“Resiliência, ambição, rigor”: cibersegurança na indústria e proteção de infraestruturas críticas na IT Security Summit 2025 (com vídeo)

Na sua primeira edição, a IT Security Summit 2025, organizada pela revista IT Security e realizada no Porto, deu palco a um debate importante sobre “Cibersegurança na Indústria – Proteção de Infraestruturas Críticas”, com uma mesa-redonda que refletiu as principais preocupações do setor. Jorge Ribeiro, CISO da Bondalti, Romeu Rocha, Director IT Operations and Cyber Security da Bial, e Joana Amaro, Business Unit Manager da Decunify, partilharam perspetivas distintas sobre a crescente digitalização da indústria e os desafios impostos pela NIS2. 

NIS2: Desafios e oportunidades para a indústria 

Jorge Ribeiro explicou que a Bondalti começou a estruturar a sua abordagem à cibersegurança em 2019, com a criação de uma área dedicada à segurança da informação, pensada para tratar estas questões de forma “idónea e transversal” em toda a organização. Na sua perspetiva, a diretiva NIS2 não deve ser vista como uma “obrigação externa”, mas sim como uma oportunidade: “achamos que, sem dúvida, a NIS2 poderá ser aqui uma oportunidade para as organizações de repensarem na sua estrutura de cibersegurança”. 

Do lado da Bial, a presença europeia da empresa obrigou a uma antecipação das exigências regulatórias. “A NIS2 está parada em Portugal, mas não está parada noutros países”, alertou Romeu Rocha, Director IT Operations and Cyber Security. “Na área da cibersegurança, a Bial tenta posicionar-se como parte da solução. [...] Acreditamos que a maior parte dos negócios já vê a cibersegurança como essencial e como uma prioridade para as organizações”, disse. O responsável sublinhou também a importância de medir a maturidade sendo que “o trabalho que fizemos inicialmente, foi medir de acordo com aquilo que a NIS nos diz, de acordo com o quadro nacional de referência à cibersegurança”, para “desde a base, tomar as medidas corretas”. 

Já Joana Amaro, Business Unit Manager da Decunify, trouxe a perspetiva de quem apoia tecnicamente as organizações neste caminho de transformação. Considera que a diretiva NIS2 teve um efeito catalisador, ao acelerar a atuação de muitas empresas que já estavam conscientes dos riscos. Na sua opinião, “a NIS2 não veio mais do que acelerar as organizações”, no sentido de “atuarem mais proativamente”. Acrescentou que a cibersegurança já faz parte da agenda da gestão de topo, explicando que “a área da cibersegurança nos clientes deixou de ser um tema técnico e passou a ser um tema de governance, onde a gestão de topo das empresas nos acompanha diariamente”. 

Práticas e tecnologias para proteger infraestruturas críticas 

Além do enquadramento estratégico, os intervenientes partilharam experiências práticas. Jorge Ribeiro revelou que a Bondalti já iniciou a segmentação das redes IT e OT, uma vez que “hoje até podemos dizer que a segmentação e a deteção inteligente são um alicerce para garantir aqui o equilíbrio entre a cibersegurança e as nossas operações”. Esta abordagem assenta numa framework internacional – a ISS 62443 – que define camadas de defesa e zonas de segurança. Mas, acrescentou, que o desafio vai além da tecnologia, já que “tanto envolve pessoas, responsabilidades como processos”. 

Romeu Rocha reforçou essa ideia com um testemunho sobre a sensibilização interna, sublinhando que “as ameaças afetam todas as áreas da empresa. [...] Temos de envolver as pessoas como parte da solução” e não encará-las “como problema”. Recordou um episódio recente durante o apagão ibérico, quando a falta de comunicações alertou os colaboradores. “Alguns colegas perguntaram se se tratava de um ataque informático”, revelou, o que demonstra que, efetivamente, “as pessoas começam a encarar os ciberataques como uma realidade”. 

A Inteligência Artificial (IA) surgiu como outro fator de impacto. Para Romeu, “a inteligência artificial é um aumento de portabilidade incrível para as pessoas, mas temos de usar de forma segura”. Na Bial, estão a ser definidas políticas e ações de formação para orientar os colaboradores. Jorge Ribeiro partilhou o exemplo da Bondalti, visto que “a adoção da IA veio centralizar toda essa informação [...] e, de certa forma, basta um clique para ter uma resposta, um insight e também ter uma tomada de decisão”. 

A preparação para desastres e situações imprevistas também esteve em destaque e, por isso, Romeu Rocha reconheceu a importância em “apostar muito na recuperação, porque vai haver impacto”, acrescentando que “o que vai diferenciar no final do dia é a forma como vamos conseguir recuperar”. Já a Bondalti adotou uma filosofia proativa, através da realização de “exercícios de red team, exercícios de simulação de ataques reais às nossas infraestruturas [...] para testarmos as nossas equipas de resposta”. 

Joana Amaro reforçou que o foco não deve ser apenas o cumprimento normativo, sublinhando que o objetivo “não é só o compliance, mas sim a resiliência a longo prazo das infraestruturas críticas”. Para a Decunify, o trabalho com os clientes passa por capacitar equipas, identificar ativos e promover a deteção precoce de incidentes. 

Palavras-chave para o futuro da cibersegurança 

No encerramento da mesa, cada interveniente deixou um desafio para os responsáveis de cibersegurança: Jorge Ribeiro destacou a urgência de cultivar “resiliência, ambição e rigor” para enfrentar ameaças crescentes; Romeu Rocha reforçou que o sucesso depende do equilíbrio entre “pessoas, processo e tecnologia”; e Joana Amaro sublinhou que só com “visibilidade, colaboração e continuidade” será possível construir uma defesa sólida e duradoura.