“As pessoas têm de entender porque é que as regras existem. Aí estão mais dispostas a colaborar”

Existe, atualmente, uma fragmentação regulatória a nível global; temos a NIS2 na Europa, há requisitos específicos para os EUA, assim como outras jurisdições. Como é que se mantém a coerência estratégica com tantos regimes diferentes?

Todos eles têm pontos em comum, não são completamente diferentes. Obviamente, com base na sua geografia, os requisitos podem mudar aqui e ali e, em alguns casos, serem mais flexíveis e outros não tão flexíveis.

Acho que o que se tenta fazer, da minha experiência nas várias empresas onde estive, é adaptar as políticas globais ao contexto que existe. Isso é feito não só para este tipo de requisitos legais, mas até para o contexto operacional.

Vamos supor que uma empresa tem muitas fábricas, armazéns, para além daquilo que são os escritórios, o chamado IT normal. Uma pessoa não pode criar as mesmas regras no mesmo padrão para todos porque podemos ter, como já tive no passado certos exemplos, em que temos armazéns com cem ou 200 pessoas a trabalhar com uma logística relevante, e outros com cinco ou seis pessoas; não posso exigir àquele pequeno que implemente todo o tipo de regras.

Agora, os requisitos legais tomam sempre precedência sobre qualquer regra interna que tenhamos e, portanto, temos de nos adaptar às regras onde elas existem.

Gerir cibersegurança numa multinacional farmacêutica significa estar entre duas realidades: as diretrizes globais da sede e o contexto local. Como é que isto se equilibra na prática?

Isto foi uma grande lição. Venho de trabalhar sempre em equipas corporativas, globais, e isso, por um lado infelizmente, faz-nos ver as coisas sempre de uma maneira padrão e olhamos sempre para o todo; às vezes, falta-nos conhecer a pessoa, todas as unidades de negócios e o detalhe de toda a organização. Falta-nos a capacidade para conhecer essas realidades mais locais.

Acho que uma das formas de resolver, e foi isso que aprendi no passado e que resultou, é que cada vez que estamos a criar as nossas regras, ou seja, as nossas políticas, standards e regras, temos de incluir pessoas que vivem essa realidade de uma forma diária.

Acho que a melhor maneira é nós termos uma ideia daquilo que queremos implementar, mas depois temos de chamar essas pessoas para percebermos se na realidade onde elas estão no seu dia a dia isso funciona ou não. Elas vão nos dizer que, em certos casos, aquilo não vai funcionar e temos de nos adaptar.

Eu tinha uma chefe noutra empresa que ela gostava muito de usar a expressão t-shirt size, ou seja, nós definimos as coisas, mas, dentro nos nossos próprios standards, vamos ter de nos adaptar a certas realidades, vamos ter de fazer várias t-shirts de vários tamanhos diferentes porque as realidades são diferentes e só quem está lá no dia a dia é que nos sabe responder a isso.

É impossível para uma pessoa que está numa equipa global conseguir saber todas as realidades, pelo menos nas empresas de maior dimensão. Obviamente que em PME é diferente e há uma proximidade maior, é mais fácil. A solução é incluir as pessoas que vivem essa realidade para que nos digam se o caminho está certo ou está errado.

Tendo em conta a realidade específica, não só que o Manuel enfrenta, mas também agora este contexto global onde as ciberameaças estão a crescer bastante, qual é o desafio que mais o preocupa atualmente?

Uma das respostas já foi dada: é o aumento não só em quantidade, mas também em complexidade das ciberameaças. Vou usar a palavra qualidade, não porque elas sejam boas, mas porque são mais bem feitas.

Dou um exemplo muito básico. Há meia dúzia de anos, muitos dos emails de phishing que as pessoas recebiam não eram bem feitos; com alguma atenção, mesmo alguém que não fosse de segurança conseguia perceber. Hoje, há coisas que são perfeitas. Esse é um dos desafios.

Outro é a automatização, os LLM, a Inteligência Artificial [IA]. Há ferramentas que permitem a quem quer usar estas novas tecnologias de forma não legítima a serem mais eficazes. Qualquer criminoso em qualquer área tenta estar sempre com um passo à frente das regras, das leis. Agora, com estas novas tecnologias, conseguem crescer em quantidade, também em qualidade e em capacidade. Ou seja, menos pessoas para ciberataques de grande dimensão, serão precisos menos recursos humanos, ou seja, menos atores com vontade de ter um comportamento ilegítimo, porque já têm ferramentas que exponenciam a sua capacidade.

A IA generativa está certamente a mudar o que é preciso defender e as ferramentas que estão disponíveis. Como é que se olha para isto? Mais do ponto de vista de ameaça ou de oportunidade?

Para o meu trabalho em particular, sei que isto vai trazer outro tipo de ameaças; é normal. Mas tenho uma visão positiva da inteligência artificial, ou seja, acho que é algo que vem para ficar, como outras transformações tecnológicas do passado, como há 20 e tal anos a Internet de forma mais massificada, mesmo que tivesse mais anos, ou como quando há 40 ou 50 anos vieram os computadores. Todas essas transformações tiveram a fase inicial e trouxeram novas oportunidades em termos de eficiência, mas também novos desafios em termos de segurança.

Quando veio o computador, passou-se muito dos dados físicos para os dados digitais. Quando veio a Internet, obviamente melhorou a nossa capacidade de trabalho, de logística, de eficiência, mas também trouxe outro tipo de desafios para salvaguardar os tais dados digitais.

Acho que a IA é a mesma coisa. Sinto que a inteligência artificial, ou as suas capacidades, vieram para ficar. Não está ainda madura, obviamente; como qualquer transformação tecnológica vai ter de passar por uma fase de maturação. Eventualmente, menos historicamente, todas estas transformações tornam-se mais eficazes ao longo do tempo, com menos custos. Por outro lado, como já referi, existe uma pequena percentagem que quer usá-la para outros fins que não são lícitos e também vai potenciar as suas capacidades.

É uma oportunidade e também traz ameaças, mas, globalmente, é uma coisa boa. Não vejo a IA como uma ameaça, mesmo estando na parte de segurança. Vejo como algo que nós podemos utilizar e que podemos tirar partido para nos tornar mais eficientes. A IA também nos ajuda nas capacidades de defesa. Mas vejo como algo globalmente positivo, naturalmente.

A cadeia de fornecedores é, historicamente, um dos vetores de ataque mais explorados na farmacêutica. Como é que se gere esse risco quando fornecedores, parceiros e distribuidores têm maturidades de segurança muito diferentes?

Sou apologista de começar sempre as coisas pelas suas, vou-lhe chamar, fundações, pela sua base. Quando queremos proteger algo ou ter um conhecimento sobre um assunto, temos de saber o que é que temos. Neste caso, penso que é importante que consigamos ter, por um lado, um inventário de fornecedores para saber com quem nós trabalhos, para podermos também avaliar a sua criticidade, quais é que trazem mais riscos e quais é que trazem menos riscos devido à sua maturidade porque não são todos iguais.

Depois, obviamente que um fornecedor global tem outra capacidade para implementar controlos de segurança, mas também temos os fornecedores locais que, muitas vezes, são muito pequenos, mas também são importantes.

Todo o ecossistema tem diferentes desafios, mas acho que o início é sempre esse, é percebermos o que é que temos e com quem trabalhamos, em termos de segurança qual é a sua criticidade. É aí que entram os tais third-party assessment que sei que muita gente não gosta; é normal, dá trabalho responder a coisas. Mas esse é o primeiro passo.

Outro passo importante é também as equipas de segurança serem capazes de trabalhar não só com o procurement, mas também com os departamentos legais para tentar incluir todas essas cláusulas de segurança nos contratos. Se eu, enquanto fornecedor, garanto que faço isto, que tenho um bom processo de gestão de risco, que comunico os riscos aos meus clientes e como os afeta, se garanto que tenho um processo de gestão de vulnerabilidades maduro, isso também tem de ficar registado para dar segurança para ambos os lados.

Outro passo é sermos capazes de introduzir todos esses requisitos legais na relação que temos com o fornecedor e creio que são os primeiros passos para termos alguma boa visibilidade; não diria perfeita, mas para termos alguma visibilidade sobre os riscos que temos nas diferentes relações, com os diferentes fornecedores.

Isto é válido para pequenas e médias empresas como é para empresas globais. Obviamente a capa cidade de uma empresa pequena de fazer todos estes passos é diferente; percebo isso. Sei que é muito difícil para uma pequena e média empresa e é muito fácil eu estar a dizer isto, mas ter os recursos de implementar isto e, mais importante, operacionalizar – porque formalizar nem é a parte mais difícil, mas sim operacionalizar todos estes processos – é que é difícil.

Diria que os maiores desafios para as empresas é ter as fundações já bem definidas e, depois, ter a capacidade de trabalhar entre os diferentes departamentos para garantir que todo o tipo de riscos é primeiro identificado, avaliado e depois monitorizado ao longo do tempo.

Como é que se pode fazer com que um fornecedor mais pequeno em dimensão, mas não necessariamente em termos de importância, cumpre todas as regras que uma grande empresa precisa que sejam cumpridas?

Numa perspetiva de segurança, diria que a primeira tem a ver com o tipo de dados e com a criticidade dos dados que esse fornecedor vai guardar ou transmitir. Logo aí, temos de nos adaptar aos requisitos de segurança e à criticidade do fornecedor. A segunda, na minha opinião, é que acho que cada empresa deve definir quais são os seus limites, aquilo que aceita enquanto risco, ou seja, o seu apetite de risco, na relação com os fornecedores e dizer, ‘até este limite, eu consigo viver com isto e percebo que este fornecedor local não vai conseguir cumprir com isto tudo, mas eu aceite esse risco’ ou, por outro lado, dizer, ‘a partir daqui, não trabalho com este fornecedor, seja local ou global’.

Falamos muito de tecnologia, mas o fator humano continua a ser o principal vetor de ataque. Como é que se trabalha a cultura de cibersegurança internamente e o que é que, na vossa experiência, funciona?

Noutras empresas, já tive a meu cargo a responsabilidade da parte de awareness. Às vezes, parece uma parte menos relevante da cibersegurança, mas aprendi grandes lições com o tema de awareness.

Embora possa ser imprevisível, o comportamento humano é algo que tem certos padrões e certo tipo de comportamentos que, quem percebe o assunto e estuda, nos consegue ajudar.

Sei que há visões diferentes, mas o fator humano é extremamente importante. Não estou a falar de atores que queiram deliberadamente fazer mal a uma empresa; estou a falar mesmo de nós, no nosso dia a dia. Todos cometemos erros; até as pessoas de segurança cometem erros.

Alguém que esteja num departamento que não tem nada a ver com segurança, sabemos que este tema não estará presente nas suas tarefas. Não está a pensar, como é óbvio, porque trabalha num outro mundo completamente diferente. Da mesma maneira, se me pedirem para fazer um Power Point e para ter uma grande qualidade em termos visuais ou de marketing para saber vender, eu tenho mais dificuldades porque não é a minha área, não estudei. Percebo isso e tem de partir do nosso lado a capacidade para trazer esse conhecimento às pessoas de uma forma que elas também estejam abertas a receber.

Quando me perguntam o que é que funciona e o que é que não funciona… ponto um: as pessoas têm de entender porque é que as regras existem. É muito mais fácil, e já vi isso ao longo destes anos todos, se as pessoas perceberem o racional que está por trás daquelas regras que criamos, que são todas regras de segurança, vão estar mais dispostas a colaborar, e também percebem melhor o que é que está ali, porque é que lhes estamos a pedir estes requisitos, porque é que pedimos que façam desta maneira, porque é que pedimos que não partilhem dados do seu trabalho com terceiros com os quais não temos relações oficiais. As pessoas podem, no seu dia a dia, esquecer-se disso, mas se nós explicarmos o que é que está por trás disso, as pessoas percebem.

A segunda é tornar aquilo que nós chamamos de formações de awareness em algo mais dinâmico, que puxe por elas, que não seja só ler uma folha. Se tiver de ler uma folha, se calhar vou decorar 5% ou 10% na primeira vez, mas se já tiver de escrever, se calhar já vou decorar mais 15% ou 20%. Se tiver de interagir, tiver de tomar decisões ou tiver de tomar ações durante o treino, parece-me que isso também torna as coisas mais engaged, as pessoas retêm mais informação.

Como disse, numa experiência no passado tinha a parte de awareness e tive de implementar um treino global e eu tive esse feedback, que foi passar de ler um documento para ter um treino mais interativo, mais dinâmico e o feedback que recebi na altura foi muito positivo. Ninguém ficou extasiado por ter de fazer mais um treino, mais uma formação, mas gostaram. A referência e a expectativa era ‘vamos ler mais um documento, responder umas perguntas no fim, está feito’; quando viram que eram coisas diferentes, que criávamos pequenos vídeos de 30 segundos, um minuto para cada tema, muitas vezes com algo para fazer no meio, as pessoas gostavam mais.

Funciona claramente explicar o racional por trás de todas as decisões. Funciona também trazer quem está dentro das diferentes organizações ou unidades de negócio para essa tomada de decisão porque, depois, eles também são promotores dentro das suas organizações mais locais daquilo que estamos a fazer e as pessoas já os conhecem. É diferente eu chegar a alguém que não me conhece de lado nenhum e dizer-lhe algo do que ser alguém com quem ela trabalha ou com alguém que uma pessoa vê no dia a dia; essa proximidade também funciona.

Depois, há obviamente coisas que se podem também experimentar em termos de storytelling, contar uma história. Já vi há muitos anos na empresa uma formação em que se tinha de fazer a formação como se fosse uma personagem de ‘Star Wars’. A formação era obrigatória, todos aqueles treinos das mais variadas áreas foram postos numa história onde a personagem tinha de passar pelas diferentes aventuras.

Houve algum momento que lhe ensinou algo que não foi possível aprender em mais nenhum lado?

Tenho algumas aprendizagens que mudaram bastante a minha forma de estar e de ver as coisas. Falámos no início da capacidade de trazer as pessoas que têm outro conhecimento das diferentes organizações, ou mais locais, ou de diferentes unidades de negócio que operam com outro tipo de regras.

Posso contar duas histórias rapidamente. Como disse, venho de empresas sempre a trabalhar num âmbito global e, nessa empresa, com essa falta de visão de algumas unidades de negócios. Na altura, era o manager da equipa de Cybersecurity Governance, Risk and Compliance, tinha tudo o que era gestão de risco, awareness, security controls para validar a compliance e, depois, também a parte de políticas, standards e procedures. Portanto, a minha equipa tinha todo esse âmbito e quando eu estou a liderar essa equipa começámos a produzir a documentação que fazia parte do nosso trabalho e dia a dia; não tivemos em conta muitas dessas opiniões e isso foi um choque de realidade. Tive muita gente, o que me deixou surpreendido na altura, devido à minha falta de conhecimento quando isso aconteceu, que me disse que estava a cometer exatamente o mesmo erro que já cometerem no passado, que é não incluir quem conheces as realidades e depois criam regras que ninguém consegue cumprir nesses pontos, ou certas regras que ninguém vai conseguir cumprir, e depois temos de estar a discutir se temos de criar exceções ou se são riscos. Essa foi uma grande lição que aprendi e foi um choque com a realidade e, a partir daí, mudei a minha forma de encarar estas coisas.

A segunda… às vezes trabalhar em empresas com pessoas espalhadas pelo mundo traz-nos também visões muito interessantes da vida e do que é o trabalho. Quando tive de montar aquilo que estávamos a falar, um programa global de cybersecurity awareness, um treino, uma formação, segui todo o processo que havia na altura. Pesquisámos, fizemos avaliações no mercado para ver fornecedores que nos pudessem trazer novas capacidades porque internamente era difícil começar a criar vídeos. Lembro-me, na altura, da minha chefe me perguntar qual seria o tempo estimado para ter, após escolhermos o fornecedor, para produzirmos o treino internamente, para o testar e para depois comunicar e implementar, porque o treino seria obrigatório para todos.

Hoje sei que ela me estava a testar, mas sou demasiado otimista e ela perguntou se achava que quatro meses chegava. Eu disse com certeza, nós em quatro meses temos isso, sem problema nenhum; ela riu-se. O meu choque de realidade foi de facto grande porque aprendi que aquilo que para nós, quando recebemos, parece ser algo muito simples de fazer, tem por trás um processo bastante pesado, principalmente em empresas de grande dimensão, mas que faz sentido.

Se pudesse dar um conselho, ou um conjunto de conselhos, a um CISO que está a construir a função de raiz numa empresa, o que diria?

É difícil. Cada contexto organizacional traz desafios diferentes. Não só a indústria traz desafios diferentes, mas mesmo dentro da indústria vai depender. Posso sugerir algumas coisas que eu vi até nos tempos em que, noutra vida, estive na parte da auditoria de sistemas de informação das big four e vi empresas de todos os tamanhos, desde empresas pequenas subsidiárias cá em que o IT era uma pessoa, até empresas de grande dimensão em Portugal que tinham equipas mais robustas.

Nunca estive como CISO de raiz, mas já tive de construir equipas quase de raiz pelo menos uma vez na área de cibersegurança. Uma das minhas primeiras perguntas, quando começo algo, é perceber quais são as expectativas de quem lidera, o que é que eles estão à espera de conseguir, principalmente no curto prazo, e alinhar as expectativas deles com aquilo que nós entendemos ser os requisitos principais de segurança quando se está a montar algo de raiz e essa cultura. Acho que isso é essencial para começar a estar alinhado.

Houve uma frase que aprendi há muitos anos que é, em termos de segurança, temos de ser orientados ao negócio sem descurar a parte de segurança. Temos de ter uma flexibilidade para entender os diferentes negócios e saber que nunca vamos implementar todo o tipo de controlos que estas frameworks conhecidas indicam.

Tinha um colega americano, noutra empresa, que me dizia que se quiserem implementar tudo, a melhor maneira é desligar. Desligam e não há como sofrer um único ataque, se não tivermos sistemas. E é verdade. Temos de ter essa flexibilidade.

Outra coisa que acho muito relevante e tenho a certeza de que quem vai construir uma equipa de raiz sabe disso, é perceber que vai ter de ter um misto de equipas, ou seja, vai ter de conseguir algumas internas, mas vai ter que, principalmente até ter maior maturidade e conseguir crescer, ter fornecedores de serviços na parte de cibersegurança, vai ter os chamados contractors durante algum tempo e vai ter de gerir todo esse diferente ecossistema de recursos e de ligação à empresa. Isso é algo garantidamente que tem de ter.

Outra coisa que tento fazer e que acho que é relevante não só para quem quer construir de início é a capacidade de falar com diferentes pessoas para perceber o que elas fazem, que visão é que têm da parte da segurança, porque é impossível em empresas de grande dimensão, em pouco tempo, conhecer a empresa toda. Criamos essa rede de contactos que vai ser importante para o futuro. Por outro lado, aprendemos logo mais sobre a empresa, sobre o que as pessoas fazem e, por último, percebemos também qual é a visão que as pessoas têm da parte de segurança e as expectativas que têm desta equipa e que impacto é que isso vai ter no seu dia a dia. Se as pessoas estiverem logo de início mais alinhadas, estarão logo mais abertas para criar essas relações e essa colaboração. Se precisar de implementar um novo processo, quando for preciso pedir da parte do negócio que cumpram com o requisito de segurança ou que sigam os processos de segurança, ou fazer um impact analysis de uma ferramenta, se eu já tiver essa ligação criada, vai ser sempre mais fácil de eu tirar algum tempo, porque isto são atividades que vêm em cima daquilo que as pessoas fazem no seu dia a dia, é trabalho adicional que estamos sempre a pedir.

Depois, penso que grande parte tem a ver com a capacidade e de comunicação, o que e não é relevante atingir nos primeiros tempos. Acho que vai variar de CISO para CISO onde é que ele se vai focar primeiro. Já vi casos onde se focaram primeiro em formalizar as coisas e depois operacionalizar, mas também já vi mais vezes o contrário, que é primeiro operacionalizar porque é mais importante ter as coisas a andar e depois formalizar a documentação, até porque é preciso fazer escolhas porque numa pequena e média empresa os recursos vão ser limitados, e quando falo de recursos falo de pessoas, processos e tecnologia. Tudo vai ser limitado.

O último ponto é dar prioridade de forme bem vincada, definir sejas duas, três ou quatro prioridades e não fugir daí no início. Acho que no início é extremamente importante e contra mim falo porque adoro um bom desafio e às vezes chegam ao pé de mim com uma iniciativa nova e digo que aquilo é extraordinário e adorava fazer parte daquilo, mas depois tenho de me lembrar que já não dá, ou vai alguém diferente ou não dá. Priorizar de forma bastante convicta é outro ponto.