Luís Morais: “Ao trabalhar com projetos de inovação, vão trazer risco para dentro da organização” (com vídeo)

Luís Morais, CISO da Galp, apresentou na 2.ª edição da IT Security Conference a relação complexa, mas simbiótica entre as equipas de cibersegurança e o departamento de inovação dentro de uma organização, com o objetivo de fortalecer a capacidade de proteção e combate contra incidentes.

Cibersegurança na inovação

“Vamos ser sinceros: se isto fosse o secundário, os tipos da inovação e os tipos da cibersegurança nunca se sentavam na mesma mesa para almoçar”, brinca Luís Morais, retratando o cenário atual da cibersegurança e inovação dentro das organizações. “Os tipos da inovação olham para a cibersegurança como os tipos que estão sempre a dizer que não”, enquanto as equipas de cibersegurança veem as de inovação como “adolescentes que querem fazer tudo sem seguir as regras e vamos ter que os controlar”.

O caminho para a resolução desta relação complexa passa pelo diálogo entre os dois departamentos de modo a compreender a perspetiva um do outro, acredita o CISO da Galp. As equipas de inovação devem perceber que aquilo que “funciona em laboratório nem sempre funciona na vida real, principalmente porque o laboratório não tem os agentes de ameaça que nós temos todos os dias a atacar as nossas redes”. Por outro lado, as pessoas da cibersegurança devem compreender “aquilo que são os requisitos da organização, onde é que a organização quer ir estrategicamente e suportar a organização nesse desenvolvimento”.

 “A organização tem de perceber que, ao trabalhar com projetos de inovação, eles vão trazer risco para dentro da organização”, sublinha Luís Morais, considerando este um dos “fatores-chave na mudança do mindset”.

A experiência das equipas de cibersegurança da Galp, conta Luís Morais, tem assentado em desempenhar o papel de “parceiros do negócio”, trabalhando intimamente com o departamento de inovação “desde o dia zero, tentando implementar princípios de ciber-resiliência by design”.

O objetivo é garantir que as soluções de inovação são efetivamente seguras e que “nos permitem reagir e responder no caso de haver uma intrusão nessa tecnologia” através do controlo dos dados utilizados em conjunto com “uma aproximação em sandbox”.

O “drive” da implementação de projetos de inovação deverá passar por “começar a implementar estes projetos em âmbitos controlados do ponto de vista tecnológico, do ponto de vista dos dados que acedem e ir aumentando progressivamente esses dados à medida que nós percebemos que a tecnologia é funcional, que tem retorno de investimento e que vai ser usada”.

Por outro lado, isto permite às equipas de cibersegurança “ir testando os mecanismos e controlos que temos que aplicar em cima daquela tecnologia, que é nova, que nós não conhecemos e que, portanto, não podemos utilizar as mesmas técnicas de sempre para a desenvolver”.

Inovação na cibersegurança

Não obstante, a relação simbiótica entre inovação e cibersegurança tem proporcionado um conjunto de tecnologias que permitem às equipas de Cyber “ser um bocadinho mais capazes de responder às ameaças que temos diariamente”.

A automação e orquestração tem sido benéfica para a cibersegurança, visto que possibilita “tirar a atenção dos meus analistas que estão a lidar com incidentes de segurança, focá-los naquilo que é essencial e ter muito maior produção do ponto de vista de cibersegurança e de gestão de incidentes com os mesmos recursos humanos”, bem como “mantê-los interessados e motivados”.

Outros exemplos são as tecnologias de machine learning, IA e Threat Intel Sharing, juntamente com a behaviour analytics de pessoas, sistemas e redes. O Continuous Cyber Risk Management é uma ferramenta utilizada que funciona como “um sistema imunitário”, identificando as fragilidades dentro do ecossistema e corrigindo-as de forma quase automática, possibilitando uma “melhor capacidade de gestão do dia a dia”.

Por fim, Luís Morais destaca o fator humano como um dos maiores riscos na ocorrência de incidentes, sendo importante a formação das equipas. Na Galp, a capacitação das pessoas, explica, é feita através da gamificação e adaptive learning, que permite avaliar os pontos em que estão menos confiantes e, posteriormente, dar prioridade precisamente a estas temáticas.