Securnet: “O Gap Analysis é ótimo, mas tem de ser como um motor da ação” (com vídeo)

As histórias e a partilha de experiências foram o mote para o fireside chat da Securnet que decorreu no palco da IT Security Summit Porto 2026.

Na ótica de Luís Sousa, BU Manager GRC & Consulting da Securnet, é necessário trazer mais pessoas para o mundo da cibersegurança, sobretudo “pessoas que percebam do setor, do setor da energia, que percebam os desafios do OT. É aquilo que, no final do dia, nos vai permitir aumentar a resiliência”.

Garantir os alicerces da casa: o gap analysis

Nuno Carvalho Figueiredo, Head of Asset Management da Energy Means Life (EML), foi um dos oradores convidados a partilhar a sua experiência vivida na organização, que conta com ano e meio de vida e que surgiu da fusão do Grupo Trust Energy, com a Engie e a Marubeni. 

Perante a exigência acionista para o cumprimento das normas de segurança do Grupo Marubeni, a EML recorreu à Securnet para compreender e garantir a correta aplicação e cumprimento das normas do framework do Grupo.

“Fizemos um gap analysis. A estratégia passou por identificar tudo o que havia de vulnerabilidades, as diferenças entre o que nós fazíamos já há alguns anos, e as normas da Marubeni”. O passo seguinte, explicou Nuno Carvalho Figueiredo, implicou a identificação dos pontos provenientes deste gap analysis para, de seguida, desenhar uma estratégia de cumprimento e melhoria da organização “no que diz respeito à cibersegurança e às precauções que a empresa tem de garantir”.

A EML opera a central da Tapada do Outeiro, tendo, desde logo, assumido “um papel preponderante” na recuperação do apagão ibérico de 2025. A empresa enfrenta diariamente o desafio de garantir que os operadores têm “acesso à informação dos parques eólicos para os poder operar”, enquanto coordenam ao mesmo tempo “com o centro de espaço da REN, da Rede Elétrica Nacional”, num verdadeiro equilíbrio. “Tudo isto com IT, OT, cibersegurança à mistura”, frisou Nuno Figueiredo.

A formação na harmonização de uma cultura de cibersegurança

Na sua experiência como Information Security Officer da Voltalia, Miguel Fradão defendeu que uma das mensagens a reter passa pelo tema da formação em cibersegurança que, segundo o próprio, apesar de assumir um “papel central”, ainda “não chega”.

“Numa organização com uma grande heterogeneidade e muitas culturas, é importante que a formação seja um dos elementos de um programa maior. Dadas estas características, é importante que o programa seja mais multidisciplinar do ponto de vista das equipas envolvidas, trazendo os recursos humanos, o marketing, a comunicação interna. Primeiramente para que possamos ajustar a mensagem ao interlocutor, ou seja, diferentes culturas, diferentes realidades; é também muito relevante que o programa seja diverso”, considera Miguel Fradão.

Contudo, a formação não deve ser um “ato isolado”, uma vez que o exercício da cultura de segurança exige a criação de comportamentos assentes, sobretudo, em repetição.

Um triângulo de quatro lados: Pessoas, processos, tecnologia e governance

Numa conversa onde a tríade pessoas-processos-tecnologia esteve bem presente, Luís Sousa, da Securnet, nomeou a governação como o quarto lado escondido de um triângulo.

“Este quarto vértice, de facto, serve como cola e é, no fundo, o orquestrador dos demais”, concordou Miguel Fradão, da Voltalia. No contexto das organizações mais complexas, o especialista destacou a importância da “clareza de responsabilidades”, que assume aqui “um papel simples e fundacional”. “Quem executa, quem valida, quem opera, quem aceita o risco, é muito importante ter esta clareza, ter um modelo de governação claro”, defendeu.

O risco como linguagem universal

Numa abordagem à reformulação do papel do risco nas organizações, Miguel Fradão continua a olhar para este fator como “o elemento central”. “O paradigma não pode ser competir por recursos, pedir aos decisores recursos para seguir novas tendências ou para comprar novas ferramentas, mas tem de passar por um discurso que seja próximo do negócio, falar a sua linguagem, identificar aqueles que são os riscos relevantes para o negócio”, compreendendo, assim, quais as medidas de mitigação mais adequadas.

Em vez de equipas de segurança a competir por orçamento com argumentos técnicos, Miguel Fradão propôs uma abordagem colaborativa: “É nesse exercício que vamos permitir que o negócio tome decisões maduras, no sentido em que vai alocar os recursos com base numa análise estruturada e alocando-os ao local que melhor serve a organização a cada momento. É esta a parceria que nós temos de ter com o negócio”.

NIS2: um caminho ainda a percorrer

A presença e a experiência da Securnet acrescentaram uma camada à conversa, com uma visão mais ampla do panorama da cibersegurança nas organizações em Portugal, em particular na entrada em vigor da Diretiva NIS2, cuja aplicação ainda suscita dúvidas entre equipas e organizações.

“Este é um caminho, o caminho da resiliência e, portanto, falta-nos conseguir ter mais conversas sobre o como, como é que lá vamos chegar [ao cumprimento da NIS2].”

A crítica à abordagem tradicional de governance é igualmente direta: “O GRC é ótimo, mas tem de ser como o motor da ação. Do GRC tem de sair um plano de remediação, com datas, com objetivos, com responsáveis, para depois o podemos cumprir e seguir, aí sim podemos ter valor.”

Neste ponto, Luís Sousa defendeu também que, apesar do gap analysis ser “ótimo”, é necessário transformá-lo num “motor de ação”. “Do gap [analysis] tem de sair um plano de remediação, com datas, com objetivos, com responsáveis, para depois o podemos cumprir e seguir, aí sim podemos ter valor”.

A dimensão humana

Num evento dominado por discussões técnicas, o fator humano emergiu como central. A Securnet partilhou experiências práticas e destacou uma estratégia que passe por “trazer equipas de marketing, equipas de comunicação, equipas de recursos humanos e aproveitar aquilo que muitas vezes as organizações já fazem bem”. A solução não está em mais formação tradicional, mas em “ter um programa pensado com cada organização, que permita dar este passo um bocadinho além”.