“Não é fácil pegar em processos às vezes tão complexos e simplificá-los, mas é um objetivo”

Fale-nos um pouco da estrutura da organização e do papel da cibersegurança na mesma.

As Águas do Douro e Paiva e a SIMDouro é a empresa responsável pelo abastecimento de água a 1,6 milhões de pessoas no Grande Porto; somos responsáveis por assegurar o fornecimento de água a esses habitantes.

Nessa responsabilidade e aos dias de hoje, tudo é cada vez mais digital e controlado e monitorizado digitalmente pelos nossos sistemas, recorrendo a diversas tecnologias que temos. Associado a isso, existe uma responsabilidade de garantir a segurança e a operação dessa infraestrutura muito diversificada. Nos últimos anos – desde 2017 – as Águas do Douro e Paiva tem feito um trabalho de dotar a empresa dessas competências e criando uma equipa multidisciplinar que nos permite evoluir e acompanhar as necessidades.

Somos uma equipa composta por cerca de 15 elementos e isso dá-nos a capacidade de resposta e atuação em diversos campos, mais especificamente também na componente de cibersegurança.

Como é que alinham a estratégia de cibersegurança com a missão de garantir o fornecimento contínuo e seguro de água?

Hoje, cada vez mais ouvimos referências ao que são as entidades críticas e a água está nesse setor; a água faz parte de uma entidade crítica e com isso temos de assegurar a operação contínua desses sistemas. Como mencionei, esses sistemas são cada vez mais digitais, automatizados e controlados por salas de controlo e por sistemas industriais, e até por sistemas informáticos que garantem essa operação.

Temos a partilha de dados com os nossos clientes – porque temos uma partilha online de todo o nosso fornecimento de água com os nossos principais clientes – e assegurar isso é crítico para nós. Temos essa responsabilidade de obedecer às regras que também existem a nível do Governo; temos muita legislação que nos obrigam a cumprir, tanto nos decretos-lei que serão anteriormente da NIS1 e agora com a NIS2 e com a potencial entrada, que ainda não apareceu o novo decreto-lei atualizado nessa matéria.

Como é feita a adequação da organização às regulamentações e exigências legais?

Primeiro é uma obrigatoriedade legal. Sendo nós o setor de abastecimento de água e um setor empresarial do Estado, é bom que ele exista porque traz as exigências e o cumprimento. Não significa que tudo depois esteja cumprido à letra porque há questões que, para serem cumpridas, também necessitavam de mais capacidade de decisão e também mais capacidade de investimento, que não é fácil. A parte tecnológica nós vamos conseguindo fazer, mas há ali questões processuais que, por vezes, que se tornam muito complexas e até nos próprios documentos legais – os decretos-leis – não são objetivos, não são claros, e às vezes era preciso essa parte objetiva.

Na construção do decreto-lei anterior participaram muitas entidades com o CNCS nessa construção. Tive a oportunidade de ir a reuniões de participação públicas, antes da publicação, e uma questão muito clara nessa execução é, em nenhum dos documentos está definido que as entidades têm de ter formalmente um responsável sobre essas matérias. O que acontece é que é uma coisa ad-hoc; há entidades que têm, outras entidades que não têm. Não há uma responsabilização efetiva sobre essa matéria.

Como é que trabalham a consciencialização em cibersegurança? Já conseguiram criar uma cultura de segurança para lá do IT?

Nas Águas do Douro e Paiva e SIMDouro, pela obrigatoriedade legal até da apresentação do relatório anual de segurança, fazemos trabalhos internos de formação, divulgação, comunicação e sensibilização.

Depois, criámos grupos até mais pequenos – os grupos das chefias e os grupos até da administração – onde há um trabalho de comunicação constante. Às vezes torna-se até complexo, porque há informação que por vezes queremos partilhar e transmiti-la de uma forma simples também se torna complexo. Há um trabalho transversal dentro da organização, temos vindo a melhorar e vamos procurar melhorar ainda mais.

Quais os maiores desafios de cibersegurança que as empresas públicas enfrentam em comparação com o setor privado?

Um desafio, na minha opinião, é o desafio da contratação. Temos uma obrigatoriedade de contratação pública e de obedecer a critérios de contratação. Numa área tão tecnológica e tão específica, há um esforço adicional e significativo da caracterização do que é que nós queremos comprar.

Aqui há uns anos usei um exemplo numa reunião que tive que é como é que nós, por vezes, justificamos uma aquisição de uma simples firewall. Quando os investimentos são tão elevados e têm de ser contratualizados a nível de procedimento, eu não tenho a liberdade funcional e económica de chegar a um fornecedor e dizer ‘quero comprar aquela tecnologia’. Não, não tenho essa hipótese. Obrigo-me a estudar a tecnologia, a documentar o que é que quero e ter um conhecimento minimamente técnico do que é que ela vai executar. Isso, para nós, é um enorme desafio.

O outro é a adequação legal de muitos dos critérios que nos colocam. À medida que vão criando restrições, vão criando mais esforço de trabalho, mas depois também não temos a capacidade de contratação de recursos. Entramos num esforço gigante também no outsourcing, que, nesta área, considero um risco elevado.

Qual o papel da colaboração com outras instituições públicas e/ou privadas na área da cibersegurança?

As Águas do Douro e Paiva foi a primeira entidade do setor de água a entrar na rede CSIRT. É uma bandeira nossa, trabalhámos muito para que isso acontecesse. Trabalhar nessa rede, nessa partilha de conhecimento e de experiências abre muitas oportunidades e muitas formas de trabalhar. Também nos permitiu criar uma forma de tratamento e de organização no tratamento de incidentes e de regras que, efetivamente, era feito com determinados mecanismos e agora são feitos de outros, mas com regras muito mais específicas e isso permite-nos fazer essa partilha de conhecimento significativo.

Também temos o próprio grupo Águas de Portugal onde partilho com vários colegas e partilhamos também experiências uns com os outros e mantemos este elo. Com as entidades públicas temos algumas ligações com a Faculdade de Engenharia do Porto, com o ISEP, com outras instituições educacionais do Norte e estamos sempre abertos a mais oportunidades.

Entidades privadas temos nos nossos processos de contratação, sendo que também temos alguns objetivos que acho que há muitas startups a aparecer neste processo e queremos também conhecer novas soluções e dar oportunidades a essas entidades.

Quais são as tendências que vê em cibersegurança?

Uma, sem dúvida, é uma buzzword, ou é uma área atual: a inteligência artificial é, sem dúvida, um pilar e cada vez mais inserido na organização. As Águas do Douro e Paiva está a investir significativamente em automatização recorrendo a inteligência artificial, ou seja, abastecimento de água feito de forma mais inteligente e de forma mais automatizada para permitir o nosso trabalho 24 horas com uma forma de apoio. Temos o conceito não da inteligência, mas do operador virtual; é um agente que vai ajudar na nossas decisões e operações.

Na componente de cibersegurança, temos várias tecnologias que temos vindo a apostar e que temos otimizado na forma de nos dar apoio a essa atuação, por um simples facto, que é, nós podemos ter ‘x’ recursos que trabalham, e condições normais, oito horas por dia. Essas tecnologias trabalham 24 horas, efetivamente e temos atuação e vários exemplos de sucesso e de ajuda nessa matéria. Esse é um pilar.

O outro pilar que é importante para nós é a componente da resiliência e falo fundamentalmente na capacidade operacional contínua dos nossos data centers e das nossas infraestruturas, tanto a nível energético como de sistemas, e de funcionar todo on-premises: todos os nossos sistemas industriais funcionam on-premises, não funcionam na cloud, então temos uma preocupação muito grande para que a continuidade deles seja contínua. As Águas do Douro e Paiva têm uma particularidade no Grande Porto, ser uma das poucas empresas com 400 km de fibra ótica implementada, ou seja, nós temos 260 instalações interligadas em fibra ótica propriedade das Águas Douro e Paiva. Isso dá-nos uma capacidade operacional e de atuação ímpar no setor. Isso, para nós, é um critério fundamental.

Que conselho deixa para outros líderes de segurança?

Uso alguns exemplos práticos para mim próprio. Primeiro, gosto muito do mote keep it simple, que é manter a simplicidade e procurar dar sempre o melhor resultado. Não é fácil nesta área pegar em processos às vezes tão complexos e simplificá-los, mas acho que é um objetivo.

O segundo, como responsável de tudo, acho que é nunca parar de aprender. Estamos numa área que, feliz ou infelizmente, temos de ter uma capacidade de absorção e de aprendizagem muito grande. Se olharmos para há dez anos, a nossa capacidade tecnológica era uma; hoje há ‘n’ vetores de aprendizagem e temos de ser capazes de os compreender e até liderar as equipas técnicas.

E para mim o maior exemplo é o efeito das crianças, que é a curiosidade. Se não formos curiosos, de estar sempre a querer saber mais e de aprender mais e de fazer mais, não vamos dar esses saltos. São esses três lemas que têm seguido sempre um pouco na minha atuação.