Estado da Nação: Como vai a cibersegurança em Portugal?

É inegável que a cibersegurança é uma necessidade para todas as organizações, seja de que tamanho forem. Essa perceção tem crescido nos últimos anos, muito por causa dos ciberataques que ocorreram junto de grandes empresas no início de 2022 e que trouxeram para a perceção pública de que um problema de cibersegurança pode acontecer a todos.

Nesta mesa-redonda, os 11 participantes – representantes de algumas das principais empresas prestadoras de serviços e produtos de cibersegurança – mencionam que as organizações nacionais ainda têm um caminho a percorrer, mas que têm estado a ganhar terreno em comparação com as suas congéneres europeias.

Comparando Portugal com outros países europeus, como está o contexto da cibersegurança?

	“A regulação que tem estado a surgir tem sido particularmente importante, principalmente para motivar as empresas” João Manso, Redshift:

João Manso, CEO, Redshift: “Portugal tem feito um esforço muito grande. Olhando para a Europa, a nossa visão é de que Portugal está a recuperar terreno em algumas áreas de alguns setores, principalmente na indústria, nas telecomunicações, na banca e nos seguros. Em Espanha, por exemplo, as PME estão muitíssimo pior do que Portugal, mas se olharmos para o setor do governo, do Estado, Portugal ainda continua muito atrás em relação à grande maioria dos países, especialmente comparativamente aos do norte da Europa”

Paulo Vieira, Country Manager, Palo Alto Networks: “A maturidade subiu bastante no ano passado com os problemas todos de cibersegurança que o país sofreu. O mercado mais pequeno começou a notar e a sentir que tem de investir e dar um passo no sentido certo, mas ainda temos um caminho longo para fazer. Julgo que toda esta componente de leis ajuda a ter esta perceção do que é que é a cibersegurança e a sua necessidade. Acho que demos passos muito grandes em 2022 e continuamos a dá-los em 2023”

Pedro Leite, Chief Operating Officer, S21sec: “O investimento em cibersegurança durante 2023 rondará os 219 mil milhões de dólares, um aumento de 12,1% em relação a 2022 e também se prevê um aumento em Portugal à volta dos 10%. O país, em termos de investimento, está a acompanhar o investimento a nível europeu, mas também tem aqui um caminho para recuperar. Também verificamos que a perceção de risco aumentou em relação a 2022; as empresas, face aos incidentes que tivemos, têm mais noção de que isto também as pode afetar”

Paulo Rio, Network and Security Consulting, HPE Aruba Networking: “Há um forte investimento feito pelas organizações portuguesas nos últimos anos; depende da fonte que consultemos, mas estamos a falar de 150 milhões em Portugal que representará o mercado de cibersegurança. Há quem fale que, em dois ou três anos, esse número possa chegar ou ultrapassar os 300 milhões, o que é um reflexo de que as organizações estão a fazer um esforço e um investimento contínuo e progressivo na área”

Luiz Barria, Industrial Cybersecurity Evangelist, Blue Chip: “Quando falamos de Portugal em matéria de cibersegurança, é preciso ter em consideração três competências: regulatória, tecnológica e pessoas. Quando falamos de regulamentação, Portugal tem-se destacado e vemos isso nos últimos dois anos onde Portugal definiu a sua matéria de ciberespaço. Dentro de um relatório que saiu em 2021, Portugal – entre 182 países – saiu do seu 28.º lugar e foi para 14.º, ou seja, destacou-se na questão de regulamentação”

Como sentem a maturidade das organizações e das empresas portuguesas?

“Acredito que o próximo mindset em termos de decisões nesta área é ser capaz de não optar pela componente de produto as is, mas ser capaz de adotar modelos de governação” Bruno Castro, VisionWare

Bruno Castro, Founder & CEO, VisionWare: “Houve um boost dado pela pandemia que veio dar uma alteração completamente drástica a este mundo cibernético e o que temos vindo a ver são os mesmos tipos de ataque com morfologias diferentes; são as mesmas usurpações de identidade através de roubo de credenciais, por exemplo. Cada vez mais vejo a camada de gestão a querer saber, a estar envolvida, a conhecer os riscos, as opções em cima da mesa e, quando estamos em cenários de desastre, estarem envolvidos diretamente na sala de crise”

Pedro Boavida, Diretor Técnico, Securnet: “Sentimos que tem havido uma grande evolução na maturidade das organizações portuguesas; há uma maior consciência e perceção e já passámos a fase de que os problemas só acontecem aos outros. Por outro lado, os ciberincidentes são reconhecidos como um dos maiores riscos para o negócio. Há também uma maior capacitação por parte das organizações, seja por via dos imperativos legais ou até por relações com parceiros de negócio onde surgem exigências de conformidade”

João Ferro, SOC and Cybersecurity Specialist, Noesis: “Antes, se calhar, passávamos um bocadinho entre os pingos da chuva, mas hoje, como os ataques são mais transversais, estamos no epicentro do furacão. Em termos de impacto, já estamos com uma média extremamente alta em comparação com o que acontece no resto da Europa e isto é preocupante. Por outro lado, segundo um estudo do Eurostat, Portugal encontra-se em quarto lugar em termos da utilização de documentação e processos e utilização de boas práticas, o que é bom, mas valem o que valem”

Quais são as novas tecnologias que estão a ser mais procuradas pelas organizações nacionais? Em 2023, qual sentem que é o tipo de produto que as empresas portuguesas mais investem?

Bernardete Carvalho, Territory Account Manager, Sophos: “É preciso perceber o contexto e voltar um bocadinho atrás. Foi muito importante a transformação digital que veio possibilitar aos utilizadores ter dinâmica, mas que traz a necessidade de assegurar os múltiplos acessos e recorrer a inúmeras ferramentas. Sabemos que o contexto atual – a complexidade das ameaças, escassez de recursos e know-how – obriga a uma abordagem à cibersegurança como um serviço que são especializadas por equipas com resposta 24/7”

“Neste momento, já não estamos a falar de cibersegurança numa realidade distante (...) que está confinado à bolha da TI” Vasco Sousa, Arcserve

Vasco Sousa, Channel Account Manager, Arcserve: “As tecnologias visam responder a necessidades. Na minha componente – preservação dos dados –, a potencial perda de dados pode ser causada por atores externos e internos à organização. Vejo uma tecnologia que tem vindo a ser adotada em vários segmentos de mercado, uma busca por soluções de backup ou proteção de dados em plataformas SaaS, ferramentas que façam backup a dados como o 365 ou Salesforce, que há três anos eram raríssimas as organizações que se preocupavam com esses dados”

Luís Martins, VP Managing Director Portugal, Cipher: “O futuro será híbrido. Vai haver procura por novas soluções e produtos e, também, pelos serviços. Não há balas de prata que resolvem todos os problemas e não há soluções mágicas para endereçar todos os problemas que existem. Há é um conjunto – pessoas, tecnologias e processos – que podem ajudar a endereçar todas estas situações. Acredito que o mercado vai evoluir no sentido de procurar quer serviços, quer produtos que possam ajudar a colmatar vulnerabilidades”

	“O produto mais procurado é o ‘brainware’ para fazer funcionar corretamente toda esta tecnologia em que as empresas têm investido” Pedro Boavida, Securnet

Pedro Boavida, Securnet: “Podemos falar do EDR, XDR e muitas outras tecnologias, mas começam por ser, apenas, mais uma e depois vão sendo consolidadas no contexto das organizações. O produto mais procurado é o ‘brainware’ para fazer funcionar corretamente toda esta tecnologia em que as empresas têm investido. Na maior parte das vezes, a nossa relação com os clientes começa depois da venda”

Bruno Castro, VisionWare: “Acredito que o próximo mindset em termos de decisões nesta área é ser capaz de não optar pela componente de produto as is, mas ser capaz de adotar modelos de governação de segurança multidisciplinares que envolvem tecnologia e soluções, mas também a parte de compliance e privacidade. Outras abordagens numa visão 360º que, aí sim, se avalie uma solução de EDR ou firewalls como também se avalia a definição de procedimentos ou até planos de recuperação de desastres”

“O tempo médio de um ataque de ransomware passou de dois meses para quatro meses, o que mostra a sofisticação desses ataques” Pedro Leite, S21sec

Pedro Leite, S21sec: “Sabemos que a maior debilidade do ponto de vista de segurança é o erro humano. Em função disso, há um denominador comum: há um investimento forte em gestão de identidade e de privilégios. As empresas estão a fazer um forte investimento no que diz respeito à identificação e autorização dos utilizadores. Acompanhado com isto, e devido à debilidade que os utilizadores têm, também sentimos que na parte de endpoint há uma procura muito grande de soluções como EDR porque é um dos principais vetores de ataque”

A União Europeia tem lançado, nos últimos meses, várias regulamentações que impactam a cibersegurança e ciber-resiliência das organizações. Como é que as empresas se estão a adaptar a estas diretivas? As organizações portuguesas estão a caminhar o compliance? Em que ponto, de um modo geral, é que estão?

Pedro Boavida, Securnet: “Existem imperativos legais, transposições de diretivas ou até outras obrigações regulamentares específicas do setor de atividade que acabam por colocar as organizações no caminho da conformidade. Para além das organizações que têm de se alinhar com estes imperativos legais, existem outras que voluntariamente querem estar neste caminho. Isto tudo é positivo; por um lado a sofisticação e a complexidade dos ataques aumentou muito a zona de perigo e estas obrigações legais ajudam, de certa forma, a reduzi-la”

Luiz Barria, Blue Chip: “Podemos fazer uma distinção entre o que é a cibersegurança e a ciber-resiliência. Dentro das regulamentações que têm de saído, podemos dizer que as empresas estão a reagir para isso, têm feito investimentos a nível processual – como políticas – para gerar evidências para auditorias internas e externas. As empresas estão a rever as suas políticas e estão mais ativas nesse ponto, para além de ter investido na aquisição de sistemas, de tecnologia”

	“A escassez de talento é algo sentido de forma transversal, não apenas a nível nacional, mas a nível mundial. Não é um tema exclusivo nosso” Luís Martins, Cipher

Luís Martins, Cipher: “No aspeto das regulamentações, estamos a seguir um caminho, mas onde temos claramente dificuldades de chegar ao universo de pequenas e médias empresas que acabam por constituir a maior parte de organizações empresariais no país. A regulamentação é necessária, é positiva, traz uma série de mais-valias para as organizações e acredito que as organizações empresariais têm de olhar para estas regulamentações como uma mais-valia para o negócio e não apenas algo que têm de implementar”

João Manso, Redshift: “A regulação que tem estado a surgir tem sido particularmente importante, principalmente para motivar as empresas que são cobertas por essa regulação a terem de fazer investimentos. O envolvimento da camada C tem muito mais a ver com a necessidade de ter resposta e garantir que a sua organização é compliant com a regulação do que ser uma visão objetiva da necessidade de estar a intervencionar a parte mais tecnológica da organização”

A escassez de talento é um problema para qualquer organização, especialmente em cibersegurança. Como se pode combater este problema, sabendo que as organizações têm de continuar a proteger as suas infraestruturas e sistemas?

“Ninguém quer assumir a responsabilidade do impacto de um ciberataque e é importante estarmos todos conscientes” Bernardete Carvalho, Sophos

Luís Martins, Cipher: “A escassez de talento é algo sentido de forma transversal, não apenas a nível nacional, mas a nível mundial. Não é um tema exclusivo nosso. No nosso contexto específico, e porque temos pessoas muito talentosas, acaba por haver um ataque – se assim se pode chamar – de outras entidades fora do nosso país aos nossos talentos onde, do ponto de vista salarial, têm outras condições que não existem em Portugal. A pandemia trouxe a aceleração da transformação digital e de pudermos trabalhar a partir de casa remotamente para outras geografias”

João Ferro, Noesis: “É de louvar e enfatizar que os profissionais portugueses na área de IT são reconhecidos a nível mundial e não menos os da área de cibersegurança. Este é um tema sensível e tem sido menos aligeirado pelo facto de se poder trabalhar remotamente que pode trazer benefícios de se conseguir fazer o onboard de pessoas que não estão só nos meios urbanos, mas também existem mais ofertas lá de fora, se calhar a ganhar outro tipo de vencimentos; acaba por ser um pau de dois bicos”

Bernardete Carvalho, Sophos: “A escassez de talento é uma preocupação e é transversal a todas as áreas, mas na cibersegurança é, realmente, um chavão. É importante perceber que esta escassez de recursos também é uma questão de custo e o tempo que pode levar a formar e capacitar o recurso. No contexto atual, os serviços geridos são a única forma de garantir alguma eficácia para gerir as ameaças mais complexas”

	“Estamos a ver o roubo de credenciais a ser o vetor normal para entrar para as infraestruturas dos clientes” Paulo Vieira, Palo Alto Networks

Paulo Vieira, Palo Alto Networks: “No mercado onde trabalhamos vivemos um momento onde as empresas geram cada vez mais alertas, mais logs, com mais equipamentos a levar alertas para um único sítio. Um cliente que tenha dez mil logs diários hoje e amanhã tenha 20 mil, não vai passar de uma pessoa para duas; não funciona. A resposta é, cada vez mais, ter tecnologia que, de facto, consiga fazer essa triagem e análise e transformar alertas em incidentes e depois começar a utilizar automação, que vai ser a resposta para resolver esta escassez”

Paulo Rio, HPE Aruba Networking: “A falta de recursos pode ocorrer de uma forma literal de falta de recursos humanos e de competências desses recursos humanos, mas também na fadiga das equipas de operação que trabalham na análise dos dados. Depois, há a necessidade de ter uma resposta aos incidentes – quer na deteção quer na recuperação – que, mais uma vez, vai exigir recursos. A caracterização da falta de talentos desconstrói-se numa série de outras dificuldades. A automação e a orquestração têm um papel importante para aliviar as tarefas de forma parcial ou até total”

Como estão a evoluir as ciberameaças e como é que as organizações portuguesas estão a fazer frente às mesmas?

Pedro Leite, S21sec: “O relatório de 2023 de riscos e conflitos traduz bem o que se passou em 2022 na componente das ameaças. O que diz o relatório é que os incidentes de segurança continuam a aumentar. As ciberameaças que estão a afetar o contexto nacional são muito idênticas ao que temos tido nos anos anteriores, como ransomware, phishing e burla online. Se olharmos para o relatório da IBM, o tempo médio de um ataque de ransomware passou de dois meses para quatro meses, o que mostra a sofisticação desses ataques”

Paulo Vieira, Palo Alto Networks: “Os ataques estão cada vez mais complexos e os atacantes estão cada vez mais estruturados. Estamos a ver o roubo de credenciais a ser o vetor normal para entrar para as infraestruturas dos clientes. As tecnologias têm de conseguir acompanhar este caminho porque temos de ser capazes de detetar que aquele email não é da Cláudia dos recursos humanos, mas é alguém a fazer-se passar pela Cláudia dos recursos humanos”

“Há a necessidade de ter uma resposta aos incidentes – quer na deteção quer na recuperação – que, mais uma vez, vai exigir recursos” Paulo Rio, HPE Aruba Networking

Paulo Rio, HPE Aruba Networking: “O número de incidentes é alarmante, mas o relatório do CNCS aponta que o número de incidentes reportados são mais de dois mil; o número de incidentes observados foram mais de 70 milhões. Obviamente que desses 70 milhões existem os incidentes que têm um impacto direto na disponibilidade. Mais alarmante é que a linha continua a ser crescente. Estamos muito longe de atingir o plateau; a defesa e o ataque não estão equilibrados. A defesa tem de fazer um trabalho maior do lado das organizações, dos fabricantes, dos integradores e dos reguladores”

João Manso, Redshift: “O problema que temos em Portugal é que parece que há um excesso de investimento em tecnologia, mas há lacunas na tecnologia. Queixamo-nos que não temos recursos, mas não valorizamos os recursos. Um exemplo: se tivermos de fazer manutenção num carro, não temos problema em pagar 50, 80, cem euros por hora ao técnico, mas, quando falamos de cibersegurança e se pedem 50, 60 por hora é muito, um exagero. Não se valoriza a necessidade e capacidade dos recursos. No lado da tecnologia, existe tecnologia a mais e mal implementada; compra-se tecnologia para resolver problemas sem se avaliar se aquela tecnologia é adequada às necessidades da organização”

Vasco Sousa, Arcserve: “O ransomware já cá está há bastante tempo e continua na linha da frente das ameaças. Vejo uma sensibilização cada vez maior para manter os dados protegidos. Os dados das organizações, em primeiro lugar, têm de estar seguros e, só depois, é que devem estar acessíveis. Isto passa por uma abordagem onde todos contribuímos para este objetivo final. Não se consegue ter uma abordagem de cibersegurança sem ferramentas, mas obviamente que isto tem de ser complementado com processos, com serviços e com formação e de forma contínua”

	“É de louvar e enfatizar que os profissionais portugueses na área de IT são reconhecidos a nível mundial e não menos os da área de cibersegurança” João Ferro, Noesis

João Ferro, Noesis: “O paradoxo da cibersegurança está assente num racional que está invertido, em que o retorno e o investimento são muito díspares. Um custo de efetuar um ataque é irrisório em comparação com o custo para uma empresa tem de fazer em prevenção, que pode chegar às centenas de milhares de euros. Isto também contribui para haver cada vez mais atacantes e curiosos a experimentar. O cibercrime já vale mais do que o PIB da Suíça, por exemplo, e é uma área bastante aliciante com cada vez mais adeptos”

A cibersegurança é, hoje, um tema na mesa da administração? Como tem estado a evoluir o envolvimento da administração na cibersegurança?

Vasco Sousa, Arcserve: “Há uns anos não era assim e temos consciência disso. Neste momento, já não estamos a falar de cibersegurança numa realidade distante que se ouve falar dos fóruns de cibersegurança, que está confinado à bolha da TI. Todas as organizações já sofreram com o tema da cibersegurança. Mesmo nós, enquanto cidadãos, já sofremos com isso de forma direta ou indireta. Uma administração sabe que isto é uma realidade e a determinada altura – mais cedo ou mais tarde – vai recorrer ao departamento de TI e fazer a questão ‘o que temos de fazer para que isto não aconteça ou que tenha o mínimo impacto’”

Bernardete Carvalho, Sophos: “A administração parece consciente da complexidade da cibersegurança, mas existe a necessidade de melhoria do investimento. Todo este contexto trouxe uma consciencialização crescente para se fazer uma nova abordagem à cibersegurança ou haver a necessidade para a revisão da estratégia e ser muito focada. Ninguém quer assumir a responsabilidade do impacto de um ciberataque e é importante estarmos todos conscientes e que a administração também esteja”

“As empresas estão a rever as suas políticas e estão mais ativas nesse ponto, para além de ter investido na aquisição de sistemas, de tecnologia” Luiz Barria, Blue Chip

Luiz Barria, Blue Chip: “Podemos dizer que a administração precisa de conhecer aquilo que está ao seu redor, as pressões externas dos ataques e ameaças que aumentam cada vez mais. Quando a administração toma conhecimento disso e tenta antecipar, coloca a cibersegurança num radar que se chama gestão de risco e começa-se a preparar para eventuais situações. Essa preparação não é apenas para não acontecer; é em caso de acontecer. O aumento e a rapidez das ameaças fazem com que a cibersegurança tenha de estar no mapa da gestão de risco”

Bruno Castro, VisionWare: “O mindset mudou um bocadinho. Há alguma literacia digital, nomeadamente no que envolve a cibersegurança na camada C. Já não se olha para a cibersegurança como um custo, olha-se como um investimento. Ainda vejo pontualmente alguma frustração de se fazerem grandes investimentos e serem vítimas de ciberataque; depois é preciso justificar esse investimento e como é que se sofreu um ciberataque. Vejo, também, ao nível da governação o top management a estar envolvido”