Jorge Vicente: “Se não estiverem a usar os vossos dados para melhorar a vossa defesa, os atacantes vão usá-los” (com vídeo)

No palco principal da IT Security Conference 2025, em Lisboa, Jorge Vicente desafiou a forma como as organizações olham para os dados em cibersegurança. O Diretor de Segurança da Informação do Lidl Portugal alertou para o risco de confundir recolha de métricas com inteligência real, e lembrou que as equipas estão atualmente “inundadas de métricas”, mas essa informação nem sempre se traduz em decisões. A questão, sublinhou, não é a quantidade de dados disponíveis, mas a capacidade de os transformar em vantagem estratégica e em argumentos sólidos para o diálogo com a gestão de topo.

Transformar números, logs e relatórios técnicos em informação estratégica continua a ser um dos maiores desafios das equipas de cibersegurança. Com base na experiência no Lidl, Jorge Vicente descreveu o impacto de uma gestão de dados feita com método e as consequências quando isso falha. No retalho, a escala multiplica a complexidade, uma vez que, contou, “recebemos centenas de chamadas a reclamar que compraram equipamentos que não vendemos online. São sites falsos. No último trimestre tivemos de fazer o take down de mais de 400” – um volume que ilustra a pressão constante sobre quem precisa de atuar em simultâneo na deteção, resposta, comunicação e prevenção.

Entre números, alertas e processos, Vicente deu um retrato vivo da rotina de uma equipa de segurança da informação numa multinacional, com todos os desafios e complexidades que isso implica. Referiu que, internamente, o Lidl opera com 172 controlos automáticos – mecanismos que verificam bases de dados, acessos e volumes de informação – e com inúmeros controlos manuais, executados por equipas que monitorizam rotinas de backup e testes de recuperação. “A minha equipa está constantemente a pedir às outras equipas para executarem verificações e darem evidências”, admitiu, enquanto garante que este esforço coletivo é o que garante que “todas as equipas contribuem para a segurança da informação”.

Medir e transformar políticas em ativos

Medir e comunicar são, segundo o especialista, temas importantes porque, explicou “políticas sem controlos técnicos e sem controlos manuais não podem ser medidas”. Além disso, sublinhou que o verdadeiro valor está em quantificar a maturidade dessas políticas e traduzir esses números numa linguagem compreensível para os conselhos de administração. Nas suas palavras, “com base na métrica sei a maturidade da minha política. Posso dizer ao meu board que a política de backups está numa maturidade 4.5, não preciso de investir mais. Ou então, que temos de investir nas bases de dados”, ou seja, é este exercício que transforma a segurança num ativo real e tangível.

O responsável partilhou ainda a abordagem do Lidl ao modelo Zero Trust, insistindo que não é uma buzzword, mas um projeto concreto. “O grande objetivo do Zero Trust é passarmos do perímetro em que aceitamos tudo o que está dentro para uma solução em que desconfiamos de tudo”, explicou. O programa, detalhou, foi dividido por domínios (dispositivos, rede, identidade) e executado por fases. “Se não encararem o Zero Trust como um projeto, nunca o vão conseguir implementar”, apontou.

Ao citar o relatório da Verizon, Jorge Vicente lembrou que em 2023 cerca de 82% dos ciberataques tiveram origem humana, número que desceu para 64% em 2024. “Há aqui um grande trabalho feito pelas entidades reguladoras e pelos CISO”, reconheceu, mas advertiu que o foco dos atacantes está a mudar, já que “os ataques a explorar vulnerabilidades aumentaram 180%. Estamos a baixar o risco humano, mas a aumentar o risco técnico”. Por isso, reforçou que a formação contínua e o envolvimento dos colaboradores continuam a ser fundamentais, lembrando que “cada pessoa deve ser a primeira linha da firewall humana”.

A organização de auditorias e pentests, bem como a definição de processos de segurança claros, surgiram como extensão natural desta lógica orientada a dados. O Diretor de Segurança da Informação descreveu como o Lidl desenha o plano anual de auditorias, definindo prioridades em conjunto com os diretores de cada área e considerando as mudanças tecnológicas previstas. “Faço um pedido formal aos diretores da empresa para me dizerem as suas preocupações para o próximo ano. Com base nesse feedback, escolhemos o que é mais crítico”, disse, acrescentando que este processo permite ter uma noção clara dos custos, do esforço humano e das vulnerabilidades que exigem atenção prioritária.

No domínio dos processos, Jorge Vicente sublinhou a necessidade de estar preparado para o escrutínio dos reguladores e destacou que, durante uma auditoria, podem ser exigidas provas concretas do trabalho realizado. “Quando formos auditados, vão perguntar ‘mostra-me o processo’. Estamos todos preparados para mostrar o processo?”, afirmou, e deixou a nota de que não basta cumprir tecnicamente – é preciso demonstrar, documentar e justificar cada passo.

A segurança como inteligência

Para o responsável, “a segurança de hoje é data-driven” e deve estar focada nos dados disponíveis. Explicou que não se trata de acumular informação, mas de extrair valor, e afirma que “não queremos mais dados. Queremos mais inteligência. Não queremos dados fora de contexto e fragmentados. Queremos dados organizados”. Jorge Vicente alertou ainda para a sobrecarga de ferramentas e alertas e reforçou que “não queremos mais ferramentas. Queremos mais integração. Não queremos a fadiga dos alarmes. Já recebemos alarmes que cheguem”.

“Se não estiverem a usar os vossos dados para melhorar a vossa defesa, os atacantes vão usá-los”, conclui o Diretor de Segurança da Informação do Lidl Portugal, numa advertência que toca o ponto central de qualquer equipa de cibersegurança. Mais do que tecnologia, é um alerta sobre responsabilidade. Recolher dados não basta; é preciso perceber o que eles realmente dizem, e é neste espaço, muitas vezes esquecido, que se mede a maturidade de uma equipa de segurança.