Da consciencialização à regulação: a visão da Layer8 na jornada de segurança conjunta com as organizações

Criada em 2011, a Layer8 dedica-se em exclusivo ao mercado da segurança da informação e da gestão da conformidade. Num momento em que a segurança já se figura como um ponto central nos processos de negócio, Fernando Cardoso, Chief Operating Officer da Layer8 considera que é “extremamente importante ver a segurança como parte de um processo e não meramente como uma componente técnica que se encaixa à posteriori”.

A oferta da Layer8 inclui desde GRC, CSIRT, Offensive Security, Technology e Managed Services, garantindo que os clientes contam com uma visão 360º por parte do seu parceiro.

Ao dia de hoje, e quando falamos das maiores exigências dos clientes, Fernando Cardoso esclarece que as mesmas dependem sobretudo “do nível de maturidade de cada cliente”. Por um lado, a organização conta com clientes que já investiram na vertente tecnológica de forma a assegurarem as melhores práticas, não só alinhadas com regulamentação, mas também que garantam a capitalização do investimento realizado. “Nesses casos, projetos como a análise de maturidade de segurança ou os serviços de CSIRT ou Offensive Security são os mais procurados”, refere o COO.

Por outro lado, e nos clientes que ainda apresentam lacunas tecnológicas, “a procura tem-se focado em temas como a gestão de identidades privilegiadas (PIM/PAM) ou a adoção de tecnologias focadas na deteção e resposta a incidentes (XDR)”.

O aumento da consciencialização da cibersegurança

Quando olha para o mercado, Fernando Cardoso destaca dois fatores que têm “imprimido uma maior dinâmica na procura de serviços de segurança: consciencialização e regulamentação”.

Com o crescimento do awareness ao longo das últimas décadas, o COO acredita que “o impacto, seja ele reputacional ou financeiro, de um incidente de segurança tem sido perspetivado de forma diferente desde que a imprensa começou a dar mais importância aos incidentes de segurança (ransomware, dataleaks, denial of service, etc.)”.

O interesse pelo tema deixou de ser marginal, circunscrito a setores como a banca, as telecomunicações e os serviços online que dependiam da segurança, para passar a ser central para as organizações: “Raramente encontramos um negócio que não dependa de alguma forma dos sistemas de informação e, subsequentemente, da sua segurança”.

O COO aponta para “um aumento substancial em termos de regulação relativa à segurança de informação”, como é o caso do DORA – para o setor financeiro – e da NIS2 – num contexto mais alargado –, que obrigam as empresas e instituições a manterem-se atualizadas e na linha da frente. A esta realidade da regulação “junta-se cada vez mais a pressão de parceiros e fornecedores no sentido de assegurar relações de negócio seguras com partes terceiras, exigindo a conformidade com normas reconhecidas universalmente como, por exemplo, o ISO 27001”.

Preparar para a regulação

A transposição da Diretiva NIS2, que recebeu, entretanto, luz verde após votação na Assembleia da República, está no radar da Layer8, que apresenta aos seus clientes uma “metodologia estruturada, faseada e totalmente adaptada às necessidades de cada organização”.

“A Layer8 é parceira dos seus clientes em todo o processo de conformidade com a Diretiva NIS2, desde o diagnóstico inicial até ao acompanhamento contínuo, promovendo uma cultura de cibersegurança robusta e sustentável”, reforça Fernando Cardoso.

A primeira fase conta com a nomeação de um responsável de cibersegurança e de um ponto de contacto permanente para assegurar “uma comunicação eficiente com as autoridades competentes”. O objetivo, explica Fernando Cardoso, passa por garantir que “cada cliente cumpre integralmente as obrigações da Directiva NIS2 e aumente, progressivamente, a sua maturidade de cibersegurança”.

O desenvolvimento dos documentos, nomeadamente do modelo de governo, da política de segurança, da metodologia de risco e dos procedimentos de notificação de incidentes fica a cargo da Layer8, que é ainda responsável por elaborar um plano de segurança personalizado, “baseado numa análise de maturidade que avalia o nível actual de cibersegurança de cada cliente e identifica oportunidades de melhoria”.

A empresa procede a uma análise de risco detalhada junto do cliente, com a identificação e mitigação de ameaças e vulnerabilidades de ativos. Ultrapassada a fase inicial, a Layer8 apoia as organizações na “implementação das medidas do plano de segurança e das obrigações periódicas da Directiva NIS2, garantindo acompanhamento contínuo e especializado”. Em caso de necessidade de resposta a incidentes, a equipa de CSIRT está munida de valências para realizar toda a gestão e resposta a incidentes pelo cliente, possibilitando que o mesmo se foque no mais importante: o seu negócio.

Como consequência, a abordagem permite aos clientes reduzirem os riscos de cibersegurança, aumentarem a confiança de clientes, parceiros e reguladores, alinharem práticas do setor e, desta forma, promoverem uma “maior resiliência operacional”, evitando assim “sanções e coimas associadas ao incumprimento da Diretiva NIS2”.

Na visão da Layer8, as organizações devem procurar olhar para a segurança “como (mais) um processo de negócio”, através da implementação de medidas e considerações de segurança “diretamente no design” e “na execução dos principais fluxos e procedimentos operacionais, em vez de a tratar como uma função separada”.