“Problemas ninguém pode dizer que não os tem. A forma como os encaramos é que faz toda a diferença”

Qual é o balanço que faz do ano de 2022 em termos de cibersegurança?

Muito desafiante. Desafiante por aquilo que temos visto nas notícias, porque cada vez mais a segurança está a ser um asset estratégico para as nações e as empresas têm de saber adaptar, porque o digital veio para ficar e sem segurança é impossível operarmos nas devidas condições.

Trabalhando no setor dos seguros – uma área rica em dados pessoais – existe alguma especificidade na proteção da infraestrutura da Lusitania Seguros?

Claro que existe, porque trabalhar num mercado tão regulado como o mercado financeiro/segurador significa que há determinadas normas e regulamentos que somos obrigados a seguir.

Posso referenciar aquilo que foi aprovado recentemente, em finais do ano passado, o regulamento DORA [Digital Operational Resilience Act], que vai criar condições para uma maior resiliência digital para praticamente todas as organizações que trabalham no setor financeiro e isso é muito bom. Falo também como consumidor de seguros; é muito bom sentirmos que há uma regulação muito apertada, porque, no final do dia, o objetivo do regulador é proteger os clientes finais e nós estamos aqui para os servir. Temos aqui uma situação win-win.

Em termos de especificidades, é ter em atenção esses regulamentos ou normas e seguir as boas práticas da indústria – nomeadamente os ISO 27001 da vida – porque ajudam a garantir que aquilo que é de uma relevância capital, que são os dados dos nossos clientes, é tratado da forma mais adequada.

Temos informação muito relevante, de registos relacionados com a saúde. Isso é um bem muito precioso e uma seguradora tem de transpirar e inspirar segurança naquilo que faz na sua operação para que os clientes possam ter confiança de que faz sentido ter o seguro nesta companhia. Sem segurança, não há confiança.

A Lusitania Seguros apresentou recentemente o seu plano estratégico internamente. Do que pode partilhar, onde é que a cibersegurança entra neste plano?

A cibersegurança foi um dos tópicos especialmente falado neste plano estratégico. O que é que isto, na prática, quer dizer? Quer dizer que a cibersegurança tem de estar em todo o ciclo de vida daquilo que fazemos, desde a conceção, a criação, a manutenção – tal como já estamos a fazer o exercício relacionado com RGPD, uma obrigatoriedade legal que temos de ter em consideração –, assim é a cibersegurança.

As movimentações em todo o mundo – onde a indústria do cibercrime está ao rubro – significam que temos de ter ainda mais atenção. Temos de ter a resiliência necessária para garantir uma operação com qualidade, o que inclui a óbvia garantia que somos uns bons stewards dos dados dos nossos clientes. Somos a garantia de que temos toda a infraestrutura a funcionar de forma ágil, mas segura. O plano estratégico, na essência, é pôr a centralidade no cliente.

Isto significa que temos de servir o cliente através dos meios digitais que estão à nossa disposição e sentir que o cliente é uno para nós, e isso envolve imenso a tecnologia. Traduz-se num maior trabalho garantir que tudo é feito de forma adequada e que os dados estão devidamente protegidos e, em caso de termos alguma situação menos simpática, termos a capacidade de saber comunicar de forma clara, porque problemas, infelizmente, ninguém pode dizer que não os tem; a forma como nós os encaramos é que faz toda a diferença.

De um modo geral, no mercado, sente que o tema da cibersegurança já não é algo só do IT, que já é uma preocupação de toda a administração?

Sem dúvida. Mau seria, a nível global, se o tema da cibersegurança não estivesse em constante preocupação da board, porque os exemplos são claros e transmitem a mensagem muito gritante de que uma organização que não está suficientemente protegida e que não saiba comunicar em caso de incidente, fica – ou pode ficar – severamente afetada. Inclusivamente, até a sua existência pode ser colocada em causa.

O que me preocupa mais não são as grandes organizações, porque essas têm, tipicamente, capacidade financeira para investir. Manter uma empresa e as suas operações seguras é um processo caro em tecnologia, em pessoas e em serviços prestados. Só que, no tecido empresarial português, mais de 90% são as pequenas e as médias empresas; com essas, como é que as coisas vão funcionar?

Acho que faz parte de um desígnio nacional e temos algumas coisas muito interessantes, nomeadamente as ações de formação do Centro Nacional de Cibersegurança; no entanto, acho que ainda temos de fazer mais. Temos alguns bons pontos de partida, no entanto, o desafio que lanço é como fazer para que o nosso tecido empresarial como um todo – com foco nas pequenas e médias empresas – incrementem a sua resiliência.

Atenção, não é agora contratar um especialista em segurança para cada micro e pequena empresa; isso é inviável. Cada vez mais as organizações, mesmo de pequena dimensão, estão a caminhar no processo de digitalização, no seu e-commerce; não é preciso ser uma grande organização para vender. O que pode e deve ser feito para garantir que nós, como sociedade, não fiquemos prejudicados?

Há aqui um aspeto que é muito relevante: a cadeia de valor. No caso da Lusitania, temos um sem número de entidades que trabalham connosco e para nós. As normas e regulamentos que estão, ou vão ficar, em vigor obrigam a uma atenção muito especial para garantir que aquilo que fazemos tem de ser refletido tão bem por quem nos fornece serviços. Por exemplo, temos uma norma específica que está relacionada com a contratação na nuvem. Mas quantas organizações, hoje, não têm já parte do seu suporte baseado na nuvem? Agora a questão é e se isso falha, esse operador de computação na nuvem? Qual é o impacto que isto tem para a organização, para a cadeia de valor e, inclusivamente, para o próprio país? 

Como disse, as organizações precisam de vários fornecedores externos, mas estes podem ser uma porta de entrada para um ciberataque. Como é que se podem minimizar essas portas de entrada?

É isso mesmo: minimizar. Temos de ter especial atenção com quem trabalha connosco; terá de cumprir determinados requisitos tecnológicos. É feito um assessment e temos de estar satisfeitos para ter certeza que determinados parâmetros de segurança são cumpridos.

Como disse, é impossível uma empresa ter a operação de tudo, dado determinadas especificidades. Temos de nos socorrer de uma série de outras entidades. Agora, essas entidades têm de ser escolhidas a dedo, têm de fazer provas que a segurança é tida com a necessária atenção, até porque sabemos que, no final do dia, a responsabilidade primária é nossa; se escolhemos mal, a responsabilidade é nossa.

Os efeitos nefastos de uma má utilização, por exemplo, dos dados dos nossos clientes – sobre os quais temos um compromisso de honra de fazer tudo o que está ao nosso alcance para que fiquem devidamente protegidos – se houver uma outra entidade que não utilize nas devidas condições isso tem de ser minimizado através de inquéritos para perceber, até que ponto, as coisas estão a ser tão bem devidamente tidas em consideração do lado de quem presta serviços. É um meio e ajuda a mitigar hipóteses de risco.

As empresas grandes têm argumentos para obrigar os seus fornecedores a cumprir determinados requisitos. As empresas mais pequenas se calhar não conseguem.

No caso específico da Lusitania – companhia que tem dimensão no mercado, com 620 mil clientes, 520 colaboradores – o nosso poder na escolha dos fornecedores é relevante porque representamos uma faturação simpática.

O problema é nos mais pequenos, onde, por vezes e infelizmente, o custo é o vetor principal. Se um determinado fornecedor que presta serviço a um conjunto de pequenas e médias empresas, porventura, não tem as condições adequadas e tem um preço mais baixo, porque, por exemplo, não fez os investimentos necessários a nível de segurança, é colocado em xeque porque a sua operação foi literalmente posta em causa, porque um ataque fez com que operação parasse e o plano de recuperação dos dados não existia ou estava deficiente; essa empresa vai ter muito menos capacidade de continuar a sobreviver.

Se estivesse na pele destas pessoas pensaria duas vezes porque ao não investir o mínimo para garantir a resiliência ponho em xeque a minha existência e os clientes vão perceber que se calhar não fez muito sentido fazer negócio com aquela empresa, que, por acaso, até era um bocadinho mais barata, mas pôs em xeque inclusivamente a cadeia de valor.

Há pouco falámos da cibersegurança nas administrações, mas as organizações não são feitas apenas de administrações; tem os seus colaboradores que, habitualmente, são considerados os elos mais fracos da organização. Como é que se aumenta a consciencialização dos colaboradores eficazmente?

Formação, mas uma formação consciente. Não basta fazer formação só porque sim. É uma formação inteligente e envolver as pessoas é o ponto chave; partilhar com todos a relevância e a importância da segurança.

Temos um plano de comunicação que envolve isso mesmo, inclusivamente, dizer que aconteceu isto no nosso mercado, aconteceu aquilo ali, estão aqui exemplos do que é que temos de ter em especial atenção porque, se um de nós falhar, pode pôr em xeque o todo.

A formação é um elemento crítico. Consideramos que os ataques simulados são parte da formação; fazemos com alguma constância ataques simulados e depois é feito um relatório partilhado com todos que vai dizer onde é que estivemos bem e onde é que não estivemos. Enquanto for simulado temos um controlo total, mas depois, quando for real, o controlo já não é nosso. É uma formação em que as pessoas estão engaged. É captar o interesse das pessoas para a importância da segurança. Quando estamos preparados, o impacto acontece, é verdade, só que a consequência do impacto tende a não ser tão negativa.

Um tema com que os responsáveis de cibersegurança se deparam é a falta de investimento em recursos. Qual é a dica que deixa a quem está nessa situação e precisa de um investimento para fazer uma proteção adequada da sua infraestrutura?

Toda a cadeia de comando tem de estar consciente da causa/efeito do não investimento adequado. Isto significa que investir em cibersegurança não pode ser visto apenas como um custo; tem de ser visto como um asset estratégico porque está a pôr em xeque a operação da companhia e, inclusivamente, a sua própria existência.

No entanto, a segurança é um processo caro e são poucas as organizações que têm capacidade de ter uma equipa de segurança transversal, com amplitude para manter operação 24/7; impossível para a esmagadora maioria. Nós não temos essa capacidade; temos parcerias estratégicas com outras entidades que complementam e que fazem com que, na realidade, a nossa cibersegurança fique mais robusta com componentes de entidades terceiras.

Agora, em relação a captar talento: temos muito poucas pessoas com a capacidade de poder servir as empresas nesta área e, dado os próximos dois anos, ainda vão ser mais prementes. Para quem está na faculdade, se têm especial interesse nesta área, por favor sigam a carreira na parte da segurança; é uma carreira fascinante, desafiante, mas simultaneamente muito desgastante, porque existe aquela sensação de que o trabalho nunca está feito.

Precisamos de investir na fonte, no talento, criar condições para que as nossas faculdades ponham cá fora técnicos com a capacidade para poder enfrentar estes desafios. Há uns meses vi o plano curricular de uma faculdade e perguntei-me o que era aquilo; estão a ensinar tecnologia obsoleta. É necessário haver uma mexida no plano curricular de disciplinas que assentam na segurança. Cibersegurança não pode ser tratado como um plano curricular de uma disciplina como, por exemplo, matemática. Isto muda tão frequentemente que é necessário investimento também na parte letiva. É preciso ter excelentes professores que tenham a capacidade de mudar muito frequentemente a forma como ensinam.

Para criar mais talento constantemente, precisamos de um fluxo de pessoas especialistas nesta mesma área. Se as empresas não conseguem encontrar, então há que escolher a dedo as entidades que têm provas dadas.

Há algum ciberataque à Lusitania Seguros que possa partilhar?

Temos de notificar todos os meses o regulador como é que estamos nesse mesmo sentido e acho muito bem. Ciberataques temos constantemente; tratamos disto como uma coisa natural. Temos tentativas de intrusão todos os dias.

Ao momento, que tenhamos conhecimento, nenhum deles teve sucesso. Uma vez mais: ao momento e que tenhamos conhecimento. Não quer dizer que neste exato momento não esteja a ser perpetrado um ataque; sabemos que os ataques de sucesso tipicamente levam meses até serem descobertos. Fazemos tudo ao nosso alcance para mitigar esse risco. Agora, conseguimos? É uma pergunta que é de difícil resposta.

Posso partilhar um ataque de whale phishing que visava um cargo de responsabilidade acrescida na companhia. Foi um ataque de engenharia social muito bem feito onde, se não tivéssemos medidas para prevenir, a consequência seria bem gravosa. Tínhamos as medidas implementadas, ficou registado aquele tipo de ataque e, felizmente, não teve sucesso.

Quais são as dicas que deixa a outros CISO, CSO ou diretores de IT com a responsabilidade de cibersegurança?

Que sejam pessoas que gostem disto naturalmente; que a área da segurança seja um tema que, por vezes, se baralha entre um hobby e um trabalho; que tenham especial atenção em envolver as pessoas a todos os níveis; que garantam que quem desenvolve software tem o ciclo de vida do desenvolvimento a começar e a terminar em segurança; que, quando necessitam de trabalhar com outros na cadeia de valor, tenham cuidado, avaliem e garantam que têm as respetivas confirmações, porque não basta a outra pessoa dizer que faço.

Há entidades que fazem security rating. É um bom ponto porque não basta dizer ‘eu estou seguro’. É agnóstico à empresa e vai analisar as coisas.

As empresas que têm conselhos de administração têm de ter o tema a fazer parte do dia a dia da organização a começar por cima, porque, começando por cima, a probabilidade de o efeito ser muito nefasto diminui.

E, por favor, tenham um plano de comunicação para saber o que é preciso fazer, porque isto vai acontecer a todos e, ao não sabermos ou ao termos uma comunicação deficiente, se uma situação é desagradável, pode tornar-se perigosa.

Inerentemente, temos de ter um bom plano de resiliência, ter a garantia que temos um plano de continuidade de negócio ativo e, já agora, testado; se as coisas não são testadas, a probabilidade é que, quando é necessário ativar, não funcione. A segurança tem de fazer parte do nosso ADN, independentemente do ramo em que estamos a trabalhar.

Aprender com os erros. Ver o que os outros não fizeram bem e ser um bocadinho mais inteligente, porque às vezes é preciso. Todos, eu inclusive. É bom ver os exemplos, especialmente do que correu menos bem. É preciso existir espaço ao erro, mas não cometamos os mesmos erros que os outros cometeram.