Analysis

Chat

“O foco deve ser avaliar a situação e os riscos e a capacidade de defender, responder e recuperar a organização”

Josué Delgado, Chief Information Security Officer do Grupo Lusíadas Saúde, partilha a sua visão sobre o aumento de ameaças, os desafios que as organizações sentem e a visão de como a cibersegurança deve ser partilhada por todos

Por Rui Damião . 29/06/2022

“O foco deve ser avaliar a situação e os riscos e a capacidade de defender, responder e recuperar a organização”

O setor da saúde foi um dos principais visados durante o período da pandemia. Como é que sentiu este aumento de ameaças, principalmente durante a pandemia, no Grupo Lusíadas Saúde?

O aumento das ameaças não tem sido só no período da pandemia. Acho que durante a pandemia, pela rápida adoção de processos de digitalização nas empresas, trouxe uma maior consciência das ameaças e dos perigos a que estamos sujeitos.

Pela primeira vez, vimos um crescente interesse das organizações – principalmente do negócio – por questões de resiliência, de continuidade da operação. A segurança está a ter palco. Nós, como profissionais de segurança, devemos aproveitar este palco, e estamos a fazer isso, para claramente passar a mensagem a todos os níveis dentro da organização – desde um operador, a um utilizador de tecnologia ou a um decisor – quais são os riscos e as ameaças que temos, o que é que pode parar a operação, o que pode parar a empresa de cumprir a sua missão. Estamos a aproveitar esse palco.

A pandemia trouxe, para o negócio, uma aceleração dos processos de digitalização e transição, mas também trouxe para a segurança esta oportunidade de aproveitar este palco de forma correta para passar a mensagem e utilizá-la para, por fim, colocar a segurança em cada processo organizacional e conseguirmos, de vez, colocar aquela máxima de que a segurança é uma responsabilidade de todos e que é dita ‘n’ vezes pela ENISA. Sendo uma responsabilidade de todos, deve estar espalhada pela organização nos processos.

No Grupo Lusíadas Saúde essa ideia de que a segurança deve ser partilhada por todos já existia ou foi acelerada pela pandemia?

No Grupo Lusíadas Saúde a segurança é um ponto muito importante. O próprio facto de o grupo ter um CISO, ter uma área de segurança e processos é um ponto muito importante.

A pandemia – para a saúde e para as organizações de prestação de saúde em geral – ajudou a trazer essa preocupação a quem não a tinha, promovendo o acelerar da adoção de tecnologia. O tema da ciber-resiliência é uma questão de meios – humanos, de processos, de tecnologia – com um propósito de garantir prontidão na organização para defender, responder e garantir a recuperação da organização.

Quais são as grandes dificuldades que as organizações – e, em particular, as organizações da área da saúde – enfrentam em termos de cibersegurança?

Não diria dificuldades, mas sim desafios. Estamos a ver um incremento grande na complexidade do IT, na complexidade da informação e do tratamento da informação, diversos sistemas interligados, uma rápida aceleração digital, nunca vista.

 

“A pandemia trouxe, para o negócio, uma aceleração dos processos de digitalização e transição, mas também trouxe para a segurança esta oportunidade de aproveitar este palco de forma correta para passar a mensagem e utilizá-la para, por fim, colocar a segurança em cada processo organizacional”

Há vários artigos que dizem que nunca acelerámos tanto como agora, durante a pandemia. Há empresas que dizem que tiveram planos a cinco anos a serem executados em meses. Estamos a ter muitos desafios por essa rápida transformação, muitos desafios pelo uso da informação a todos os níveis, porque todos querem ter e usar a informação, ter a análise preditiva – a informação é um bem muito precioso.

Está a trazer-nos muitos desafios e, em todo o momento, o nosso grande foco deve ser avaliar a situação, avaliar a organização, ver que ameaças e riscos tenho e avaliar se a minha capacidade de defender, responder e recuperar a organização – a tal resiliência – está adequada aos novos desafios.

Nessa avaliação é necessário, também, ter uma adaptação muito mais rápida do que noutras alturas?

Definitivamente. A adaptação tem de ser muito mais rápida. Temos de passar a ser muito mais ágeis na execução, no pensar nas coisas.

Antes, conseguíamos parar para pensar, para arquiteturar. Agora não; temos de ser muito ágeis a adotar novas capacidades. A resposta a incidentes é vital para conseguirmos ser ágeis na defesa e resposta a ameaças contra a organização. É muito importante essa rápida adoção tecnológica.

Uma das coisas sobre as quais as organizações falam regularmente é a falta de recursos humanos para a proteção das organizações. Como é que este tema se resolve? Com tecnologia? Contratando, sabendo que não existem pessoas para contratar? Por onde pode passar a solução?

Esta é uma pergunta que merece reflexão. Muitas empresas podem dizer que resolvem isso externalizando apenas essas funções; outras dirão que têm de oferecer melhores pacotes salariais aos profissionais como se não houvesse limite para as empresas pagarem. Sabemos que o contexto, em Portugal, tem um limite e não conseguimos concorrer com empresas por essa Europa fora que, rapidamente, vêm buscar profissionais. Outras empresas vão dizer que o segredo está em inteligência artificial e em machine learning.

Acho que a resposta para isto está num correto avaliar da situação. Preciso de funções-chave na minha empresa, funções de segurança que não posso delegar e que têm de estar próximas do negócio, como a avaliação contínua do risco da organização, dos fornecedores, de toda a cadeia, dos third-party e fourth-party, da arquitetura. Depois, há as outras funções para as quais, em ecossistema e com parceiros, temos de encontrar soluções de resposta a operações de segurança, resposta a incidentes, tudo o que conseguimos crescer dessa forma. E há, com certeza, oportunidades para a automatização. Não vamos conseguir responder – no mundo atual – ao volume de ameaças apenas com meios humanos; temos, cada vez mais, de adotar soluções de resposta automática, soluções de machine learning e inteligência que possam ajudar os profissionais a, rapidamente, atingir os seus fins.

Portugal tem uma grande quantidade de empresas que não tem capacidades de cibersegurança. Enquanto profissional de cibersegurança, qual é o conselho que deixa para as empresas que podem ter menos capacidades de investimento?

As empresas que têm menos capacidade de investimento têm hoje, em Portugal, algo que não tinham há uns tempos. Há uma oferta grande, primeiro, de parceiros; empresas muito capazes que empregam profissionais como analistas de segurança ou outras funções mais seniores, que podem ajudar essas empresas.

“Não vamos conseguir responder – no mundo atual – ao volume de ameaças apenas com meios humanos; temos, cada vez mais, de adotar soluções de resposta automática, soluções de machine learning e inteligência que possam ajudar os profissionais a, rapidamente, atingir os seus fins”

 

Ao mesmo tempo, aqui em Portugal, temos um gigante ecossistema de fornecedores de soluções de segurança. Quase todos os big players estão aqui, assim como empresas novas, empresas que estão a aparecer para tentar, com disrupção no mercado, atingir a sua quota. Facilmente conseguimos essas soluções e, se não conseguirmos em Portugal, temos ofertas de parceiros geridos em cloud. Hoje, há uma grande panóplia de oferta.

Essas empresas mais pequenas, não tendo capacidade de investir, podem capacitar internamente equipas que possam assumir a responsabilidade de cibersegurança e encontrar parceiros que possam, com eles, fazer o caminho organizacional: avaliar, estabelecer um plano e fazer cumprir o plano com métricas, objetivos bem-definidos, e que tenha visibilidade mais acima – o tal aproveitar o palco que, hoje, as áreas da segurança e do IT têm.

Como vê que será o futuro mais a curto prazo em termos de ciberameaças, principalmente em Portugal? Como é que acha que vai evoluir este cenário de ciberameaças?

É um bocado incógnita, mas há ‘n’ estudos – por exemplo, a IDC com as análises que faz, o Verizon Data Breach Report, uma série de outras publicações, como a própria ENISA, com o relatório de riscos, ou o World Economic Forum – que nos conseguem dar algumas ideias.

Diria que vamos continuar a ver um crescendo das ciberameaças. Cada vez mais, as empresas vão estar a ser alvo de ameaças muito mais avançadas e que provavelmente se irão materializar em exfiltração de dados e em ataques de ransomware.

Diria que cada empresa, a curto prazo, deve fazer uma avaliação sobre quais são os seus riscos críticos e definir pequenos planos de ação. Às vezes pensamos em grandes planos de diretores de segurança a dois, três ou quatro anos, mas, por vezes, mais vale pensar numa ótica de ganhos rápidos e avaliar continuamente, principalmente para mitigar e remediar os riscos mais imediatos e, depois, continuar numa ótica de melhoria contínua e avaliações contínuas para ir mostrando valor.


RECOMENDADO PELOS LEITORES

REVISTA DIGITAL

IT SECURITY Nº17 Abril 2024

IT SECURITY Nº17 Abril 2024

NEWSLETTER

Receba todas as novidades na sua caixa de correio!

O nosso website usa cookies para garantir uma melhor experiência de utilização.