"O impossível é impossível até acontecer pela primeira vez": Preparar as empresas para o imprevisível na era digital (com vídeo)

Na era digital, os ciberataques são uma ameaça constante que obrigada as empresas e as organizações a repensarem os seus modelos de segurança. Esta foi uma das principais conclusões da segunda mesa-redonda da IT Security Summit que teve como tema “Ciber-Risco e Ciber-Resiliência: Preparação para o Inesperado”, que contou com a participação de Vanessa Mara, CISO da Ascendi, Américo Guerreiro, CISO da Efacec, e David Grave, Security Director da Claranet Portugal.

“Por mais que falemos de ciber-riscos, muitas vezes as medidas de mitigação não são tão ‘ciber’ assim”, referiu Vanessa Mara no arranque do painel, mencionando a necessidade urgente de rever as estratégias de proteção. “O risco hoje impacta fortemente a reputação, o aspeto legal, o aspeto financeiro e, nalguns casos, pode significar o fim de uma empresa”.

O alerta é claro: não basta fechar portas, é preciso olhar para todo o ecossistema. “Hoje não é só trancar a porta. É olhar para as janelas, o bairro, os vizinhos, o plano de fuga, e na cibersegurança não é diferente”. A ênfase foi colocada também na capacidade de adaptação das organizações. “Mesmo com riscos identificados e mitigados, os cenários vão falhar. Temos de estar preparados para o inesperado, para o improvável e até para o impossível. O impossível é impossível até acontecer pela primeira vez”.

Sistemas antigos vs. modernos: um casamento (in)forçado

A integração de sistemas antigos com tecnologias modernas foi outro tema quente do debate. O CISO da Efacec partilhou o dilema recorrente: “Temos equipamentos antigos, sistemas que foram desenhados para estar isolados, e de repente chega uma máquina nova que precisa de estar ligada ao exterior por causa dos sensores e inteligência artificial”.

A resposta tem passado por isolar redes e segmentar os sistemas, mas isso não chega. “É preciso fazer uma análise aprofundada de toda a cadeia de fornecimento, firmware, hardware, origem dos dispositivos. Com a nova diretiva NIS2, isto é ainda mais crítico”, afirmou Américo Guerreiro.

David Grave corroborou: “estamos a misturar dois mundos com conceitos opostos. Os sistemas legados não têm sequer autenticação. É como ligar-se a uma rede e ver tudo o que lá está. Precisamos de criar pontos de contacto controlados, redes segregadas e forte monitorização”.

Orçamentos curtos, riscos longos

A escassez de orçamento para segurança também foi discutida, com os oradores a apelarem a uma distribuição estratégica dos recursos. “Se investirmos tudo na defesa, e nada na deteção e resposta, criamos uma falsa sensação de segurança”, alertou David Grave. “É preciso olhar para os três pilares: prevenção, deteção e resposta”.

Vanessa Mara reforçou esta visão: “Não podemos ser ingénuos. O orçamento é finito, mas há investimentos não financeiros que podemos fazer. Formação contínua, exercícios de simulação, processos bem desenhados, tudo isso aumenta a maturidade em cibersegurança”.

Pessoas e processos: o elo mais forte (ou mais fraco)

Américo Guerreiro defendeu que a construção de uma cultura de cibersegurança dever transversal. “A vulnerabilidade vem quase sempre pelo elo mais fraco. Uma única pessoa sem formação pode comprometer todo um sistema”.

A sensibilização deve ser adaptada ao público: “não é a mesma coisa falar com o departamento jurídico ou com a linha de produção. Até os blue collars, que não usam computadores diariamente, devem estar incluídos”. E os parceiros externos? Também eles devem ser abrangidos por estas práticas. “Estamos a investir na formação da nossa equipa interna, mas e os subcontratados? E os clientes que exigem usar plataforma como o WeTransfer, quando já temos alternativas mais seguras?”.

“Ah, mas é o cliente que está a pedir? Então façam-me um favor, peçam ao vosso parceiro o contacto do CISO deles, que eu ligo ao CISO e converso com ele”, exemplificou Américo Guerreiro. “A nossa posição perante este tipo de cenários, e estou a falar de stakeholders, é muito importante. Faz toda a diferença”, sublinhou.

Risco traduzido em euros: falar a linguagem da administração

A comunicação com a gestão de topo exige pragmatismo. “A administração só percebe uma métrica: euros. A nossa tarefa é sempre traduzir tudo em euros”, explicou o CISO da Efacec. De acordo com o especialista, é preciso demonstrar o impacto financeiro de cada risco. “Se um sistema estiver parado duas horas, talvez ainda consigam trabalhar. Mas e à quarta hora? Qual é o prejuízo a partir daí? É com base nesses dados que conseguimos justificar os investimentos em cibersegurança”.

Vanessa Mara frisou a importância a integrar a ciber-resiliência nos planos de continuidade de negócio: “As organizações tendem a subestimar riscos de baixa probabilidade, como um apagão. Mas quando acontecem, o impacto é devastador”. Segundo Vanessa Mara, é essencial ter planos revistos e praticados: “Se eu acordar às três da manhã com um incidente generalizado em Portugal, tenho de saber para onde ir, o que fazer”.

Do disaster recovery à continuidade de negócio: um fosso crítico a colmatar

A discussão voltou inevitavelmente ao recente apagão elétrico que afetou a Península Ibérica. David Grave foi claro: “Muitos clientes tinham Disaster Recovery, mas não sabiam o que fazer. Tinham os servidores, as firewalls, mas não tinham plano de continuidade de negócio. E se tinham, não o treinavam”. Para o orador, a preparação não pode ser meramente técnica: “Plano de continuidade de negócio é sobre pessoas, é sobre saber quem faz o quê, quem comunica com quem. É preciso começar no topo da organização”.

Sobre o impacto do apagão nas empresas, David Grave reforçou: “claramente, os clientes identificaram falhas inesperadas. E aqui a mensagem que temos de passar é: não é alarmismo. É preparação”. O orador reforçou que Portugal não escolheu sofrer este incidente elétrico, “tal como as organizações não escolhem ser alvo de um ciberataque, mas podem escolher estar preparadas para responder e continuar”.

Segurança desde o primeiro passo: a importância do “by design”

Américo Guerreiro acrescentou a importância da integração da cibersegurança nos projetos desde o início: “Segurança by design. Quando estamos a desenhar uma transformação digital, temos de pensar nas vulnerabilidades e nos controlos desde o primeiro momento”. O orador partilhou um exemplo concreto da Efacec: “No novo sistema de gestão de armazéns, percebemos que havia zonas sem rede. Não podíamos só pôr um cartão 4G e esperar melhor. Tivemos de planear bem antes do go live para evitar falhas”.

Na última intervenção, Vanessa distinguiu a resposta reativa à ciber-resiliência: “Criar uma nova palavra-passe não é suficiente. É preciso perceber por que motivo ela foi comprometida. Ser ciber-resiliente é garantir que mesmo com impacto, o negócio continua a operar. Talvez degradado, mas funcional”.

O conceito de ciber-resiliência foi amplamente discutido como uma capacidade organizacional que ultrapassa a mera resposta a incidentes. Exige planeamento, envolvimento de todas as áreas da organização e uma cultura de preparação para o imprevisto. Como foi salientado, não escolhemos o próximo impacto, mas podemos, e devemos, escolher estar preparados para ele.

Por fim, foi reforçado que a ciber-resiliência não é apenas uma função da equipa de segurança, mas sim um esforço coletivo. A colaboração entre cibersegurança e as diferentes unidades de negócio é essencial para garantir que a transformação digital é robusta, segura e sustentável.