“Proteger os dados não é um objetivo técnico, mas uma condição de continuidade do negócio”

A gestão de risco e compliance, a tecnologia e engenharia, aliada sempre às pessoas e ao user awareness, são os três pilares que integram a abordagem da Oramix à cibersegurança. A empresa de IT, especializada na gestão de dados e na transformação digital, conta com 25 anos de presença no mercado, com clientes nos mais diversos verticais, entre eles saúde, banca, seguros, indústria, administração pública e serviços.

“A nossa filosofia “Data Security First” parte de uma convicção simples: os dados são o ativo mais valioso de qualquer organização e, por isso, a sua proteção deve ser tratada como uma prioridade estratégica e não como uma camada adicional”, começa por explicar Carlos Caldeira, Cybersecurity Manager & CISO da Oramix.

Dados: o alvo a proteger

Com um panorama de cibersegurança a evoluir “de forma significativa”, o especialista afirma que os dados continuam a ser o “alvo comum” para a maioria dos atuais incidentes de segurança, que contam agora com uma ajuda “extra” – a Inteligência Artificial (IA) –, utilizada até pelos próprios atacantes.

Seja sob a forma de ataques ransomware, campanhas ou exfiltração de informação, o Cybersecurity Manager reitera que “é nos dados que reside o verdadeiro objetivo dos atacantes”.

A mudança no mercado tem sido testemunhada pelo próprio integrador, que considera que o investimento feito pelas organizações em cibersegurança é hoje “mais consciente” e estratégico, com o tema a deixar de ser uma “responsabilidade exclusiva das equipas técnicas” para passar a constar da “agenda das administrações”.

Corresponder às exigências do mercado

Apesar da entrada de novos players e, consequentemente, de um leque de soluções mais alargado, Carlos Caldeira defende que, na hora de escolher um parceiro, os critérios das organizações mantêm-se inalterados: a receita inclui conhecimento técnico, maturidade e capacidade de entrega comprovada, que se traduz, no fim da linha, em confiança e parcerias mais fortes.

A evolução do mercado português tem criado uma maior maturidade nos clientes, que chegam à Oramix com ideias concretas e com uma noção de segurança de um ponto de vista estratégico e não apenas técnico. O CISO reitera que esta “mudança de postura” tem acelerado a adoção de Managed Security Service Provider (MSSP), o que se traduz numa externalização da gestão de segurança. A escassez de recursos humanos especializados em cibersegurança tem empurrado igualmente para a adoção deste tipo de modelos, com os clientes à procura de “parceiros a quem possam confiar a gestão da sua segurança de forma contínua, libertando as suas equipas internas para iniciativas mais estratégicas”.

Novas ameaças obrigam a olhar mais amplo

A experiência acumulada em projetos de segurança permite à Oramix endereçar o leque de exigências impostas pelos diversos setores onde atua, onde se inclui a adoção de uma “abordagem verdadeiramente integrada”. Na visão do Carlos Caldeira, as organizações necessitam “de uma visão end-to- -end, que cubra tecnologia, processos e pessoas, e que seja capaz de responder com velocidade quando um incidente ocorre”. Questões como o alargamento da superfície de ataque, a adoção de infraestruturas cloud e o trabalho remoto culminaram em “novos vetores” que contribuíram para “tornar o conceito de perímetro de segurança tradicional obsoleto”.

Outras tendências que marcam igualmente o atual panorama de cibersegurança incluem ataques à cadeia de abastecimento, que “obrigam as empresas a olhar para a segurança de forma mais sistémica e não apenas para dentro”, e o ímpeto da IA, que ocorre hoje nos dois sentidos. “Se, por um lado, os atacantes a utilizam para lançar campanhas mais sofisticadas e difíceis de detetar, por outro as organizações e os integradores recorrem cada vez mais à IA para automatizar a deteção de ameaças, acelerar a resposta a incidentes e reduzir a dependência de intervenção humana em tarefas repetitivas. É uma corrida tecnológica que veio para ficar”, garante o CISO.

O peso da exigência regulatória

O cumprimento de normas e diretivas, como a NIS2 e o RGPD, conquistaram um lugar prioritário e de destaque no negócio. No caso da Oramix, os clientes chegam “cada vez mais preparados, com perguntas mais precisas e expectativas mais elevadas”. Na perspetiva do especialista, o aumento do nível de maturidade tem-se refletido de forma positiva em todo o ecossistema.

No que diz respeito à transposição e à entrada em vigor da NIS2, a organização conta com uma equipa dedicada para acompanhar este “processo exigente”.

A abordagem inicia-se com um assessment técnico que vai permitir à Oramix compreender “onde cada organização se encontra face aos requisitos do Decreto-Lei 125/2025”. Este diagnóstico primordial assenta na metodologia do Quadro Nacional de Referência para a Cibersegurança e está igualmente alinhado com os critérios definidos pelo Centro Nacional de Cibersegurança. Segue-se depois a definição de um plano de implementação desenhado à medida da empresa. “A resiliência é peça principal nesta nova lei, e inclui não só um plano de resposta a desastres, mas também um plano de continuidade de negócio, assente em recursos humanos, tecnologia e recursos físicos na resposta a um incidente, permitindo a uma organização responder de uma forma adequada”, explicita o Manager.

A oferta da Oramix inclui ainda o acompanhamento da cadeia logística e de parceiros, bem como um conjunto de serviços complementares, desde formação e user awareness, pentesting, CSIRT as a service, e uma plataforma integrada que cruza a gestão de vulnerabilidades com a gestão de riscos. “É esta visão de acompanhamento end-to-end, do diagnóstico à operação, que diferencia a abordagem da Oramix de uma resposta puramente consultiva ou exclusivamente tecnológica. O objetivo é que a NIS2 não seja tratada como uma checklist, mas como uma oportunidade para construir uma postura de segurança mais robusta e sustentável”.

A consciencialização da segurança como um todo

Dado o atual contexto, Carlos Caldeira não tem dúvidas da criticidade dos dados e da importância de integrarem o centro da estratégia de segurança das organizações: “proteger os dados não é um objetivo técnico, mas sim uma condição de continuidade do negócio”.

O Cybersecurity Manager & CISO defende que as organizações devem “resistir à tentação” de resolver as questões de segurança apenas com recurso à tecnologia, uma vez que, relembra, “nenhuma solução tecnológica, por mais avançada que seja, é suficiente por si só”.

Há, no entanto, uma outra mensagem importante a reter: a cibersegurança não deve ser tida e vista apenas como um “tema exclusivo das equipas de IT”. Aqui enquadram-se também os colaboradores como potenciais portas de entrada para ataques, sendo necessário “construir uma cultura de segurança sustentável”, que implica o investimento em “formação e na consciencialização das pessoas, de forma contínua e não apenas reativa”.

A exigência do atual quadro regulatório tira o foco exclusivo das equipas de IT e responsabiliza também as administrações pelas falhas de segurança. Para a Oramix, este é um sinal de que “a segurança tem de estar na agenda dos conselhos de administração, com a mesma seriedade com que se tratam os riscos financeiros ou operacionais”.

De uma forma geral, o atual mercado de cibersegurança e a experiência da Oramix permitem concluir que “o foco deixou de estar exclusivamente na prevenção”. Carlos Caldeira sublinha que, hoje, a consciencialização sobre o potencial de um incidente de segurança ocorre sobretudo numa lógica de “quando” e não de “se”, o que leva as organizações a alocarem parte do investimento nas áreas de resposta e recuperação. A par das vantagens de uma abordagem Zero Trust, os planos de business continuity, disaster recovery e simulações de incidentes são agora parte integrante das agendas de segurança das organizações.