Layer8: “O foco excessivo continua a ser a tecnologia, como se fosse um escudo infalível contra os ataques” (com vídeo)

No âmbito da sua apresentação, Pedro Costa, GRC Unit Manager da Layer8, apresentou uma reflexão sobre o regulamento NIS2, destacando a necessidade urgente de uma mudança cultural e estratégica dentro das empresas para estarem preparadas para a implementação da nova diretiva.

Pedro Costa iniciou a sessão com uma metáfora musical: “Venho aqui para vos dar música e também falar um bocadinho sobre a abordagem que propomos para a implementação da NIS2 de forma estruturada”. Através de uma cassete como símbolo da evolução da tecnologia, alertou para a dificuldade das organizações em acompanhar as mudanças no domínio da segurança de informação.

“Na música, a evolução tecnológica foi transparente para o utilizador, mas será que na segurança organizacional é assim tão trivial”, questionou o orador. A resposta para Pedro Costa é clara: não é.

Pedro Costa não escondeu a complexidade dos desafios que as empresas enfrentam. “Vivemos num verdadeiro circo de feras”, afirmou, alertando para a pressão crescente que as entidades sentem para estarem em conformidade com a NIS2. De acordo com o responsável da Layer8, o medo de um ciberataque está presente em todas as organizações, mas muitas continuam a pecar por não terem uma estratégia de cibersegurança clara, nem processos e responsabilidades bem definidos.

Da tecnologia à estratégia: mudar o paradigma

Referindo-se à implementação da NIS2 como um ponto de viragem, Pedro Costa explicou que a nova diretiva “pretende estruturar e responsabilizar a segurança de informação, aumentando a maturidade das organizações”. Para isso, defende uma mudança de paradigma: a segurança de informação deve ser integrada na estratégia organizacional, com o envolvimento da gestão de topo.

Pedro Costa salientou que grande parte das empresas não possui departamentos específicos de segurança ou risco, acabando por delegar estas responsabilidades às equipas de IT, que não estão preparadas para lidar com requisitos normativos e processuais. “O foco excessivo continua a ser a tecnologia, como se fosse um escudo infalível contra os ataques, mas sem estratégia, a tecnologia sozinha não resolve”.

O orador acredita que é necessário ser implementada uma mudança no tipo de abordagem à gestão de risco e de incidentes, passando de uma abordagem reativa para uma abordagem mais proativa. “A abordagem atual é demasiado reativa. Precisamos de processos, normas, políticas claras e uma gestão de risco proativa”.

“O monstro precisa de amigos”

Na construção da sua abordagem à implementação da NIS2, Pedro Costa destacou três pilares fundamentais: as pessoas, os processos e a tecnologia. “As pessoas são os músicos, os processos são as partituras e a tecnologia são os instrumentos”, afirmou. Para que a “música da segurança de informação” toque de forma harmoniosa é necessário o envolvimento de toda a organização.

“Sem o apoio da gestão e dos colaboradores, não existe estratégia viável. E sem uma estratégia viável, não há conformidade com a NIS2”, reforçou o orador.

Definir para agir

A estratégia proposta pelo orador assenta em três ações chave: definir um ponto de contacto e um responsável de cibersegurança, criar um modelo de governação com funções e responsabilidades bem atribuídas e formalizar uma política de segurança de informação e um plano de ação estruturado, baseado numa análise de maturidade.

O orador sublinhou ainda a importância de definir um plano estruturado para implementar a NIS2, com base numa análise de maturidade da organização. “Tal como quando fazemos uma viagem e planeamos o que visitar, onde comer, onde dormir, também aqui precisamos de um roteiro”, referiu.

Risco, medidas e monitorização contínua

O “Lado B” da cassete foca-se na análise e gestão de risco, bem como na implementação de medidas técnicas e operacionais. “Todos os ativos têm vulnerabilidades. Precisamos de avaliar os riscos, perceber o nosso apetite ao risco e agir sobre o que realmente importa”, defendeu.

Para isso, é fundamental realizar o inventário dos ativos, não apenas os tecnológicos, mas também humanos e informacionais, e aplicar planos de tratamento eficazes. “Se não soubermos o que é crítico, como podemos proteger?”, questionou.

Pedro Costa destacou também a necessidade de definir um apetite ao risco. “Não temos recursos infinitos. Temos de escolher onde investir os nossos esforços e aceitar que alguns riscos, se forem baixos, podem ser tolerados”.

Na reta final da sua intervenção, falou sobre as dez medidas obrigatórias previstas pela NIS2, como a gestão de incidentes, segurança física, criptografia, ciberhigiene, entre outras, e alertou para a necessidade de cada organização adaptar a sua implementação à sua realidade. “Mesmo organizações do mesmo setor terão planos diferentes. Querem tentar aplicar medidas sem estratégia e tática está, na verdade, a deitar dinheiro ao lixo”, advertiu o orador.

A revisão e a monitorização contínuas também não foram esquecidas. “É essencial medir, analisar e reagir antes que algo corra mal. Isto é um ciclo que nunca acaba, e é assim que garantimos uma segurança de informação eficaz e evolutiva”.

Com um apelo final à mudança de mentalidade, Pedro Costa concluiu: “Não encarem a NIS2 como um desafio tecnológico. É uma oportunidade de fazer crescer a maturidade da vossa organização. Agarrá-la é essencial”.