“É preciso olhar para as organizações e perceber se a segurança está na mente da maioria dos colaboradores”

Como vê o cenário de ciberameaças a evoluir atualmente contra a banca portuguesa de uma forma geral?

Quero deixar a nota que o que vou partilhar são opiniões minhas e nenhuma destas opiniões obriga o Banco CTT em relação ao que quer que seja. Tentarei ser o mais transparente possível sobre aquilo que puder partilhar.

É interessante estarmos a falar sobre isso agora porque recentemente a Associação Portuguesa de Bancos lançou uma campanha junto dos media por existirem cada vez mais situações de fraude na utilização de meios de pagamento, nomeadamente cartões e na forma de pagamento digital que todos usamos.

Atualmente, vemos a banca nacional – e o Banco CTT não deixa de estar dentro dessa indústria – a ser muito afetada por situações de envios de SMS com links para tentar dirigir as pessoas para sites de phishing, onde tentam imitar os sites de cada banco para que seja possível, depois, recolher as credenciais desses utilizadores e, na sequência e conseguindo entrar dentro dos canais digitais, conseguir usar alguma da informação que possa lá estar para se fazerem passar pelo próprio banco e, com isso, levá-los a dar informações importantes, nomeadamente códigos de transação para levar o cliente a ceder parte do seu saldo para o ator malicioso.

Estamos a ver cada vez mais situações de smishing, seguidas de ataques de vishing, em que o ator malicioso já tem claramente o conhecimento sobre o tipo de transações que o cliente já fez ou que faz, porventura o número de telefone e associar que aquele clique daquele link daquele SMS está associado com o email e com o telemóvel.

Existe alguma coisa que os bancos, de uma forma geral, possam fazer junto dos utilizadores ou é apenas uma questão de consciencialização?

O Banco CTT assume publicamente com os seus clientes de que, por exemplo, não enviamos links dentro de SMS. É importante que os clientes e quem recebe este tipo de comunicações – seja de banca ou de outro sistema – duvide sempre do que estão a receber. Depois, é preciso terem atenção – e isto é a parte complicada – ao sentido de urgência que estes pedidos trazem; normalmente isto não acontece e os bancos e as outras instituições não enviam SMS para serem resolvidos naquele dia.

Tanto por SMS como por emails, a lógica tem de ser sempre a mesma. Na dúvida, nunca aceitar e desconfiar, não fazer nada. Quando estamos a falar de bancos, e na dúvida, deve-se telefonar para o banco e dizer que se recebeu determinado SMS ou email e perguntar se foram eles que enviaram.

Do ponto de vista do que é que a banca pode fazer, todos tentam ter a capacidade de identificar este tipo de situações antes de se tornarem massificadas, tentam identificar sites de phishing, tentam identificar a geração de certificados e de domínios que, de alguma maneira, imitam aquilo que é a imagem de cada instituição bancária, tentam ter a capacidade de, junto de entidades especializadas, fazer o take-down desses sites de forma preventiva para evitar ao máximo que existam este tipo de ataques tenham sucesso junto dos clientes.

De uma forma transversal a todo o tecido empresarial, como é que se justificam os orçamentos de cibersegurança perante o conselho de administração?

Tenho a sorte de trabalhar numa instituição financeira e reconheço que quem trabalha na área de segurança ou cibersegurança numa instituição financeira tem alguma capacidade de influenciar o conselho de administração e as comissões executivas, exatamente pelo facto de termos um regulador tão forte e tão ativo na prevenção deste tipo de situações. A existência deste regulador é muito importante para não só regularizar a indústria, mas também para a ajudar a se proteger contra este tipo de soluções. Não estou a dizer que as instituições financeiras só atuam porque o regulador os obriga, mas sim que o facto de existir esse regulador também torna mais fácil demonstrar aos nossos administradores e conselhos de administração a urgência de implementar um determinado controlo de segurança.

De um ponto de vista global, diria que o ideal é fazer uma análise de risco e, com essa análise de risco, demonstrar o nível e o número de ameaças que vamos conseguir reduzir ao fazer aquele investimento de segurança.

Cada vez mais não é só tecnologia, mas sim investir nas pessoas, na sua formação e dos colaboradores como um todo, garantir processos que estão atualizados e seguem as melhores práticas. Tentarmos que as organizações sigam uma framework, ou seja, mesmo que não seja tentar implementar uma ISO 27001 e ter uma certificação que, se calhar, pode ser overwhelming para a maioria das organizações, mas tentar seguir uma destas frameworks como orientação para justificar algum destes tipos de investimentos, sempre numa lógica de perceber qual o risco, os impactos que esses riscos podem ter na minha organização, para tentar mitigar primeiro.

Fazendo essa análise e seguindo esse caminho parece-me ser sempre o melhor, até porque os conselhos de administração estão habituados a trabalhar com risco. Usando essa mesma metodologia, mas aplicada à cibersegurança – e tenho tido essa experiência e daquilo que falo com outros responsáveis de segurança – é a melhor abordagem para justificar investimentos e aquilo que são as urgências de cada direção de cibersegurança vai ter dentro de cada organização.

Como última nota, devemos tentar evitar sempre criar medo; fazer algo porque existe um medo de que algo acontece não parece ser a melhor solução. Pode resultar uma ou duas vezes, mas depois vamos sempre nesse caminho e não há a noção de existir um perigo de facto iminente, o que acaba por ser contranatura e atuar contra nós próprios no futuro e não nos permitirá seguir um caminho que seja definido com a própria administração.

Como é que se pode medir o ROI de investimentos em segurança que, por natureza, previnem eventos que podem nunca acontecer?

Existe uma aproximação que é uma derivada do ROI, que é o ROSI – Return On Security Investment – que tem em linha de conta o custo do incidente de segurança. Se tiver uma expectativa de quanto é que aquele incidente pode custar para a minha organização, mais facilmente consigo calcular esse ROSI. Ou seja, a forma como devemos atuar é olhar para o que é me pode trazer em termos de redução de impacto, de custo, por acontecer alguma situação menos interessante.

Outra abordagem é o que é que isso me pode dar a ganhar em termos de negócio, ou seja, a segurança também pode e deve ser utilizada como uma vantagem competitiva das organizações. Uma organização que consiga, com a implementação de um determinado controlo ou mecanismo, aumentar as suas vendas, pode também utilizar esse valor para mais facilmente calcular o retorno no investimento. Acho que essa seria a abordagem mais interessante porque é aquela mais palpável, a que se diz que, fazendo isto, vou ganhar ‘x’ ao fim de um determinado tempo.

Felizmente estou numa casa onde isso ainda não aconteceu pelo menos a grande escala ou escala minimamente palpável, mas todos passaremos por um ataque de maior escala e maior impacto. Quem passa por este tipo de situações consegue muito mais facilmente perceber o que é que perdeu. Nessas situações é mais fácil mostrar e identificar os custos que a organização teve.

Como é que se podem avaliar os ciber-riscos de fornecedores críticos?

Esse é um dos temas mais críticos que as organizações têm. A NIS2 já traz esse tipo de abordagem e acho que é muito interessante a forma como está definido. A DORA, concretamente para o setor financeiro, é muito verboso, por assim dizer, nesta componente de garantir que conseguimos gerir os nossos fornecedores, nomeadamente críticos, perceber o que pode acontecer e tentar criar cenários o que pode acontecer à nossa organização na iminência de algo acontecer a esses fornecedores. Essa é uma forma de garantir algum cumprimento desta regulamentação, de olhar para os mesmos e podermos fazer algum nível de avaliação.

Depois, há vários níveis que podemos implementar dessa avaliação. Pode ser uma avaliação quase self-assessment, em que pedimos a esse fornecedor para dizer como é que está, como é que implementa um conjunto de controlos a um determinado tipo de preocupações, como é que trata os dados que passamos e que damos dos nossos clientes, colaboradores ou negócio. Com esse assessment também podemos fazer algum check do próprio assessment. Sem entrarmos tecnicamente nas organizações, muitas vezes conseguimos – olhando para aquilo que são as respostas aos assessments – perceber se aquilo que vemos em termos de superfície de ataque externa faz match com aquilo que responderam.

Uma das soluções que podemos utilizar são aqueles mecanismos e soluções de security rating que fazem exatamente isso, onde elas próprias já estão a ver a superfície de ataque externo das organizações e dão esses ratings, inclusive informação para saber onde é que podem estar mais vulneráveis. Olhando para isso, podemos ver também se as respostas que nos deram batem certo com aquilo que também é visto externamente e de forma pública por essas organizações.

Entrando nos críticos, começa a fazer sentido que possa existir um assessment já não só baseado naquilo que são as respostas, mas também olhando para aquilo que são políticas, processos e procedimentos que essas organizações têm implementado. Pedirmos informação sobre testes de intrusão sobre análises de vulnerabilidades para podermos também ver qual é que é o espectro de proteção e de vulnerabilidade que podem ter nas suas infraestruturas.

Em última análise, o que acontece nomeadamente nos fornecedores mais críticos, é termos em contrato a capacidade de nós próprios podermos fazer testes de intrusão ou solicitar testes de intrusão a um prestador de serviços independente para fazer esses testes.

Olhando para os relatórios percebemos qual é o estado da segurança desses parceiros, mas estamos sempre a olhar para fotografias, estamos sempre a olhar para hoje está assim e amanhã pode ter acontecido alguma coisa.

Que indicador se pode utilizar para medir a maturidade de cibersegurança das organizações?

Não é fácil criar ou ter um indicador. Podemos falar naquilo que vemos e que referi, das soluções das plataformas de ratings de segurança. Isso parece-me ser um indicador suficientemente razoável e já comummente aceite pela maioria das organizações que já olha de forma consciente e consistente para o tema da cibersegurança.

Deveríamos tentar criar condições, dentro da comunidade e dentro daquilo que é uma qualquer best practice, para identificar o número de incidentes, o tempo que demoraram a responder a esses incidentes, as pessoas com know-how dentro da organização que respondem aos temas da cibersegurança, o próprio investimento e o orçamento que podem aplicar. Acho que todo este número e todos estes valores poderiam ser usados para chegarmos a um conjunto de indicadores que nos levam a identificar a maturidade daquela organização perante a cibersegurança.

Obviamente que isto não é nada fácil porque nenhuma organização quer partilhar com os outros – sejam concorrentes ou com o resto – as suas fragilidades. Todos temos fragilidades e vulnerabilidades. Numa organização média ou grande, quem diz que não tem centenas de milhares de vulnerabilidades para gerir constantemente está a mentir porque é normalíssimo isso acontecer.

Priorizar, definir a criticidade dessas vulnerabilidades, os ativos onde elas existem, isso sim é o trabalho mais importante que temos de realizar e, dessa forma, conseguirmos muito mais facilmente irmos reduzindo as vulnerabilidades ou, pelo menos, ir eliminando aquelas que podem criar um problema para a organização.

Tipicamente, a banca tem uma série de regulamentações que impactam sua a atividade. Com a introdução de diretivas, como a DORA e a NIS2, quais são as dificuldades específicas da cibersegurança neste campo?

Muitas vezes tem a ver com o próprio entendimento interno que as várias áreas dentro de uma organização têm de ter. A segurança de informação não termina dentro da direção destes temas. A segurança de informação, tal como a proteção de dados, impacta todas as áreas dentro de uma organização.

Se toda a organização tiver essa consciência, será sempre mais fácil. Não é pela direção de cibersegurança implementar um conjunto de controlos, definir um conjunto de políticas e regras para a sua atuação que responde a 100% a este tipo de regulamentação, a este tipo de normas, a este tipo de políticas que nos são trazidas, vindas tanto do regulador como do legislador nacional e internacional.

Se tivermos esse nível de perceção em que a grande maioria das áreas serão impactadas, o que importa é ter claro de que não é porque eu – responsável de cibersegurança – me preocupei com a minha quinta, com o meu silo, que respondo diretamente a tudo aquilo que vem destas diretivas e destes regulamentos tem de ser um objetivo comum dentro da organização.

Acho que estamos a caminhar nesse sentido. Acho que a maioria das organizações e nomeadamente estas que são impactadas – seja pela DORA, nas instituições financeiras, seja na NIS2, em grande parte das médias e grandes empresas em Portugal – perceberem que pode haver um interlocutor comum, que pode haver uma voz que marca o ritmo, quase como se estivéssemos numa banda, mas depois tem de haver solistas e intérpretes em cada uma das direções que respondam também às necessidades que são identificadas, seja pelo regulamento, seja por quem está a liderar a implementação desses regulamentos.

Abordando o tema do talento em cibersegurança, que perfis se procuram agora que há três ou cinco anos não se procuravam?

É um tema cada vez mais premente, embora exista aqui um bocado a expectativa – não necessariamente que seja a minha opinião muito forte, mas não deixo também de ter alguma afinidade com a mesma – de que a inteligência artificial vem resolver alguns dos nossos problemas. Pessoalmente, não acho que vem resolver os nossos problemas de falta de skills e falta de pessoas; acho que vem acelerar algumas das tarefas que ainda são realizados por seres humanos para que seja mais fácil atuar e reagir a situações não expectáveis.

Diria que os principais perfis que estaremos agora a olhar que antigamente não olhávamos tem a ver muito com aquilo que é a preocupação das próprias organizações de cada vez mais gerir identidades e governar essas mesmas identidades dentro das organizações, sejam elas humanas ou não humanas.

Esta capacidade de trabalhar com plataformas de governo de identidades é cada vez mais premente no mercado. Há cada vez mais organizações a implementar este tipo de soluções. Há coisa de quatro ou cinco anos, nas organizações fora das instituições financeiras, de saúde e telecomunicações, não víamos tanto esta necessidade de definir corretamente os perfis, trabalhar com plataformas para identificar esses perfis e as permissões que cada perfil deve ter no acesso a quê e a que aplicações, é um dos perfis são requisitados.

Outro tem a ver com a inteligência artificial e a capacidade de construir boas prompts, e um bom prompt não pode ser apenas um prompt builder ou um prompt engineer, como agora se fala. No caso da segurança, têm de ser pessoas com experiência sobre o que é que é preciso perguntar, quais é que são os campos e qual é que é o tipo de informação e de eventos que quero, de facto, relacionar e pedir àquele meu motor, àquela minha inteligência artificial que, pegando naquela informação, me construa um caso de uso que me permita, depois, mais facilmente detetar alguma ofensa ou algum tipo de incidente contra a minha organização.

Diria que são o tipo de perfis que temos mais necessidade, até porque com o advento da inteligência artificial – não falo tanto da generativa, mas sim, fundamentalmente, da preditiva, do machine learning – temos de cada vez mais caminhar para uma situação em que deixamos de ter tantos analistas de segurança e vamos passar a ter engenheiros de seguranças, pessoas que estão preocupadas com o detalhe e não com a maioria da informação que recebem, que estão preocupadas a identificar uma alteração num determinado comportamento e com essa alteração dizer que esta alteração de comportamento aqui pode significar algo diferente que está a acontecer na minha organização. A inteligência artificial é muito boa a identificar esses outliers; o que ainda não é boa é, pegando nesse outlier, o que é que vou fazer com ele, o que é que vou procurar para perceber se aquele outlier corresponde a um ataque, a uma má utilização de uma tecnologia ou a uma utilização normal que acontece esporadicamente dentro da organização, mas nunca tinha sido catalogada como sendo uma utilização normal.

Essa capacidade tem de ser muito ao nível deste tipo de perfis muito específicos, com muito conhecimento. Tenho algum receio que o facto de cada vez mais caminharmos para um mundo, entre aspas, onde não existem analistas de segurança, ou onde estes analistas foram sendo substituídos pelos mecanismos de inteligência artificial, nos possam dificultar o aparecimento de engenheiros de segurança que já tenham experiência e conhecimento suficiente para, ao depararem-se com uma situação menos normal, chegar a uma conclusão que pode ajudar uma organização a defender-se perante um ataque.

Que conselhos deixa a outros CISO ou diretores de cibersegurança das organizações?

Acho que há três ou quatro conselhos que podem e devem ser passados e era aqueles que eu, porventura, mais gostaria também de ir ouvindo e de ir recebendo, porque acho que têm muito a ver com o nosso trabalho do dia a dia.

É preciso olhar para dentro, olhar para nós, para as organizações, perceber se a cultura das organizações é uma cultura onde a segurança está no top of mind da maioria dos colaboradores. Isso é muito importante. Conseguirmos chegar a esse tipo de objetivo onde a esmagadora maioria dos colaboradores cumpre um conjunto de regras de higiene de segurança bastante básicas todos os dias vai limitar bastante o tipo de situações graves que podem ocorrer à organização, e isso é muito importante. Dentro deste conselho, olhar para aqueles que não o cumprem, ou seja, garantir que conseguimos identificar os comportamentos menos bons, que conseguimos perceber de que forma é que esses colaboradores podem e devem ser formados. Acho que é um ponto cada vez mais importante dentro das organizações, que é não olhar apenas para o awareness segurança como mais um tick in the box num conjunto de objetivos de formação que as organizações têm; é muito mais do que isso. Também é, mas não é só formação, é educação.

Outro ponto crítico é não achar que a tecnologia e a implementação de mais tecnologia, de mais controlos, resolve os meus problemas. Não faz sentido implementar a tecnologia e controlos se não tivermos capacidade de monitorizar, se não tivermos capacidade de, perante um alerta, perante uma situação menos normal, não ter a capacidade de ir perceber o que está a acontecer. Não é isso que me vai ajudar. Sim, posso comprar a tecnologia que me dá esses alertas e que ela própria também atua e tem algum nível de automação, mas temos de estar perfeitamente conscientes do que está a acontecer, quais é que são as consequências de não olharmos para aquela informação.

Como último ponto tem a ver com aquilo que falámos no início: tentar identificar os riscos, tentar perceber se aqueles riscos podem ter um impacto grande nas nossas organizações e, com base nesses riscos, justificar orçamentos, a aquisição de soluções, a contratação de serviços, a entrada de mais pessoas para a organização para ajudar a mitigar aqueles riscos.

Acho que é cada vez mais importante tanto fazer este Risk Based Approach em tudo aquilo que fazemos, seja no nosso dia-a-dia, seja nos pedidos adicionais que fazemos aos conselhos de administração. Diria que é um dos melhores conselhos que posso dar.

Não devemos muitas vezes ir atrás – e é difícil às vezes – dos vendedores, dos fabricantes. Todos eles querem vender, todos nós temos clientes e queremos vender mais e queremos ter mais revenue, sem dúvida nenhuma, mas às vezes é preciso parar um bocado e perceber se faz sentido tomar o meu caminho, ou se faz sentido perceber que é preciso a tecnologia ‘x’ para mitigar problemas que tenho na minha organização e escolher o best of breed. Acho que em Portugal, se calhar porque vivemos com recursos financeiros finitos, somos bastante bons a gerir estes temas daquilo que, de facto, precisamos para as nossas organizações.