João Rosário: “As vulnerabilidades são como ervas daninhas: tratamos umas, nascem outras” (com vídeo)

“Tivemos um dia mau. E foi aí que percebemos que não estávamos preparados para os desafios da cibersegurança”. Foi com estas palavras que João Rosário, Diretor de Segurança e Operações de IT da Sonae MC, abriu a sua intervenção na IT Security Summit Porto, relatando um episódio marcante ocorrido há cerca de três anos, que alterou para sempre a abordagem da Sonae MC em termos de segurança. 

A empresa, líder de retalho em Portugal e com um vasto ecossistema que inclui marcas como Continente, Well’s e ZU, sofreu um incidente de segurança que serviu de alerta: “Percebemos que a nossa postura, a nossa atitude e os meios de que dispúnhamos não eram suficientes”, explicou, salientando que o incidente levou a uma revisitação completa da estratégia de cibersegurança. 

A partir desse momento, a MC Digital, o braço tecnológico da Sonae MC, redesenhou a sua estratégia de segurança, apostando forte na gestão de vulnerabilidades como um dos pilares fundamentais. “A administração percebeu que não estávamos onde devíamos estar. Decidimos acelerar e investir seriamente na nossa capacidade de resposta”. 

Desafios de escala e resistência interna

O cenário revelou-se desafiante: mais de 50 mil equipamentos, mais de mil lojas, 500 aplicações e milhares de utilizadores, e uma diversidade de dispositivos, desde computadores, televisores, equipamentos de frio, impressoras, terminais portáteis, até equipamentos de rede. “Como gerir vulnerabilidades com esta escala?”, questionou João Rosário. O desafio não era apenas técnico, mas também humano: “As equipas diziam-nos: se começarmos a aplicar patches, vamos partir os sistemas. Se não está estragado, não toques”. 

Além da resistência técnica, existia também resistência empresarial, particularmente ao nível das áreas de negócio: “A postura era: isso é um problema da IT, não é nosso. Se quiserem fazer, façam, mas não nos envolvam nem impactem o negócio”. Ainda assim, o incidente serviu como “sponsor” natural para um programa ambicioso, que exigiu negociação, aceitação de falhas temporárias e uma nova mentalidade coletiva. 

Do caos à estrutura: uma resposta estruturada

O processo de transformação passou por várias fases. Inicialmente, uma task force respondeu à crise de forma reativa. Contudo, como salientou João Rosário, “não é sustentável. As vulnerabilidades são como ervas daninhas: tratamos umas, nascem outras”. 

De seguida o passo foi estruturar: definição de normas, políticas, uma equipa dedicada à gestão de vulnerabilidades e processos claros. Mas o verdadeiro teste veio depois: a repetição. “Fazer uma vez é fácil. Repetir todos os meses, todos os anos, com consistência, isso sim, é o difícil”. Situações como as férias de verão ou a introdução de novas aplicações criaram obstáculos à continuidade. “Havia sempre algo mais prioritário do que aplicar patches”. 

Resultados expressivos e eficiência operacional

Os frutos do esforço são expressivos. Em 2024, a empresa eliminou mais de 1,3 milhões de vulnerabilidades. “Estamos a fazer por mês o que antes fazíamos em anos”, afirmou. Graças à automação e à melhoria de processos, conseguiram manter o ritmo com as mesmas equipas, sem crescimento de estrutura. 

A nível técnico, o diretor de operações da Sonae MC destacou avanços notáveis: “Temos sistemas que demorávamos dois dias a atualizar e agora conseguimos fazê-lo em duas horas, praticamente sem intervenção humana. O negócio vai almoçar e quando volta, o sistema está atualizado”. 

Além disso, a taxa de obsolescência foi drasticamente reduzida. “Estamos quase a chegar à obsolescência zero”, revelou o responsável. E o risco global da organização medido pela sua plataforma de gestão, atingiu níveis “abaixo do benchmark de mercado”. 

Integração da segurança no desenvolvimento e mudança cultural

A empresa está agora a aplicar práticas de desenvolvimento moderno, como o shit left, integrando segurança desde o início do ciclo de desenvolvimento, com suporte das novas capacidades de platform engineering. 

No encerramento da sua intervenção, João Rosário destacou o mais importante: a mudança cultural. “Isto não é um projeto. É um modo de vida. Todas as equipas sabem que têm de fazer parte. Não é só a segurança ou a IT, são os business owners, os product owners, todos”. Reforçou também a importância do accountability. “Cada equipa é responsável. Se não conseguem cumprir, têm de justificar, pedir ajuda e resolver”. Para o responsável, mais do que ferramentas ou pessoas, o sucesso está no processo e na clareza dos objetivos. 

Responsabilização transversal e segurança invisível

Além da implementação de uma nova ferramenta de gestão de vulnerabilidades, João Rosário destacou a importância do alinhamento e da responsabilização transversal: “Não é a equipa de segurança que resolve. São todos. Todos têm de cumprir, justificar e entregar”. 

Com um sistema tecnológico vasto, onde a complexidade operacional e o ritmo de inovação são constantes, a empresa mostrou que é possível alinhar segurança e agilidade, sem comprometer a experiência do cliente nem a operação das lojas. “Se o negócio parar porque aplicámos uma correção, então fizemos mal. O nosso objetivo é ser invisíveis, mas eficazes”, afirmou. 

Para o futuro, o foco mantém-se na sustentabilidade de segurança: reforçar os automatismos, consolidar boas práticas e garantir que cada nova aplicação, processo ou equipa entra já com a segurança incorporada de raiz. Como concluiu João Rosário: “A segurança não é uma caixa que se assinala, é uma mentalidade. E a nossa ambição é que essa mentalidade esteja presente em tudo o que fazemos”.