Rui Silva: “A cibersegurança deixa de ser proteger serviços e passa a ser proteger a confiança em tempo real” (com vídeo)

Numa organização que produz dezenas de unidades por segundo e depende de um ecossistema alargado de parceiros, a gestão do risco ganha uma dimensão que ultrapassa a tecnologia. No IT Security Summit Porto, Rui Silva, Technology and Cyber Security Director do Grupo Lactogal, explicou como essa realidade está a obrigar a empresa a reposicionar a cibersegurança como uma função de negócio, onde governação, operação e cadeia de valor se cruzam de forma contínua.

Os riscos de cibersegurança continuam a ser difíceis de explicar, mas, para Rui Silva, “não são mais riscos tecnológicos, fazem parte cada vez mais do negócio”, uma evolução que obriga as organizações a rever a forma como encaram a segurança. Nesse enquadramento, deixam de estar limitados à dimensão técnica e passam a assumir-se como algo “estratégico da organização e humano”, com impacto direto na continuidade e na confiança.

Cibersegurança como tema de gestão

Ferramentas existem, as plataformas também, mas a eficácia depende de um fator que continua a ser crítico, o envolvimento da gestão de topo. Como referiu Rui Silva, “isto não vai funcionar se não levarmos isto ao nível da administração e ao nível do board”, sublinhando a necessidade de alinhar a cibersegurança com a tomada de decisão estratégica e com os objetivos de negócio.

Com mais de 2.600 colaboradores, 12 unidades produtivas e 42 marcas, a Lactogal produz cerca de 48 unidades por segundo, num contexto que envolve uma rede alargada de parceiros e fornecedores, muitos deles integrados diretamente nas operações. Esta realidade amplia significativamente a exposição porque, como sublinhou Rui Silva, “não é só o IT”, já que a superfície de ataque abrange OT, cloud e toda a cadeia de valor, tornando o risco “transversal” a todas estas dimensões e levando a que “a cibersegurança deixe de ser proteger serviços, para passar a ser proteger a confiança em tempo real”.

Apesar de a área de IT apresentar um nível de maturidade elevado, com certificação ISO 27001 há dois anos, Rui Silva destacou que isso não representa a totalidade do ciber-risco. O contexto industrial introduz variáveis adicionais, como tecnologias legacy, ambientes OT difíceis de monitorizar e uma crescente interligação com sistemas externos. A presença de fornecedores dentro das próprias instalações, com infraestruturas e sistemas próprios, reforça essa complexidade e alarga o perímetro de exposição.

O desafio de comunicar e controlar o risco

A dificuldade em comunicar risco ao board continua a ser um dos principais desafios. Falar de risco faz parte do dia a dia das equipas de segurança, mas nem sempre essa linguagem é compreendida ao nível da gestão. “Não conseguimos falar às vezes a mesma língua”, reconheceu, explicando que os objetivos são distintos, enquanto o board se foca em crescimento e resultados financeiros, as equipas técnicas trabalham sobre ameaças e vulnerabilidades. Esta diferença exige um esforço de tradução para tornar o risco perceptível e relevante para quem decide.

A dependência de terceiros torna-se um fator crítico num ecossistema que inclui fornecedores, logística, serviços geridos e ambientes industriais, onde o controlo e a visibilidade nem sempre são totais. Neste contexto, “a nossa maturidade de segurança nunca é superior à do nosso pior fornecedor”, o que coloca a cadeia de valor no centro da gestão do risco.

A escassez de talento é outro obstáculo que continua a marcar o setor. Apesar do interesse crescente, a prática revela-se exigente e complexa. “A cibersegurança não é um tema fácil”, referiu, apontando para um desfasamento entre a perceção generalizada e a realidade operacional. A experiência acumulada continua a ser um fator determinante numa área que evoluiu significativamente nas últimas duas décadas.

Da reação à gestão de risco

No plano operacional, o excesso de alertas representa um desafio constante. As equipas estão frequentemente presas a um ciclo reativo, focado na análise contínua de eventos, sem capacidade para avançar para uma gestão mais estratégica. A necessidade passa por transformar essa informação em contexto e decisão, já que “continuámos a reagir a alertas, mas devíamos era gerir cenários de risco”, evitando um modelo de operação que se torna difícil de sustentar a longo prazo.

A existência de ativos invisíveis agrava ainda mais este cenário, uma vez que sistemas legacy, shadow IT e ambientes pouco documentados dificultam a identificação e gestão de risco. Como destacou, “não podemos gerir risco sobre aquilo que não conhecemos”, ao reforçar a importância de visibilidade e inventariação como base para qualquer estratégia de segurança.

A diretiva NIS2 surge como um elemento de apoio, sobretudo ao nível da responsabilização, mas sem eliminar todas as limitações, já que “somos responsáveis pelo risco, mas nem sempre temos grande poder para o reduzir”. Assim, a resposta passa por integrar a cibersegurança na governação da organização, com envolvimento direto do board e uma abordagem mais alinhada com o negócio desde o início.