“Não há recursos especializados em cibersegurança suficientes para as necessidades existentes”. Ciber-Resiliência: Preparar, Testar e Sobreviver (com vídeo)

A última mesa-redonda da IT Security Conference 2025 teve como tema a capacidade de permanecer firme quando o mundo digital estremece, sendo o equilíbrio entre a vulnerabilidade e a adaptação a ciber-resiliência. Num painel que contou com a participação de Carlos Silva, Diretor de Cibersegurança e Proteção de Dados do Banco CTT, Ivo Rosa, Head of Security Operations Center da EDP, Luís Duarte, Chefe de Divisão das Tecnologias de Informação da Agência Portuguesa do Ambiente e António Correia, Area Sales Manager da WatchGuard, foram partilhadas as visões de como preparar, testar e sobreviver a incidentes graves de cibersegurança.

Antecipar e preparar para ciberataques

Carlos Silva começou a sua intervenção por mencionar que “não é fácil criar testes quase reais”. O que é possível fazer para se poderem realizar exercícios de teste que simulem ataques reais é “tentar ter ambientes o mais perto possível do que são ambientes de produção”. A partir desse momento, é possível “identificar as situações que podem ocorrer, que cenários podemos ter e de que forma podemos responder” nos ambientes digitais das empresas. O orador considera, que além da complexidade de ter tempo e capacidade para desenhar os cenários de teste, que o principal desafio dos exercícios de testes é “incluir todas as outras áreas que não são áreas técnicas. Tecnicamente conseguimos definir estes cenários, mas quando estamos em testes não temos a pressão do nosso administrador, o nosso presidente de Comissão Executiva, das operações, do negócio”.  O responsável de cibersegurança do Banco CTT afirmou que as empresas que não têm capacidade para ter sistemas capazes de realizar testes mais assertivamente “têm muito com que trabalhar em ambientes mais pequenos, mais contidos”.

Ivo Rosa destacou que a EDP tem um cyber range, uma infraestrutura física onde se conseguem criar cenários para preparação e treino para um eventual ciberataque. O ponto forte está assente “na parte de preparar e treinar as equipas para serem capazes de resistir e serem resilientes a um ciberincidente”. Em comparação com aquilo que praticava há uns anos, de acordo com o orador, existe um passo adicional para melhorar a ciber-resiliência nas empresas: treinar as equipas para cenários de incidentes críticos. No caso da EDP, realizam aquilo que chama de exercícios red button, onde cortam parte das operações para terem visibilidade da continuidade de negócio que tem quando um ataque desse tipo acontece. “Isto foi afinando e acho que nos tornou mais resilientes para quando tivermos de enfrentar um cenário crítico, que cruze com fenómenos físicos, e estarmos preparados para cortar, mantendo um determinado nível de operação mínima, que seja suficiente para estarmos satisfeitos com o nível de serviço”, comentou Ivo Rosa.

Prioridades sem orçamento

Luís Duarte realçou que “a administração pública não é bem uma empresa”, mas sim um conjunto de entidades em que, muitas vezes, as que necessitam não têm dinheiro para investir, “e as que não precisam têm muito dinheiro”. O responsável de segurança acredita que a noção das prioridades de segurança na administração pública está muito clara nos diversos níveis da mesma.

“A questão do dinheiro começa muito pela capacidade de investimento”, revelou o orador, mencionando que o novo CTO para a administração pública, que irá gerir a Agência para a Reforma Tecnológica do Estado (ARTE), tem de ter uma “grande consciência que terá de arranjar fontes de financiamento para dar suporte” a todas as necessidades das entidades de administração pública. Um dos problemas que a administração pública enfrenta, de acordo com o orador, é a inexistência de controlo sobre os dados e a ausência de um “catálogo do que é que é um sistema crítico”.

Luís Duarte reiterou a ideia de que “ao nível dos sistemas críticos na administração pública não existe um pensamento global”, sendo que o controlo é, maioritariamente, realizado pela ARTE, através de uma análise dos investimentos feitos em todas as áreas, principalmente na área de tecnologia.

Quando o fator humano faz a diferença

António Correia acompanha, maioritariamente, a realidade de pequenas e médias empresas em Portugal, e questiona se existe, efetivamente, um plano para responder a ciberincidentes. “Aquilo que vou testemunhando no mercado é que, ainda que existam coisas que variem muito, ainda há muito por fazer, mesmo com a tecnologia que têm”, explicou o orador, reiterando que as falhas não ocorrem necessariamente por falta de tecnologia ou por existirem vulnerabilidades técnicas.

Estas falhas, na maior parte das vezes, estão relacionadas com a falta de “aplicabilidade” ou pela falta de acompanhamento das soluções de cibersegurança. O orador considera que o acompanhamento tem de ser contínuo, sendo essa uma grande diferença entre o que está no papel e aquilo que acontece na realidade quando ocorre um ciberataque, “porque há dificuldade por parte das empresas com equipas pequenas de IT, que têm de dar resposta a tudo e mais alguma coisa”.

O responsável destacou ainda que, quando as empresas têm um plano de resiliência contra ciberataques, o elo mais fraco tende a ser as pessoas, “porque são elas que acabam por ter a responsabilidade de implementar as tecnologias com a seriedade e a dedicação que esta área merece”.

A defesa começa na comunicação

Carlos Silva confessou que já passou por diversas organizações e que “quase todas elas foram atacadas, e ainda bem, porque isso também nos ajuda a crescer”. Recordando ataques de phishing e ransomware, o especialista destacou que o maior problema não foi técnico, mas sim comunicacional. “Em lado nenhum está escrito como devemos falar com colaboradores, parceiros ou reguladores. O que falhou sempre foi esta componente da comunicação”. O orador ainda elogiou a forma como a Vodafone geriu publicamente um incidente anterior: “Comunicou de forma brilhante, interna e externamente”.

Ivo Rosa concordou com a importância da comunicação e sublinhou que os planos de resposta devem ser flexíveis. “O cenário ideal é quando o plano consegue adaptar-se às imprevisibilidades que não estão contextualizadas”, explicou. O representante admitiu que, mesmo com frameworks bem definidas, há sempre “um passo difícil na engrenagem” quando chega o momento de comunicar. Acrescentou ainda que existe “uma descodificação de linguagem” entre técnicos e jornalistas, o que causa atrasos e ineficiências: “Temos templates de resposta, mas depois qual é o template certo para a situação? Estamos num nível de maturidade diferente na relação deste tema”.

Luís Duarte partilhou um caso curioso e revelador: “talvez por sorte ou por falta de interesse, nunca tivemos um grande problema”, aquilo que já aconteceu, muitas vezes, está relacionado com o comportamento das pessoas. O responsável relatou o episódio de uma funcionária que entregou a senha e o código de autenticação do email a um desconhecido. “As pessoas fazem coisas que não lembram ao macaco mais velho”, lamentou. Para o dirigente, o problema não é a tecnologia, mas a falta de capacitação das pessoas: “Podemos ter os XDR, MDR, todos os ‘R’, mas se as pessoas fizerem disparates, é complicado ultrapassar”.

Já António Correia defendeu que as organizações não têm recursos humanos nem técnicos suficientes para enfrentar sozinhas os ciber-riscos. “É impossível as empresas perceberem tudo. Não há recursos especializados em cibersegurança suficientes para as necessidades existentes no mundo”. Por isso, recomendou que “arranjem o parceiro certo que vos ajude lidar com estas situações”, sublinhando que a cooperação e a experiência prática são hoje as melhores armas na defesa digital.