Romeu Rocha: “Este caminho do zero trust até 100% trust, é o único que existe para nos protegermos” (com vídeo)

Numa área onde a pressão tecnológica é constante e as tendências mudam ao ritmo da inovação, Romeu Rocha optou por recentrar o debate na estratégia. Na IT Security Summit Porto, o Director IT Operations and Cyber Security da Bial traçou um percurso de mais de uma década, onde decisões tomadas muito antes das atuais ameaças acabaram por moldar a capacidade de resposta da organização, num caminho contínuo entre controlo, visibilidade e confiança.

A multiplicidade de soluções disponíveis e a pressão regulatória tornam a cibersegurança um exercício complexo, mas Romeu Rocha defende que o ponto de partida não está na tecnologia. “Temos a NIS, temos outras frameworks que podemos seguir, mas por trás disto tem de existir uma estratégia que faça sentido neste puzzle complexo que é a cibersegurança”, sublinhou.

Essa visão resulta de decisões concretas, muitas vezes tomadas em momentos de mudança tecnológica. O exemplo que deu recua a 2013, quando o conceito de bring your own device começava a ganhar força dentro das organizações. A promessa de agilidade trouxe também novos riscos e, como lembrou, “de repente, tinhas um problema de segurança muito difícil de resolver”, numa fase em que começavam a surgir os primeiros incidentes com ransomware e malware em dispositivos móveis.

Decisões que moldam o futuro

Foi nesse contexto que a Bial tomou uma decisão estrutural que passou por apostar na autenticação na cloud. Na altura, não havia ainda maturidade para conceitos atualmente considerados básicos, por exemplo, explicou, “nem pensávamos em MFA”. A perceção interna era de que mecanismos adicionais de autenticação iriam gerar fricção junto dos utilizadores.

Ainda assim, essa decisão revelou-se determinante. “A estratégia que na altura tivemos por colocar a autenticação na cloud, facilmente conseguimos trazer o MFA para todas as aplicações internas”, explicou, mostrando como uma escolha estratégica antecipou a resposta a ameaças como o phishing.

Ao mesmo tempo, surgiu a necessidade de visibilidade. Saber quem acede, a partir de onde e em que condições tornou-se essencial para alimentar as equipas de segurança. A recolha e correlação de informação sobre logins passaram a ser parte integrante da estratégia, num momento em que o SOC ainda estava em fase inicial.

Uma década para transformar o modelo

No entanto, a evolução não foi imediata, uma vez que o caminho implicou mudanças profundas na forma como os dispositivos eram geridos dentro da organização. De um cenário aberto, onde qualquer equipamento podia ser utilizado, a estratégia evoluiu para um modelo controlado. “Passar por agora um caminho que só podíamos utilizar dispositivos que fossem geridos pela organização” foi uma decisão que levou tempo a concretizar.

O processo demorou cerca de dez anos, com avanços, recuos e múltiplos parceiros envolvidos. Ainda assim, a consistência da estratégia manteve-se porque sabiam “que era este o caminho”, afirmou, ao destacar a importância de manter a direção mesmo perante obstáculos técnicos e organizacionais.

Segurança fora do perímetro

A transformação digital e, mais tarde, o impacto da pandemia trouxeram novos desafios. A necessidade de garantir segurança fora do perímetro tradicional levou à adoção de soluções baseadas na cloud. O objetivo era claro e passava por replicar o nível de proteção independentemente da localização do utilizador.

O processo exigiu testes, ajustes e tempo de maturação, “conseguimos trazer para a organização a mesma proteção que as pessoas tinham dentro da organização quando estão fora da mesma organização”, explicou, numa mudança que redefiniu o conceito de perímetro.

O desafio dos parceiros

Se a gestão interna evoluiu de forma estruturada, o mesmo não se aplicava aos parceiros. Com mais de duas centenas de entidades externas envolvidas, o controlo de acessos tornou-se um dos maiores desafios, sendo que tinham “mais de 200 parceiros”, o que revela a dimensão do problema.

A resposta passou por levar o tema à administração, não numa lógica técnica, mas estratégica. O plano, desenhado a vários anos, procurou integrar IT e OT numa abordagem comum. O progresso foi gradual, com a consolidação do acesso em IT e a eliminação de modelos tradicionais como VPN, substituídos por mecanismos mais controlados.

Decidir em tempo real

O ponto de maturidade atual traduz-se na capacidade de avaliar risco em tempo real, com cada acesso analisado a partir de múltiplos fatores, do dispositivo ao contexto do utilizador, numa lógica contínua de decisão. “Sabemos qual é o dispositivo, sabemos qual é o browser, sabemos qual é o utilizador”, explicou, numa abordagem que permite alimentar as equipas de segurança com informação acionável.

Ainda assim, a velocidade dos ataques coloca novos desafios. A capacidade de resposta humana revela-se insuficiente face a cenários onde os incidentes ocorrem em segundos. A limitação da resposta humana torna-se evidente perante ataques cada vez mais rápidos, num cenário em que, como questiona Romeu Rocha, “quem é que consegue responder em sete segundos? Ninguém”, o que evidencia a necessidade de automatizar decisões e atuar com base em dados em tempo real.

Um caminho que não termina

A evolução descrita por Romeu Rocha não aponta para um destino final, mas para um processo contínuo. A ideia de alcançar confiança total é assumidamente teórica, mas funciona como orientação estratégica. “É verdade que nós nunca vamos atingir o 100%”, admitiu.

Ainda assim, a consistência na estratégia, mesmo perante dificuldades, surge como fator diferenciador. A consistência da estratégia surge como elemento central ao longo de todo o percurso, porque “se essa estratégia fizer sentido, a médio e longo prazo, vai ter o efeito que se pretende, que é proteger a organização”, num processo que exige continuidade e persistência.

A evolução descrita por Romeu Rocha não aponta para um destino fechado, mas para um processo contínuo, onde a confiança total funciona mais como orientação do que como meta alcançável. Como reconheceu, “este caminho do zero trust até 100% trust, é verdade que nós nunca vamos atingir o 100%, mas é um caminho que temos sempre de ter presente”, porque, na sua perspetiva, “é o único que existe para nos proteger”.