Estado da Nação: onde está a cibersegurança em Portugal?

Já não há dúvidas: a cibersegurança é uma necessidade de todas as organizações. É preciso olhar para as tecnologias, para os processos e, também, para as pessoas para proteger as organizações numa altura em que os negócios são cada vez mais digitais.

No meio de regulamentação – como a NIS2 e a DORA – ou de tecnologias que chegam cada vez a mais organizações – como a Inteligência Artificial (IA) –, as organizações têm de se adaptar a um cenário de ameaças mais complexo para estarem seguras.

Para uma audiência de mais de 350 leitores, a IT Security organizou uma vez mais – pelo quarto ano consecutivo – o Estado da Nação em Cibersegurança, onde os representantes de seis empresas portuguesas partilharam a sua visão sobre como está a cibersegurança em 2025.

Como é que avaliam a maturidade das organizações portuguesas em cibersegurança comparativamente a outros mercados europeus?

	“É difícil encontrar um gestor de uma empresa que não perceba a importância de investir em cibersegurança e não saiba a sua posição de risco” Bruno Castro, Founder & CEO, VisionWare

Bruno Castro, Founder & CEO, VisionWare: “Antes o investimento em cibersegurança era bizarro; tínhamos de explicar que investir em cibersegurança não era um custo. Hoje já não vejo as coisas assim. É difícil encontrar um gestor de uma empresa que não perceba a importância de investir em cibersegurança e não saiba a sua posição de risco. Sobre o mercado nacional, tivemos os últimos cinco, seis anos em que o cibercrime teve muito impacto no negócio, que se tem tornado cada vez mais digital. A cibersegurança deixou de ser vista um custo e passou a ser um investimento”

David Grave, Security Director, Claranet Portugal: “Temos do melhor que se faz na Europa e no mundo em grandes empresas portuguesas, com uma estratégia de passar ‘debaixo do radar’. São organizações que estão muito seguras e já passaram a realidade de comprar as caixinhas de segurança. Mas isto é 2% do tecido empresarial. Devemos olhar para o que fazem, mas preocupa-me o que fazem as outras 98%. Acredito que exista um número considerável de organizações em que cibersegurança é comprar um antivírus ou uma firewall e nem exista o conceito de governança. Temos, claramente, dois mundos muito diferentes no país”

Elizabeth Alves, Sales Director, Exclusive Networks: “O Global Security Index 2024 posiciona Portugal entre os países mais desenvolvidos nesta matéria. Isto deve-se às políticas que temos e, também, pela capacitação que tem evoluído muito nos últimos anos. Aquilo que vemos é um crescimento de maturidade por parte das empresas nesta matéria. Hoje, encontramos organizações que têm um departamento que só leva a área de cibersegurança. No entanto, temos muitas pequenas e médias empresas. Há maturidade, mas falta a capacidade de implementação à escala certa”

Miguel Azevedo, IT Operations, Cloud & Security Senior Manager, Noesis: “Da nossa experiência em vários mercados, o nível de maturidade nas organizações que têm uma forte dependência do IT é tendencialmente mais elevado. Aquelas que não têm tanto essa dependência, ou até aquelas que não têm um grande impacto das regulamentações, acabam por ter um nível de maturidade mais baixo em cibersegurança”

Qual é o maior gap entre as necessidades reais das organizações portuguesas e as soluções que o mercado está a oferecer?

“Consideramos que há uma narrativa exagerada de que a IA generativa vai substituir as equipas de segurança e de resposta a incidentes. Achamos que isso está muito longe de acontecer, mas está aí e é preciso adaptar” Ricardo Rodrigues, CEO, Balwurk

Ricardo Rodrigues, CEO, Balwurk: “Há uma utilização excessiva da tecnologia e não tanto da cibersegurança aplicada ao negócio. Na gestão de topo existe uma maior maturidade em cibersegurança, mas não nos podemos esquecer que os principais interlocutores não são a gestão de topo. Passamos ainda pelo CISO – que pode ainda não fazer parte do board – e verifica-se, ainda, um gap entre os serviços orientados para o contexto do negócio para a tecnologia que o mercado oferece, mesmo sabendo que os produtos em si são necessários”

Elizabeth Alves, Exclusive Networks: “O maior desfasamento está na forma como a oferta se ajusta à necessidade e operacional das empresas. Vemos empresas a procurar soluções robustas e completas – soluções premium –, mas não querem pagar o valor que elas custam, até porque, por vezes, não têm esse orçamento. O grande tecido empresarial que temos deve estar apoiado, tentar perceber e entender o que é que tem impacto em termos de segurança para a continuidade do negócio da organização. Muitas vezes, as empresas não têm estrutura para realizar isso e precisam de apoio”

Bruno Castro, VisionWare: “Desenhamos as melhores soluções para cada risco em cima da mesa. Tentamos perceber qual é o modelo de negócio do cliente e damos conselhos nesse sentido. As empresas não devem cair na tentação da vacina mágica que é vendida pelos fabricantes e devem avaliar muito bem que aquilo que têm dentro de portas é suficiente ou não para o seu modelo de negócio. Há uma oferta como nunca houve antes, mas grande parte disto é caro e difícil de manter”

Com os orçamentos de cibersegurança sob pressão, que investimentos consideram absolutamente críticos em comparação com um nice to have?

	“Nas organizações, proibir não funciona; fechar não é solução e incentiva a que se faça ao lado e podemos aprender com as lições aprendidas com o shadow IT” Miguel Barreiros, Sales & Marketing Director, Securnet

Miguel Barreiros, Sales & Marketing Director, Securnet: “Se queremos fazer um bom trabalho, temos de fazer de filtro entre aquilo que são os interesses dos fabricantes e as necessidades das empresas. Os investimentos dependem sempre da realidade das organizações. Não há caixas mágicas, de facto. O que podemos dar como conselho aos investimentos sob pressão – e são sempre todos – é começar a conhecerem-se a si próprios. As organizações precisam de conhecer aquilo que têm para poderem agir. Muitas vezes começam a agir sem saber sobre o quê”

Miguel Azevedo, Noesis: “É importante a organização ter a visibilidade dos gaps que tem dentro da sua infraestrutura e fazer sempre um planeamento porque o investimento pode ser curto a dois ou três anos para ter um caminho. Também é importante aumentar a consciencialização dos colaboradores e, depois, toda a parte dos acessos privilegiados porque grande parte dos ataques chega a partir daí”

Bruno Castro, VisionWare: “Por vezes não é possível corrigir vulnerabilidades; temos de arranjar mecanismos alternativos para minimizar o risco dessa falha, até com a prata da casa. O que se aplica são modelos de segurança para minimizar esse impacto. O budget é sempre um tema em cima da mesa – antes era muito pior, e agora é mais permeável a esses investimentos. Não faz sentido pensar em nenhum investimento em cibersegurança sem saber o que é que cada empresa tem. É importante cada vez mais sistemas de deteção e reação à medida da organização; um SOC pode não proteger, mas ganha tempo. Por fim, é preciso preparar para o pior”

Elizabeth Alves, Exclusive Networks: “Aquilo que vemos muitas vezes são as empresas a comprar soluções all-in-one e depois a não saberem utilizar. Isto não compra segurança; compra a ilusão de segurança. Há um dado importante que devia ser visto pelas organizações como um investimento crítico que é o fator humano. A maioria dos incidentes acontece através da pessoa. É preciso apostar na formação e há soluções de awareness muito boas. Podemos ter as melhores soluções e consultores, mas, ao final do dia, é o colaborador que está a trabalhar e a ser suscetível a qualquer risco”

Como é que as organizações lidam com a escassez de talento em cibersegurança? Que competências veem em falta nas organizações mais frequentemente?

“É importante a organização ter a visibilidade dos gaps que tem dentro da sua infraestrutura e fazer sempre um planeamento” Miguel Azevedo, IT Operations, Cloud & Security Senior Manager, Noesis

Miguel Azevedo, Noesis: “De há dois, três anos para cá que temos um desafio adicional que é o facto de Portugal ser um mercado interessante para contratar talento com valores que as empresas portuguesas não conseguem acompanhar. Há projetos que motivam os novos talentos e mantêm as pessoas nas organizações. Há sempre o modelo de serviço – managed services – que consegue responder às necessidades de monitorização e operação das organizações”

Miguel Barreiros, Securnet: “No problema da escassez de talento começo pelo fim: há um papel das ferramentas automatizadas que podem ajudar as organizações, assim como outras ferramentas avançadas, em algumas matérias. Não resolve por completo, mas ajuda as organizações. Têm existido inúmeras iniciativas de várias entidades para formar mais pessoas e é preciso reconhecer esse esforço; no entanto, há o problema dos outros mercados que competem e pagam melhor do que o nosso. Vão existir coisas que têm de ser colocados fora da organização para entregar algumas das tarefas a alguém especializado”

Com a entrada em vigor de regulamentações como a NIS2, que mudanças práticas recomendam às organizações?

	“Ter o cuidado de não ficarmos arrogantes. Fazemos um roadmap, estamos no board, temos acesso e o compromisso da organização, mas temos de assumir que vamos falhar e que isto tudo vai correr mal” David Grave, Security Director, Claranet Portugal

David Grave, Claranet Portugal: “Mais do que recomendações, gostava que se mudasse o paradigma da cibersegurança em Portugal. Muitas organizações estão a comprar checkboxes para os auditores verem. Gostava que isso mudasse com a NIS2: ter uma cibersegurança que está compliant com as normativas, mas também uma cibersegurança efetiva. Temos de falar de risco, do risco do negócio. Falamos muito da tecnologia porque é aquilo que se conhece, mas temos de ajudar os clientes a dar o salto e a falar do risco. É preciso quantificar o ROI, por exemplo. É preciso mudar a narrativa, e isso é responsabilidade do cliente, do regulador, do fabricante e do integrador”

Miguel Barreiros, Securnet: “É preciso formar as competências das pessoas. É preciso uma melhor competência de comunicação dos profissionais de cibersegurança. É adaptar o registo mais técnico ao registo do negócio da organização. Quanto melhor se falar do aspeto do negócio, melhor para todos. A NIS2 não é uma checklist para cumprir e nada se resolve dessa forma; é um salto de responsabilização que nos vai obrigar a ter mais maturidade e é fundamental que as empresas mexam nos seus organigramas internos”

Ricardo Rodrigues, Balwurk: “As organizações podem preparar-se para a NIS2, mesmo sem existir uma transposição. É uma boa prática. Todos os requisitos que estão especificados na diretiva podem ser seguidos pelas organizações. Para corresponder com a NIS2, a continuidade de negócio é fundamental para cumprir com os requisitos. É preciso identificar todos os ativos organizacionais, mas também precisam de uma gestão contínua. A gestão dos ativos de uma organização tem de ser alimentada para gerir todos os processos. Para existir uma análise do risco também é necessária uma gestão desse mesmo risco”

A IA generativa é uma verdadeira revolução na cibersegurança ou mais hype do que substância? Onde veem impacto real?

“Há um dado importante que devia ser visto pelas organizações como um investimento crítico que é o fator humano. A maioria dos incidentes acontece através da pessoa” Elizabeth Alves, Sales Director, Exclusive Networks

Elizabeth Alves, Exclusive Networks: “A inteligência artificial generativa é uma revolução, mas, como todas revoluções, traz luz e sombra. Pelo aspeto positivo, é possível detetar padrões que seriam invisíveis ao olho humano, uma automatização de uma série de processos e um acelerar da resposta a ameaças. Mas também temos uma sombra, porque os cibercriminosos também estão a utilizar IA para criar ataques cada vez mais sofisticados e difíceis de detetar. A inteligência artificial não substitui o ser humano, a supervisão ou a estratégia da organização”

Bruno Castro, VisionWare: “A cibersegurança também era um hype aqui há uns anos; esse tempo já passou e o tema da moda é a inteligência artificial. O que temos vindo a ver no mercado nacional é uma adoção rápida de ondas de aplicações de IA. Já utilizamos inteligência artificial para análise forense ou de malware, por exemplo, já há vários anos. Sentimos que vem aí uma nova guerra para quem trabalha na gestão de risco que é a adoção rápida de ferramentas de inteligência artificial que possa automatizar o negócio, o que traz um novo risco para as organizações”

Ricardo Rodrigues, Balwurk: “Os Large Language Models são uma novidade transformadora, também para a cibersegurança. Mas há uma diferença entre o potencial em si e a aplicação prática, de como pode passar do hype para algo prático, o que é que pode acrescentar à cibersegurança. Consideramos que há uma narrativa exagerada de que a IA generativa vai substituir as equipas de segurança e de resposta a incidentes. Achamos que isso está muito longe de acontecer, mas está aí e é preciso adaptar. É preciso ajudar as organizações a perceber quais os riscos que acarretam quando trazem para os seus sistemas soluções que direta ou indiretamente estão a utilizar inteligência artificial”

David Grave, Claranet Portugal: “O futuro pode ser maravilhoso, ou não. Hoje quase não há produtos que não tenham – ou não digam que têm – IA de alguma maneira integrada. Há, claramente, um hype; não há nenhuma tecnologia nova que não tenha algum hype associado. É preciso perceber que dados estão a recolher, para onde estão a enviar, mas é inevitável: vamos utilizar inteligência artificial e tem de ser utilizada porque pode ajudar a encontrar determinados padrões. No entanto, se os meus padrões forem fracos, vamos ter uma inteligência artificial fraca”

Miguel Barreiros, Securnet: “A primeira revolução é ao nível dos atacantes. Nas organizações, proibir não funciona; fechar não é solução e incentiva a que se faça ao lado e podemos aprender com as lições aprendidas com o shadow IT. É preciso perceber o risco de envenenamento de dados nestes modelos, por exemplo. As aplicações legacy são um problema para algumas organizações e a inteligência artificial está a ajudar a refazer essas mesmas aplicações. Esse é um bom exemplo da importância da IA”

Se fossem CISO de uma organização portuguesa hoje, qual seria a primeira medida que implementariam e porquê?

Ricardo Rodrigues, Balwurk: “A primeira medida que iria implementar era a que fosse capaz de dar a conhecer a minha organização. A primeira medida não pode deixar de ser recorrer à execução de um diagnóstico – que muitas vezes chamamos de auditorias internas – para dar a conhecer o nível de maturidade da segurança de informação e segurança física que me vai permitir identificar necessidades específicas para tomar decisões que vão ao encontro do risco da organização”

Miguel Azevedo, Noesis: “Primeiro é preciso ter visibilidade do risco. Com base nisso, é preciso identificar, fazer a gestão desses ativos, perceber os problemas e as mais-valias e aplicar o que for necessário para mitigar esses mesmos riscos”

David Grave, Claranet Portugal: “Ter o cuidado de não ficarmos arrogantes. Fazemos um roadmap, estamos no board, temos acesso e o compromisso da organização, mas temos de assumir que vamos falhar e que isto tudo vai correr mal. Quem está no terreno sabe que isto nos torna muito humildes porque não há silver bullets para ninguém”