Sérgio Trindade: “É importante saber o que queremos proteger, olhar e avaliar o nível de proteção” (com vídeo)

“Gestão de Incidentes: preparar, responder e recuperar” foi o tema que Sérgio Trindade trouxe ao palco principal da IT Security Conference 2025. O CIO e CISO das Águas do Tejo Atlântico - Águas de Portugal fez uma reflexão sobre o estado real da cibersegurança operacional onde revela que, de forma geral, as organizações não sabem o que existe dentro do seu próprio perímetro tecnológico.

O responsável das Águas do Tejo Atlântico sublinha que a obsolescência de muitos dos equipamentos “torna-se crítica para conseguirmos o que temos de fazer”, apontando-a como uma das principais ameaças nos sistemas industriais e de abastecimento. No caso do setor da água, a situação ganha ainda mais complexidade, porque, como explica, “acresce uma complexidade pelo facto de obsolescência porque são efetivamente atividades que têm muito tempo a decorrer”.

Acrescenta que, ao contrário do IT, “no OT, e sobretudo quando não falamos de um OT encerrado num espaço de uma fábrica, é, por vezes, extremamente difícil saber aquilo que temos na nossa operação, manutenção e outras áreas, a conectar permanentemente”. Essa falta de clareza abre brechas que se transformam em pontos cegos para qualquer estratégia de mitigação e este é “um dos principais pontos de falha do lado do OT”. Equipamentos antigos, ligações não documentadas e intervenções externas sem registo tornam a gestão de incidentes quase reativa por natureza e uma corrida contra um “inimigo desconhecido” que não é possível combater.

Transformar normas em prática

Segundo Sérgio Trindade, verifica-se que, apesar da evolução tecnológica, a gestão de risco ainda assenta sobretudo no cumprimento normativo. “Há aqui todo um caminho para melhoria, olhando para aquilo que são modelos de maturidade que estão muito desvinculados numa série de normas. Agora falamos muito da NIS2, e com toda a razão, e ainda bem que ela veio” porque assim, afirma, “podemos basear-nos para saber o que é que temos que fazer e como”. No entanto, defende que estes modelos devem ser utilizados para orientar práticas consistentes e não apenas para satisfazer exigências legais.

“Muitas das vezes, aquilo que vamos atrás é apenas de cumprir a lei”, afirma, lembrando que essa abordagem “é completamente distorcida em relação àquilo que as empresas e os cidadãos necessitam”. Apesar de assumir que a legislação é o ponto de partida, não pode ser visto como um objetivo, uma vez que proteger as operações e as pessoas é o verdadeiro propósito. 

O responsável defende que a gestão de risco deve assentar no que é mais adequado para o negócio e para a atividade da empresa, mas também na proteção dos cidadãos. “É por isso que as melhores práticas, conjugadas com essas diretrizes, dão-nos uma gestão de risco, efetivamente, muito mais capacitada para o nosso resultado”, explica, sublinhando a importância de alinhar objetivos corporativos com responsabilidade social.

Em entrevista à IT Security, o responsável revela que “tudo o que é crítico tem uma atenção especial e, portanto, terá que ter uma base de trabalho mais desenvolvida”. Reconhece, no entanto, que “os ativos críticos muitas das vezes acabam por ter pequenas dependências” e defende começar por eles, para depois estender o processo e reduzir impactos.

A falha humana

A maioria dos incidentes, sublinha, não resulta apenas de vulnerabilidades técnicas, mas de falhas humanas e de ausência de processos claros para as reconhecer e corrigir. “A falta de responsabilização individual e de assumir erros faz com que, muitas das vezes, aquilo que queremos proteger não seja possível”, disse. Para o CISO, a maturidade organizacional mede-se tanto pela capacidade técnica como pela prontidão em reconhecer falhas e agir em tempo útil, indicando a falha humana como uma das maiores ameaças aos sistemas operacionais.

Sérgio Trindade defende que a maturidade depende mais da preparação humana do que da tecnologia. O treino deve abranger competências técnicas, comportamentais e de comunicação. “A nossa gestão de topo sabe como falar, sabe o que é que vai dizer, sabe em que condições o vai fazer?”, questiona, lembrando que comunicar bem durante um incidente é tão importante quanto a contenção técnica e ajuda a reduzir impactos operacionais e riscos reputacionais.

Ver, compreender e proteger

É nesse sentido que vê a visibilidade como a base de toda a segurança, uma vez que quando uma organização não sabe exatamente o que tem, perde a capacidade de gerir riscos e de reagir com coerência quando algo falha. “Não nos adianta ter um grande inventário de ativos, altamente estruturado, com uma análise de risco super avançada, se o resto da equipa ou o resto da organização não estiverem completamente ligados com essa matéria”, afirma, acrescentando que respostas isoladas conduzem ao caos.

A abordagem à cibersegurança, segundo o responsável, deve ser assente na integração de pessoas, processos e tecnologia numa arquitetura coerente, onde a visibilidade é o primeiro requisito. Há muitas ferramentas para nos ajudar nesta matéria, mas uma das mais importantes, disse, é, “sem dúvida, saber o que queremos proteger, olhar e avaliar o nível de proteção que é necessário, o nível de investimento a todos os níveis que temos de fazer nisto e garantir que formamos as nossas pessoas nesse sentido”.

O guia de gestão de riscos do Centro Nacional de Cibersegurança foi destaque na sua intervenção, apresentado como uma base sólida para organizações que ainda não têm uma metodologia formal. Sérgio Trindade aponta que nenhum modelo, norma ou ferramenta substitui a clareza sobre o que está realmente em causa, e reforça que “conhecer o que temos, saber avaliar corretamente e ter as pessoas treinadas é o que permite que as coisas corram de acordo com o nosso propósito”.