podemos olhar de várias perspetivas – desde quem desenvolve, quem garante as operações, e quem define políticas e procedimentos -, mas o que é importante hoje é que exista essa consciencialização.

O que preocupa não é somente o ataque em si – que, como refiro anteriormente, é cada vez mais complexo e dissimulado –, mas, sim, como é que conseguimos recuperar de um incidente de segurança. Na minha visão, os esforços das organizações têm ido muito para este sentido. Se alguém quiser comprometer uma organização vai provavelmente conseguir mais cedo ou mais tarde. A questão é até que profundidade e qual é a informação que vai conseguir obter. Devemos ter sempre em atenção que os problemas ocorrem dentro de um determinado contexto, sendo fundamental recuperar dos mesmos o mais rápido possível, garantindo o bom funcionamento da organização.

Quanto maior complexidade temos nas organizações, maior o grau de exposição. Tendo em consideração as dinâmicas subjacentes ao negócio e o lançamento de serviços, é forçoso que as organizações criem mecanismos ou processos muito bem definidos para não saltar etapas que possam vir a comprometer a segurança dos sistemas.

As organizações contam com vários tipos de colaboradores. Que ações é que estas podem fazer para melhorar a consciencialização dos seus colaboradores?

Para nós, a formação é muito importante a vários níveis, sendo atualmente um tema muito relevante para a nossa organização. Por vezes, assume-se que os administradores de sistemas já sabem ou devem ter conhecimento por default, mas a formação, o criar o awareness nos vários stakeholders de uma organização é chave. Possivelmente, hoje, é mais relevante que os administradores tenham essa formação, devido aos dados com que trabalham e aos quais têm acesso.

Podemos proteger a partilha de informação, o contexto, os sistemas, mas uma pessoa, se for mal-intencionada, pode comprometer ou passar informação para fora da organização.

Pensamos sempre que só acontece aos outros, mas só quando nos acontece é que começamos a olhar para estes temas com outra perspetiva. Para além das formações, é preciso dotar os stakeholders com ferramentas para melhor se defenderem no dia a dia. Esse é um last mile e um tópico que tem de ser avaliado, mas depende do contexto de cada organização. Acho que, acima de tudo, a formação, por exemplo, em base de e-learning – e há formações em e-learning fantásticas – vão criando este awareness que é sempre difícil.

Um tema com que os responsáveis pela cibersegurança se deparam é a falta de recursos – seja o financeiro puro ou humanos. Qual é a dica que deixa a quem está nesta situação e precisa de fazer uma proteção adequada da sua infraestrutura?

Acho que é preciso olhar para uma tendência que faz um fit fantástico na área de segurança e não só, que é parte da inteligência artificial. Acredito que é por aqui que vamos conseguir colmatar a falta de recursos no mercado, tirar tarefas que hoje são executadas por muitos recursos e conseguir responder a ameaças com mais velocidade.

Já existem ferramentas que utilizam a inteligência artificial para capacitar as equipas de TI e de segurança, na análise e resposta a problemas e incidentes. Cada vez recolhemos mais informação, temos sistemas mais complexos e ter ferramentas que nos ajudam realmente a focar no essencial é imperativo.

Ao mesmo tempo, as organizações terão de transformar as suas operações nos próximos anos, levando a uma maior eficiência operacional do ponto de vista financeiro e humano.

Na minha opinião, as organizações têm de analisar o seu contexto, definir a sua estratégia tecnológica e de segurança e, mediante essa análise, definir o seu caminho. Não há uma receita fechada de como devemos resolver o tema da falta de recursos. Contudo, existem muitos serviços, ferramentas e processos que ajudam a endereçar esta dificuldade atual do mercado.

Quais são os conselhos que deixa para outros diretores de TI com responsabilidade de cibersegurança nas suas organizações?

Num contexto tecnológico cada vez mais complexo, por princípio, não devemos confiar em ninguém. E devemos garantir a existência de processos e ferramentas que nos permitam recuperar rapidamente de um incidente.