C-Days 2022: “boas dinâmicas organizacionais e apostar na formação das pessoas resolve muitos problemas”

É com o mote “Apostar na Prevenção” que a C-Days se apresenta ao público na sua oitava edição. Chegado o segundo dia do evento – organizado pelo Centro Nacional de Cibersegurança no Centro de Congressos do Estoril –, a IT Security marcou presença no painel de Inovação e Tecnologias Futuras com o tema "Cibersegurança no ciclo de desenvolvimento de aplicações e sistemas". 

O painel juntou Patrício Batista, Diretor de Segurança da Feedzai, Filipe Mealha, Coordenador da Unidade de Planeamento, Arquitetura, Conformidade e Engenharia dos Serviços Partilhados do Ministério da Saúde (SPMS), e Anselmo Silva, Technology Strategist na SIBS.

O representante da SIBS começa por dizer que o “desenvolver com segurança é outra coisa. O ciclo de vida de desenvolvimento está na base do que é feito e a segurança deve ser pensada desde o primeiro momento – o tal conceito de Security by Design. Temos de começar a pensar na arquitetura já com a segurança como parte do processo, em todo o ciclo de vida da aplicação e dos sistemas” e explica que “isso passa por uma consciencialização de toda a organização”, embebendo-a de uma cultura de cibersegurança. Quando se começa a “desenhar esses sistemas, um dos principais desafios são os security patterns”, finaliza.

Seguiu-se Filipe Mealha, que começou por dizer que “o maior desafio continua a ser organizacional”. O problema é transversal, disse o representante dos SPMS, “que é não haver preocupação. A preocupação vem depois do primeiro data breach, do primeiro ataque, e só aí é que nos vamos apercebendo que as coisas são um pouco mais complexas”.

“Temos desafios de políticas das organizações em si, quendo começamos a fazer checklists gigantes de regras”. Depois, ao longo do tempo, vamos percebendo que "o desafio é muito organizacional e não necessariamente tecnológico”, completa. Patrício Batista continua dizendo que o tema do C-Days 2022 é de extrema relevância, pelo que a prevenção é “extremamente importante”.

No caso mais concreto da SIBS, Anselmo Silva menciona que a empresa “lida com os dados dos cartões e não conhece as pessoas, por isso um dos principais desafios é que essa informação nos chegue, seja tratada e não seja armazenada. Porque trabalhamos com dados sensíveis temos de ter cuidado para assegurar a segurança dos dados dos nossos clientes. Isso, no meio financeiro, segue um conjunto de regras e standards”. Além disso, afirma que a SIBS desenvolveu ao longo dos anos uma infraestrutura criptográfica que gere um conjunto de chaves que gere essa informação”. 

De forma a garantir a segurança dos sistemas, a SIBS tem processos de revisão constante. “Há coisas que podem passar ao lado”, pelo que “é preciso uma constante revisão das linhas de código”. As próprias revisões “têm de ter checklists” para garantir que o código está de acordo. “Neste compromisso, tenta-se encontrar o equilíbrio”, reflete.

Filipe Mealha refere que os SPMS têm muito legados e “temos de ter muito cuidados nesses sistemas. A saúde tem uma necessidade muito grande de transacionar dados e temos de ter mecanismos eficientes de transação de dados”. No campo dos desafios reflete, mais uma vez, acerca da importância de os desafios serem resolvidos a nível organizacional, com várias equipas a trabalharem juntas".

“Tem de haver uma cultura organizacional e as pessoas têm de estar sensíveis para minimizar os riscos. Boas dinâmicas organizacionais e apostar na formação contínua das pessoas resolve muitos problemas”, conclui. Mais, o representante da Feedzai assegura que o “equilíbrio no âmbito da segurança é das coisas mais difíceis de assegurar”. 

Prevenção, sensibilização e confiança são algumas das palavras de maior destaque na mesa-redonda que deu início à tarde do segundo dia da C-Days. Segue, esta quarta-feira, o terceiro e último dia da conferência do CNCS. 

A IT Security é Media Partner do C-Days 2022