IBM Security Summit 2024: “a primeira responsabilidade de um CISO é garantir que existem os controlos certos para que exista o nível de segurança adequado”

Évora recebeu, pela segunda vez, o IBM Security Summit. Depois da edição de 2023, a Arrow e a IBM decidiram voltar ao Alentejo para, durante dois dias, falar de cibersegurança e das mais recentes inovações na área e partilhar conhecimentos com outros profissionais de cibersegurança. A IT Security é Media Partner do IBM Security Summit 2024.

Rui Barata Ribeiro, Security Leader na IBM Portugal, afirmou, em declarações à IT Security, que este é “um evento do ecossistema de segurança da IBM para o ecossistema de segurança da IBM”, sendo uma “oportunidade de as pessoas conhecerem, alargarem horizontes e, de alguma forma, celebrarem a área que nos dá trabalho, por um lado, mas que nos dá, também, uma razão de existência”.

Já Raul Liz, Business Unit Manager da Arrow ECS Portugal, relembrou que a cibersegurança “continua a ser cada vez mais importante” para as organizações. A edição de 2023 – a primeira fora de Lisboa – demonstrou que “foi um sucesso” e a edição deste ano contou com mais de 200 pessoas presentes, entre parceiros e clientes finais.

O que está entre o ecrã e a cadeira

A primeira mesa-redonda do IBM Security Summit foi dedicada ao elemento humano. Intitulada “Between the Chair and the Keyboard: the Human Element of Cybersecurity”, contou com a participação de José Alegria, Joaquim Godinho, da Universidade de Évora, e Luiz Barria, da Blue Chip.

“A primeira responsabilidade de um CISO é garantir que existem os controlos certos para que exista o nível de segurança adequado na organização”, começou por dizer José Alegria. Os colaboradores das organizações devem “ser treinados para serem mais ingénuos e cobrir as suas responsabilidades”, mas os papéis não devem ser invertidos. “Não ponham o ónus da responsabilidade primária da segurança na formação que os colaboradores têm. Isso é desonesto”, frisa. Este treino tem de ser universal e cobrir, também, as comissões executivas das empresas para que se “criem hábitos de forma contínua”.

No entanto, alerta José Alegria, a maior parte das organizações “têm muito pouco treino na componente de recuperação de um ataque”. O awareness das pessoas tem vindo a aumentar – pelo menos em termos de spam –, mas “existe uma lacuna enorme no treino para que determinadas equipas das organizações estejam preparadas – e continuem preparadas – para a recuperação de um ciberataque”.

Joaquim Godinho relembra que os colaboradores de qualquer organização “são a primeira linha de defesa e, também, na maior parte dos casos, a primeira linha de ataque”, o que revela a importância de “capacitar os colaboradores e de dar competências”.

No entanto, Joaquim Godinho concorda que, primeiro, as organizações têm de se munir de todos os controlos e práticas de segurança – o que compete aos profissionais da área –, mas que é preciso treinar “de forma regular e sistemática” todos os colaboradores da organização.

Outro aspeto apontado por Joaquim Godinho é a comunicação. “É importante existir uma comunicação aberta da organização para os seus colaboradores, no sentido de lhes dar a capacidade de os encorajar a identificar e reportarem incidentes, a serem mais capazes de identificar potenciais ataques, nomeadamente de engenharia social”, esclarece.

Luiz Barria afirma que a cibersegurança é uma tríade que envolve pessoas, tecnologia e processos. “Ao ter estas três áreas, é preciso muni-las e prepará- las para eventuais situações que possam acontecer”, explica.

Por vezes, as organizações preparam-se muito com tecnologia e com os processos, mas “o fator humano tem que estar inteirado com estas duas áreas, ou seja, a preparação, a formação e o treino têm de ser contínuas porque todos os dias há uma tecnologia nova ou algo novo acontece”, refere o representante da Blue Chip.

Do topo ao (outro) topo

O treino dos colaboradores tem de ser para todos; todos inclui a administração e não apenas os empregados. A administração tem acesso a informação confidencial e, como tal, estar treinada para reagir a ataques de phishing, por exemplo, é um imperativo para o negócio.

José Alegria defende que, “se uma organização não tiver uma governança liderada pelo CISO, que tenha uma boa reputação intelectual com a administração, nunca vai criar laços para poder dizer que estes princípios têm de ser impostos”. Assim, acrescenta, a primeira coisa que tem de acontecer “é ter uma doutrina de governança que tenha uma política de liderança, que tenha um chefe, um governador – que chamamos de CISO –, mas que tenha uma relação empática com quem manda, de facto, numa organização para, paulatinamente, começar a mudar a cultura dessas pessoas”.

O setor académico, defende Joaquim Godinho, pode ser dividido em diferentes grupos de utilizadores. Os alunos, para todos os efeitos, “são os que menos nos preocupam porque oferecemos e entregamos um ambiente devidamente controlado – ainda que existam situações não de ataque, mas de má utilização de tecnologia”.

Assim, o grupo de utilizadores que mais preocupa – no setor de educação – são, de facto, os colaboradores. Dentro de uma universidade, também existem os docentes e os dirigentes. “As equipas reitorais são muito mais voláteis no tempo e é muito difícil transmitir, envolvê-los e transmitir o comprometimento destas lideranças de forma continuada ao longo do tempo porque vão mudando e não há tempo para, de facto, criar este envolvimento e compromisso de liderança, algo que é fundamental”, defende.

Luiz Barria relembra que “a prevenção vem quando o utilizador foi preparado de uma forma prática”. Atualmente, as formações contam com “uma linguagem muito académica, em que as pessoas são preparadas para fazer o exame e conseguir a certificação. Mas, quando saem dali, o que é aquilo na vida real? Onde é que se aplica aquilo de uma forma prática?”

Deste modo, é importante olhar para a componente prática, mais do que a componente académica, até porque “a transferência de informação, a criação de uma cultura, só é feita se for realizada de forma prática. É preciso perceber o que acontece se carregar num link, que implicações podem acontecer”.

A proteção dos dados

O IBM Security Summit 2024 contou com vários oradores internacionais. Um desses oradores foi Brian Flasck, Data Security Sales Leader para a EMEA da IBM, que defendeu, em declarações à IT Security, que as organizações enfrentam um ambiente de ameaças muito maior do que antes. “Estas ameaças chegam de atores externos, mas também de atores internos por várias razões”, diz.

Para além das ameaças que as organizações têm de enfrentar para proteger os seus dados, existe, também, um maior ambiente regulatório. “Os auditores internos, os auditores externos e os reguladores aumentaram a fasquia em termos de requisitos para que as empresas demonstrem claramente que estão a proteger e a salvaguardar as suas informações de maneira adequada”, refere Flasck.

Com a importância dos dados a aumentar de dia para dia, as organizações já perceberam a importância de proteger os dados que geram. No entanto, estas estão a mudar e a “afogar-se em dados”. É preciso perceber os dados mais críticos, o que contêm, como são armazenados, como são utilizados e quem acede aos mesmos.

Cada vez mais, os dados sensíveis estão a ser movidos para workloads na cloud e por vários fornecedores de cloud. “Isto é um grande desafio para os CISO e os responsáveis de proteção para gerir tudo em diferentes ambientes – on-premises, cloud – e perceber onde é que estão os dados sensíveis, como estão a ser acedidos e que controlos se tem implementados”, explica.