“Podemos ter a melhor tecnologia, mas se não tivermos boas equipas não vão valer de muito”

Como olha para o ambiente de cibersegurança atual?

Cada vez mais é um tema preponderante, central. Deixou de ser algo que acontecia muito espaçado no tempo, passou a ser algo que é uma realidade do dia a dia e ganhou uma evidência cada vez maior com o aumento da dependência dos sistemas de informação e da exposição externa que as empresas têm, que, na maioria das empresas, vai muito para além de uma mera presença; parte do negócio começa a assentar no digital e temos empresas completamente nativas digitais em que qualquer disrupção significa uma paragem total da empresa. Mesmo naquelas que achamos que estão um bocado mais protegidas na componente industrial, o que vemos na prática – com notícias de ciberataques a empresas mais industriais – é que entram no lado do OT, das operações do dia a dia das empresas, paralisando-as completamente.

Dito isto, esta maior visibilidade também ajuda a que as empresas tenham uma preocupação maior e se preocupem em proteger os seus ativos digitais como protegem os seus ativos físicos. Quero acreditar que há aqui um evoluir desta posição que, infelizmente na maior parte dos casos, ainda vem com um atraso e os cibercriminosos ainda têm uma vantagem sobre os defensores na maior parte dos casos.

Aquilo que são as empresas operadoras de infraestruturas críticas ou outras empresas que, pela sua natureza, têm os seus sistemas mais fechados, mais controlados, mais protegidos e têm esta preocupação há mais tempo, normalmente apresentam uma resiliência mais elevada. Vemos uma tendência para generalização do que são os métodos de ataque, o que torna mais fácil e frequentes esse tipo de incidentes de cibersegurança e torna-se cada vez mais fácil e barato atacar as empresas. É algo que sinto que ainda está numa trajetória ascendente e esperamos que com este awareness seja cada vez mais difícil aos atacantes conseguirem atingir os seus objetivos.

Quais são as principais ciberameaças que tem visto a crescer nos últimos tempos?

Com a pressão tecnológica de as empresas não quererem ficar para trás na utilização da tecnologia – às vezes porque lhes abre perspetivas de negócio, outras porque não querem ficar para trás em relação à concorrência –, o ciclo para desenvolver e implementar aplicações e plataformas tecnológicas é mais curto. Sendo mais curto – por essa pressão de time to market – significa, muitas vezes, que não estão tão sólidos e testados antes de irem para produção.

Isto também afeta os próprios fabricantes que têm a necessidade de introduzir novas funcionalidades nos seus produtos, não lhe dando, se calhar, o tempo necessário para um teste mais sólido. Isto resulta em mais vulnerabilidades e fragilidades em produção que podem ser exploradas pelos atacantes.

Por outro lado – que sempre aconteceu e continua a verificar-se –, é a exploração do fator humano, daquilo que é a engenharia social, as fragilidades do ponto de vista dos utilizadores que podem abrir as portas das organizações dos atacantes na maior parte das vezes sem darem conta de que o estão a fazer.

Sente que a cibersegurança já é um tema de toda a organização e não apenas uma preocupação do IT?

Da realidade que conheço e nas grandes organizações é algo que já é transversal. Existe uma preocupação e um conhecimento do tema – claro que o conhecimento mais especializado está com o IT e com as áreas de negócio que lidam mais de perto com as aplicações –, mas sinto que é um tema que é do conhecimento geral da organização.

Agora, o que é o entendimento da cibersegurança e a segurança da informação ainda não está disseminado, às vezes nem dentro do IT; ainda há muita visão da cibersegurança como a proteção de perímetro e é preciso fazer a transição para aquilo que é incorporar os princípios de segurança de informação e cibersegurança na génese da arquitetura de negócio e de arquitetura de sistemas da organização. É preciso pensar em cibersegurança e segurança de informação nos processos de negócio, não apenas na parte do IT.

Esse salto depende muito das áreas de negócio e das pessoas que as lideram. Há áreas que incorporam perfeitamente esses princípios, outras que ainda têm uma visão mais tecnológica da cibersegurança. Isto é transversal às organizações que eu conheço.

Acredito – daquilo que vou sabendo através de amigos e colegas de trabalho – que isso nem sempre é verdade. Pode parecer paradoxal, mas nas empresas mais pequenas existe um isolamento maior das funções de cada unidade e uma menor visão do todo e de complementaridade entre as funções e as áreas.

Principalmente desde o ano passado que têm sido introduzidas várias regulamentações e diretrizes a nível europeu que impactam a cibersegurança das organizações. Considera que é um passo necessário para obrigar as empresas a investir em cibersegurança ou, por outro lado, estas regulamentações estão a impactar as empresas que, à partida, já apostavam em cibersegurança?

Acho que isto é uma tendência de alargamento deste tipo de normativos. Começamos focados naquilo que são as infraestruturas críticas e, como fazemos em qualquer trabalho, primeiro foca-se naquilo que é mais crítico e é prioritário. Na minha opinião, tanto a legislação como esse tipo de regulamentações está a seguir esse princípio, e bem.

Quero acreditar que estes tipos de regras vão ser cada vez mais transversais. O RGPD é um exemplo disso; não é específico nem para as infraestruturas críticas nem para um determinado setor, é transversal. Acredito que as regras que foram introduzidas pelo NIS 2 e pelo DORA vão ser cada vez mais alargadas a todas as organizações.

Obviamente que, seguindo este fluxo de ir primeiro ao que é mais crítico, aí estamos a ir às empresas que têm maior consciência para o tema. Mais do que obrigá-las a implementar os controlos – que muitas já estavam a fazer – é importante sistematizar e uniformizar aquilo que é necessário implementar, até para ajudar as empresas a priorizar os seus investimentos em cibersegurança. Se sabem que têm de cumprir determinado regulamento, não há dúvida de que a empresa A vai apostar de uma certa forma e a empresa B também. Temos algo que é uniforme e permite priorizar aquilo que, a nível internacional, é considerado como mais relevante, que mais pessoas já pensaram sobre isto e que dá como pontapé de saída os tópicos que vão ser preponderantes na proteção das organizações. Se não tivéssemos este tipo de guia, o que ia acontecer era que cada organização ia apostar naquilo que lhe parecia mais importante.

Às vezes há mais destaques em termos de notícias em coisas que a probabilidade de acontecer é baixa, mas que quando acontece tem um impacto muito elevado. Se calhar não é aí que devemos investir primeiro; deve ser naquilo que tem uma maior probabilidade de ocorrência, combinado com o impacto desse incidente.

Sente que as organizações que não são abrangidas por estas regulamentações devem olhar para as mesmas e melhorar as suas proteções?

Sem dúvida. Partindo dos frameworks – como é o caso do NIS, que é dos frameworks mais conhecidos para estruturar as organizações e a postura de cibersegurança –, aquilo que é a regulação e a legislação, mesmo que não seja aplicável a uma organização, devem o quanto antes para essa legislação e regulamentação se tiverem essa capacidade para antecipar aquilo que inevitavelmente vai chegar até eles. Se conseguirem ir fazendo esse caminho e antecipando essas medidas, quando lhes bater à porta já vão estar mais bem preparados.

Um tema com que os responsáveis de cibersegurança se deparam é a falta de investimento em recursos. Qual é a dica que deixa a quem está nessa situação e precisa de um investimento para fazer uma proteção adequada da sua infraestrutura?

Separaria o problema dos recursos na capacidade de investimento, nos orçamentos, e naquilo que é a capacidade de equipas e de recursos humanos. Apesar de haver uma relação entre elas – claro que uma empresa que tem grandes capacidades de investimento também pode recrutar e conseguir os melhores recursos humanos –, mas, mesmo assim, existe uma diferença significativa porque mesmo empresas com uma capacidade de CapEx podem não conseguir recrutar ou alargar as suas equipas por limitações de head count, por diretrizes numa multinacional com rácios que é preciso cumprir.

Mesmo havendo essa capacidade de investimento em hardware ou software, pode não haver essa capacidade de investimento nas equipas. Isso é um problema grande porque podemos ter a melhor tecnologia, a tecnologia mais moderna, as melhores plataformas, mas, se não tivermos boas pessoas e boas equipas para as gerir e as tornar operacionais, não vão valer de muito.

O Banco de Portugal tem conhecimento técnico, uma estrutura sólida e uma aposta forte nesta área que nos permite acompanhar aquilo que são as principais preocupações e tendências de mercado. No entanto, a cibersegurança é um mercado obviamente competitivo e, nos últimos anos, com a abertura daquilo que é o trabalho remoto, houve um impacto muito grande na abertura do mercado e na capacidade que as pessoas especializadas têm para empresas estrangeiras que têm uma capacidade de investimento e de pagar que as organizações portuguesas dificilmente conseguem acompanhar.

O tema do recrutamento é algo que é muito importante para nós e para as organizações em geral e existem diversas abordagens para lidar com isso. Podemos procurar e atrair talento através dos projetos que fazemos, através da divulgação de como encaramos o tema da cibersegurança, mas a parceria com as universidades e a capacidade de abrir programas de estágio interessantes que abrem as portas das organizações para os jovens, que lhes dão uma oportunidade de entrada no mercado de trabalho numa empresa sólida, que lhes permite adquirir conhecimento e evoluir, acho que é um atrativo muito grande. Essas pessoas trazem uma visão diferente e um valor acrescentado para as organizações que é enorme.

Combinando isso com o conhecimento de quem já está há muito tempo na organização e conhece muito bem os sistemas, existe algo – que tenho sempre procurado na liderança de equipa – que é esta diversidade que vai muito para além daquilo que normalmente é referido quando falamos de diversidade nas equipas e tenho dado muita preponderância a esta capacidade de misturar experiência com juventude, o desafio com aquilo que é a preocupação com a estabilidade. Acho que é nesse equilíbrio que as empresas podem desenvolver os seus sistemas, não descurando a necessidade de investir na parte tecnológica.

Um dos temas de 2023 é a inteligência artificial. Como é que a inteligência artificial está a impactar a cibersegurança, tanto do lado de quem defende como de quem ataca?

Esse é um tema que me interessa bastante e ao qual tenho dedicado algum tempo a acompanhá-lo. É interessante perceber como é que as tecnologias se desenvolvem e como é que elas são vistas pelo grande público. Às vezes temos o desenvolvimento de algumas tecnologias que têm uma grande visibilidade mediática que, para o utilizador final, a pessoa que tem os seus gadgets e usa a título pessoal, tem um impacto muito grande, mas depois, na realidade das organizações, nem sempre são assim tão relevantes. Acredito que a inteligência artificial não é um desses casos. A inteligência artificial vai ter – e já está a ter – um impacto muito grande quer na vida pessoal quer na profissional das pessoas.

Para a cibersegurança, existe sempre – como em qualquer outra área em que isso acontece – uma preocupação inicial, que é como é que isto vai alterar o que temos neste momento e a maneira como pensamos a cibersegurança; o que é que vamos ter de mudar para nos adaptarmos ao advento da inteligência artificial. Ao mesmo tempo – e para mim é esse o grande ponto de viragem – é quando encaramos não apenas a ameaça, mas também como oportunidade daquilo que podemos acrescentar ao nosso lado defensivo, de proteção, como é que a inteligência artificial nos vai ajudar a detetar e a responder mais rapidamente aos eventos e incidentes de cibersegurança.

O facto de estarmos organizados com uma equipa que está mais focada na defesa e outra mais focada na pesquisa de vulnerabilidades e na maneira como os atacantes estão a desenvolver as suas tecnologias, há uma troca de experiências muito relevantes que a inteligência artificial vai servir quer a uns, quer a outros. Esta utilização crescente da inteligência artificial generativa vai permitir às unidades de negócio darem uma resposta mais rápida, a preocupação com a satisfação do cliente, com a resposta ao cliente, mas, nas equipas de retaguarda e de proteção da organização em termos de cibersegurança, também vai fazer o mesmo efeito para aquilo que são os nossos clientes internos, que são as áreas de negócio e a organização. Vai-nos ajudar a compreender melhor, a reagir mais rápido e com maior eficiência àquilo que são os nossos desafios e com aquilo com que nos deparamos.

Assumo que o Banco de Portugal já esteja a utilizar inteligência artificial nos seus temas de cibersegurança?

É algo que procuramos incorporar em parceria com os nossos parceiros e fabricantes que já estão a apostar nessas tecnologias e a desenvolver internamente, também, mecanismos e plataformas de inteligência artificial viradas quer para o negócio, quer para aquilo que é a componente interna do banco. O Banco de Portugal não está a deixar passar a onda sem a acompanhar; está a apostar fortemente nesta área.

O Banco de Portugal é uma infraestrutura crítica para o país. Quais são as especificidades de proteger esta infraestrutura crítica em concreto?

As infraestruturas críticas que estão regulamentadas e legisladas como tal, foram e são identificadas de uma forma contínua pela relevância que têm para a sociedade. Quem está a trabalhar numa infraestrutura crítica – seja em cibersegurança ou noutra – tem perfeita noção que aquilo que faz contribui para um propósito maior do que a organização, contribui para a sociedade e, como tal, tem uma responsabilidade de garantir a continuidade da sua operação, do negócio, naquilo que é o seu dia a dia com a relevância que isso tem para a sociedade.

Isso coloca um peso e uma responsabilidade adicional em quem está do lado das infraestruturas críticas, também recompensado com este sentimento de propósito e utilidade pública. Aquilo que sinto, trabalhando em infraestrutura crítica – e é algo que me acompanhou ao longo da minha carreira – é essa motivação adicional para cada vez que estamos a fazer um projeto, cada vez que encontramos um desafio que achamos que é relevante e pode ter um impacto grande para o nosso negócio e para a nossa organização, se calhar temos uma motivação extra ao perceber que vale a pena lutar por defender a cibersegurança, aquilo que é a nossa visão de resiliência da organização porque não estamos apenas a desenvolver um esforço para proteger a organização; estamos a fazê-lo para a sociedade como um todo, quer a nível local, nacional e até internacional, no caso do Banco de Portugal, no sistema europeu de bancos centrais, ou noutras infraestruturas críticas que têm outras ligações, como o setor da energia, das águas ou dos portos. Todas essas infraestruturas críticas têm um papel que vai além das fronteiras do nosso país.

Há algum ciberataque contra o Banco de Portugal que possa partilhar detalhes?

No Banco de Portugal mantemos a nossa monitorização e a nossa vigilância contínua, lidando com aquilo que são as ameaças comuns a qualquer organização, os grupos criminosos que procuram explorar alguma nova vulnerabilidade ou uma fragilidade no fator humano com as inúmeras tentativas de phishing que ocorrem diariamente. Felizmente, com uma combinação de tecnologia e awareness das nossas pessoas, tem sido possível controlar isso.

Nenhuma organização em Portugal, quando há um ciberataque relevante, consegue escondê-lo. A ausência de notícias de ciberataques relevantes ao Banco de Portugal já transmite essa resposta. De qualquer forma, isso não significa que possamos de alguma forma desleixar-nos ou baixar a guarda. Sabemos que é uma organização com uma grande visibilidade, quer a nível da sua operação, quer mediático, e temos de continuar sempre muito atentos para evitar algum ataque de maior expressão.

Quais são os conselhos que deixa a outros responsáveis de cibersegurança para melhorar as suas proteções?

Aquilo que diria a outros responsáveis de cibersegurança é o mesmo que aplico e digo a mim próprio. O primeiro ponto essencial é cuidar das nossas equipas. Uma equipa de cibersegurança, focada em segurança de informação, que trabalhe bem e em conjunto, que tenha o tal misto de experiência com vontade de inovar e desafiar, é a base de tudo. Nenhum responsável de segurança de informação consegue fazer o que quer que seja sem ter uma boa equipa em quem possa confiar e que faça um bom trabalho.

O segundo ponto é a comunicação e o awareness, em primeiro lugar interno. Levar os conceitos e as preocupações de cibersegurança numa linguagem que o negócio consiga entender, que o próprio IT consiga entender e levar essa preocupação ao longo da cadeia hierárquica que tiver, seja diretamente a um conselho de administração, seja a um diretor de IT ou de risco, qualquer que seja a cadeia de report do responsável de segurança de informação. Levar essa mensagem, levar uma visão, um pensamento e uma estratégia que consiga, depois, ganhar o suporte de quem toma as decisões a nível de prioridade de projetos e de orçamento.

Estando estes dois passos conseguidos, diria que grande parte do caminho está feito. A partir daí, é garantir que existe um foco naquilo que são os projetos processuais e de gestão de risco, mas também nos projetos tecnológicos, garantindo o equilíbrio entre os dois pontos e tentando manter o foco naquilo que é essencial e relevante para a organização, às vezes sacrificando um pouco aquilo que são as tendências de mercado ou as modas porque nem tudo aquilo que é a última tendência de mercado é adequado para a nossa organização. Temos de perceber o que faz sentido trazer para dentro da organização de acordo com a maturidade que temos, os recursos que temos e o conhecimento que temos dentro da organização.

Agradecimento: Hotel AlmaLusa Baixa/Chiado pela cedência do espaço para a entrevista