“Continuamos a achar que a cibersegurança é responsabilidade do IT”: visão holística em debate (com vídeo)

A tarde da IT Security Summit 2025 arrancou com uma reflexão sobre a maturidade das organizações em matéria de cibersegurança. A mesa-redonda “A abordagem holística à cibersegurança das organizações”, reuniu Miguel Teixeira, CIO da Triangle’s, Ivo Freitas, Cyber Security Director da Vishay, e João Figueiredo, responsável pela área de Enterprise and Cyber Security da Fujitsu. Em comum, os oradores destacaram a urgência de tornar a segurança uma prioridade transversal, presente desde a estratégia até à operação e adaptada a todas as áreas do negócio.

“As questões de segurança são ainda um pouco uma ambição”, confessou Miguel Teixeira. Apesar de notar “alguma evolução da consciência”, o CIO da Triangle’s lamenta que a cibersegurança continue a ser vista como um tema técnico, dado que “ainda há algo que está na casa das máquinas, achamos que é algo que é da responsabilidade do IT”, afirmou. Para o responsável, o caminho passa por envolver toda a cadeia de valor, desde fornecedores a clientes, já que “somos tão fortes quanto o elo mais fraco”.

Quando a estratégia depende da liderança

A ideia de que a cibersegurança tem de ultrapassar o departamento de IT foi reiterada também por Ivo Freitas, que rejeita a perceção de que as multinacionais estão necessariamente mais avançadas. “Os desafios são os mesmos, a escala é que é diferente”, afirmou. Na sua perspetiva, “estar alinhado [com a estratégia da empresa] não chega hoje em dia”, sendo essencial que a cibersegurança seja uma parte integrante da própria estratégia empresarial. Para ilustrar, deu um exemplo que considera comum: “Quando a empresa chega ao ponto B, começa a pensar no C. E a cibersegurança volta-se a alinhar para o C, mas nunca chegou ao B”.

Também João Figueiredo insistiu na necessidade de mudar os modelos de governação, ao considerar que, nas empresas, “não temos a visão de ter os CISO e os CEO nos próprios boards”. O especialista da Fujitsu lamenta que o tema da cibersegurança continue frequentemente entregue vogais ou responsáveis sem formação técnica e defende que “o alinhamento com o negócio exige transversalidade”. Na sua opinião, é necessário repensar os comités de decisão, sublinhando que “essas sessões integradas com o board estão a ser transmitidas como comités de segurança, mas esses comités têm de ter esse papel de decisão”.

Para sustentar esta integração, Miguel Teixeira destacou a importância de construir business cases sólidos que “demonstrem que a segurança faz parte da solução”. A cibersegurança, defende, assemelha-se a um seguro – um investimento necessário, ainda que idealmente nunca utilizado. “É como um seguro que esperamos nunca ver usufruído”, comparou. Nesse contexto, considera essencial envolver toda a organização, sublinhando que “passa muito por sensibilizar este nosso maior capital humano, que são as pessoas”.

Cultura, liderança e métricas: os pilares da transformação

Ivo Freitas sublinhou a importância da liderança como elemento-chave para mudar a cultura interna, defendendo que esta deve funcionar como “os nossos embaixadores, junto de toda a empresa”. Essa transformação, explica, exige uma abordagem flexível, capaz de se adaptar às diferentes regiões e perfis etários que coexistem nas organizações. “Há quem goste mais de newsletters, outros de jogos, webinars ou até de ser obrigado a fazer”, afirmou, reforçando que é necessário estar preparado para responder a todas essas realidades.

Neste sentido, as métricas tornam-se num instrumento crítico para esta transformação, desde que tenham impacto real, de acordo com João Figueiredo. “É importante ter objetivos e ter métricas, mas são métricas que muitas vezes têm de ter um alinhamento de diferenciação”, defendeu. E foi mais longe: “quem executa, não deve ser quem define as métricas em benefício próprio”. Por isso, considera essencial que as organizações recorram a auditorias e consultorias, sendo que “a auditoria é a última linha de defesa e não a primeira linha de ataque”.

O debate abordou também a transição de gerações no contexto empresarial e a importância da formação contínua. Miguel Teixeira alertou para os riscos associados à entrada de jovens talentos que, apesar de dominarem a tecnologia, nem sempre têm consciência de cibersegurança. Referiu que chegam muitas vezes “com modelos prototipados, muito escassos, funcionam, mas não são industrializáveis”. Quanto aos colaboradores mais seniores, defendeu a criação de uma cultura de aprendizagem contínua e sublinhou que “essa senioridade não deve ser um problema” e que é essencial cultivar uma atitude de tolerância ao erro.

João Figueiredo apresentou o projeto da Fujitsu em Beja, onde a empresa instalou o seu Security Operations Center num polo universitário, integrando o desenvolvimento de talento nesta estratégia. O apoio às propinas dos melhores alunos e alunas, com o objetivo de garantir a cota de igualdade, foi referido como parte desta iniciativa. O objetivo é criar uma “equipa de talento” que una experiência e inovação, com pessoas dos 20 aos 55 anos nas mesmas comissões executivas.

O lugar da inteligência artificial na segurança moderna

Sobre a inteligência artificial, os três oradores concordaram que, apesar do seu potencial, esta tecnologia levanta novos desafios. Ivo Freitas alertou que a mesma representa “talvez hoje o principal vetor da infiltração de dados sensíveis das empresas” e reconheceu a dificuldade em restringir o seu uso, afirmando que “quem não estiver a permitir inteligência artificial é visto quase como um dinossauro dentro da empresa”. Ainda assim, vê nela um contributo valioso para as equipas de segurança, desde que “bem utilizada”, já que permite “ajudar as equipas a serem muito mais eficazes”.

João Figueiredo defendeu uma visão prática e transformadora da inteligência artificial, sublinhando que o objetivo não é substituir pessoas, mas sim “otimizar recursos.” A tecnologia, no seu entender, deve ser aplicada para “melhorar a capacidade de trabalho” e aliviar o esforço das equipas operacionais. Explicou que a gamificação pode desempenhar um papel importante nesse processo, pois “muitas vezes, é a introdução de novas categorias de tecnologia, como a inteligência artificial, que vão melhorar a capacidade de trabalho e alterar o seu dia-a-dia”.

Os oradores refletiram ainda sobre os desafios da arquitetura de segurança em ambientes de cloud híbrido. João Figueiredo resumiu a abordagem ao afirmar que “a redução de âmbito é a mente de toda a sabedoria” e recorreu à analogia com legos para explicar a necessidade de construir com precisão e intenção, destacando a importância de “ter essa capacidade de encaixar a peça certa no sítio certo e evitar a tentação de cortar a peça para ela encaixar”.

Miguel Teixeira defendeu que o primeiro passo para uma arquitetura de segurança robusta passa por “partilharmos o mesmo manual, partilharmos o mesmo conjunto de ferramentas”. Para o CIO da Triangle’s, a criação de procedimentos comuns e uma linguagem partilhada entre parceiros são fundamentais. Acrescentou ainda que é essencial garantir redundância e equilíbrio entre ambientes, salientando que “é importante contarmos com o on-premises como backup da cloud e o cloud como backup do on-premises”.

Mais do que identificar obstáculos, a mesa-redonda evidenciou que uma abordagem integrada à cibersegurança exige o envolvimento de toda a organização – da administração aos colaboradores, passando pela academia e pelos parceiros – e assenta numa visão estratégica, transversal e centrada nas pessoas. O caminho pode ser exigente, mas o consenso entre os oradores é claro: é também inevitável.