Balwurk: “Errar é humano, mas o erro não pode ser uma surpresa. Temos de saber lidar com o inevitável” (com vídeo)

A apresentação da Balwurk, conduzida por João Teixeira, Cybersecurity Architect da empresa portuguesa, teve como tema a “Modulação de Ameaças e o Retorno do Investimento em Segurança”. O orador deixou uma mensagem clara para o público: a modelação de ameaças não é apenas uma técnica, é uma filosofia de trabalho e um investimento estratégico com o maior retorno de investimento possível para a segurança das empresas. 

João Teixeira apelou à audiência presente para repensar a forma como abordam os riscos em ambientes digitais: “Permitam-me tentar explicar porque é que a modelação de ameaças é o investimento em segurança com o maior retorno possível”, referiu, apresentando a Balwurk como uma empresa 100% portuguesa com foco na segurança aplicacional. 

A transformação digital tem conduzido todas as dimensões da vida para o ciberespaço, e com essa migração surgem novos riscos. “Em qualquer cenário em que o ser humano se tenta aventurar, há ameaças e há risco”, alertou. É neste contexto que a modelação de ameaças se torna fundamental.

Do risco à prevenção: uma abordagem holística

Para João Teixeira, uma ameaça pode ser entendida como “um incidente em curso ou com forte probabilidade de se concretizar”, o que exige uma resposta eficaz por parte das organizações. A modelação de ameaças, explicou o orador, não se limita à tecnologia. “Os processos e as pessoas também são importantes”, destacou, defendendo uma abordagem holística. Este tipo de análise permite, por exemplo, identificar vulnerabilidades ainda em fase de conceção de um sistema, evitando que problemas se tornem críticos mais tarde. 

A preocupação com o risco, longe de ser uma novidade da era digital, tem raízes em outras áreas, como as forças armadas e a aviação. “A modelação de ameaças vem tentar trazer alguns princípios fundamentais dessas áreas”, referiu. Desde 2020, com o surgimento do Manifesto da Emulação de Ameaças, esta prática tem evoluído para além da aplicação técnica, abrangendo também a estrutura organizacional. 

O objetivo é garantir dois pilares essenciais: resiliência e continuidade do negócio. “A prevenção já não é, nem pode ser, o foco principal”, apontou. Os recursos são limitados e, por isso, é necessário saber onde investir. “Errar é humano. Mas o erro não pode ser uma surpresa. Temos de saber lidar com o inevitável”, reconheceu. 

João Teixeira abordou as diferentes naturezas do risco: o acidental, fruto de erro humano ou técnico, e o essencial, inerente ao próprio funcionamento de uma organização. “O incidente, mais dia menos dia, vai ocorrer. E é bom que tenhamos investido nesse cenário”, acautelou. A preparação para o inevitável é o que distingue uma resposta eficaz de uma falha catastrófica. 

Integração no ciclo de vida do sistema

A framework utilizada pela Balwurk assenta em quatro questões fundamentais, num processo contínuo e integrado na cultura organizacional: o que estamos a construir, o que pode correr mal, como o sistema responde, e se a resposta é eficaz. “Se não fizer, voltamos ao início”, explicou, defendendo que este ciclo deve ser iniciado o mais cedo possível, idealmente, na fase de planeamento do sistema. 

Na prática, a Balwurk incorpora este processo no ciclo de desenvolvimento de software. No entanto, João Teixeira garantiu que pode ser aplicado em qualquer momento: “Mesmo em ambiente de produção, implementação e até ao nível da governança”. As políticas de segurança, como o uso aceitável de informação, também devem ser avaliadas segundo esta lógica. 

Retorno de investimento em segurança

A ligação entre modelação de ameaças e retorno de investimento em segurança tornou-se evidente ao longo da apresentação. “Se conseguirmos identificar os limites da nossa operação, definir concretamente os riscos e antecipar a nossa capacidade de resposta, o retorno é significativo e óbvio”, afirmou. 

A medição desse retorno pode ser feita de forma quantitativa ou qualitativa. O cálculo financeiro conhecido como ROSI (Return on Security Investement), inspirado numa proposta feita pela ENISA em 2012, permite avaliar se o investimento está equilibrado em relação ao risco de perda. O Cybersecurity Architect da Balwurk explicou que: “Não tem como objetivo gerar lucro, mas sim evitar ao máximo a perda possível”. 

Com o crescimento das exigências legais, como RGPD ou a diretiva NIS2, saber justificar os investimentos em segurança com métricas claras tornou-se ainda mais relevante para as empresas que procuram estar em conformidade e evitar coimas elevadas. 

Impacto da modelação de ameaças

Apesar de reconhecer a dificuldade em preencher todas as variáveis necessárias para calcular o ROSI, João Teixeira defendeu também a avaliação qualitativa. Ilustrou a sua argumentação com dois cenários de desenvolvimento de software: um com modelação de ameaças e outro sem. O primeiro revelou-se muito mais eficaz na identificação precoce de vulnerabilidades e na resposta a incidentes. 

“As organizações não conhecem a sua superfície de risco estão de mãos atadas e cegas quando chega o momento da resposta”, avisou. Já aquelas que integram a modelação de ameaças desde o início “terão menos vulnerabilidades, menos incidentes e maior capacidade de resposta”. 

A concluir, João Teixeira evocou a célebre Lei de Murphy: “Se alguma coisa pode correr mal, vai correr mal”. E deixou um conselho prático: “Mais vale nós medirmos várias vezes antes de cortar, porque depois, se calhar, quando cortamos, podemos cortar errado. E o custo de remediação é muito maior”. João Teixeira reforçou que a modelação de ameaças não é apenas uma ferramenta técnica, mas uma forma de pensar que deve ser incorporada em todos os níveis da organização.