Serviços Críticos e Operações de Segurança: “A cibersegurança não pode ser vista como o bombeiro da empresa” (com vídeo)

A última mesa-redonda da IT Security Conference 2023 teve como tema “Serviços Críticos e Operações de Segurança” e contou com as visões e experiências de Pedro Rodrigues, Head of Cybersecurity and IT Compliance do Banco de Portugal, Rafael Aranha, Head of Cybersecurity da REN, Aurélio Blanquet, Secretary General EE-ISAC e Dinis Fernandes, Executive Manager da Cybersafe.

Ao nível da regulação, Rafael Aranha começou por explicar que a REN opera em Portugal sob um conjunto de regulamentos – NIS1, Regulamento de Segurança da Anacom, ENTSO-E - que garantem a “segurança do abastecimento e a segurança do mercado elétrico”. O aparecimento da diretiva NIS 2 contribuiu para complementar a responsabilidade de gestão de risco e a área da formação. “Felizmente tem aparecido alguma regulação, mas as regulações têm de casar umas com as outras”, alerta o Head of Cybersecurity, considerando, no entanto, que existe aqui um desafio na forma como as regulações se relacionam umas com as outras.

Da experiência de Dinis Fernandes, a regulação tem-se revelado como um “catalisador e um simplificador” para que os Conselhos de Administração e Direções das empresas tenham os mesmos objetivos ao nível da cibersegurança. “Quando temos o mesmo objetivo aparece o budget para fazer projetos, aparece a vontade para as várias áreas interagirem”, constata. No que à NIS 2 diz respeito, o Executive Manager olha para a diretiva como um ‘empurrão’ para que cada vez mais setores cumpram os requisitos exigidos e aumentem, assim, a sua cibersegurança.

Sobre a NIS 2, e no âmbito da sua aplicação ao nível dos serviços e infraestruturas críticas, Aurélio Blanquet destaca e reforça também a importância do alargamento da diretiva para outros setores, assim como dentro do âmbito de aplicação em cada um dos setores. “A cibersegurança passou a fazer parte da mesa do board, mas é um movimento recente, deixou de ser um tema de IT, mas não é uma coisa muito sentida pelo negócio, e vai ter de passar a ser porque a NIS 2 assim o impõe”, remata o Secretary General da EE-ISAC, a associação sem fins lucrativos estabelecida em Bruxelas que se destina à partilha de informação e análise de informação sobre segurança, com o objetivo de criar uma comunidade para troca de informações. Desta forma, a NIS 2 vem também alavancar a necessidade de aumentar a partilha e a cooperação ao nível europeu, dentro de cada setor e intra-setores, assegura Aurélio Blanquet, antevendo que a nova diretiva leve ainda as empresas a assumirem o treino e a sensibilização necessária dos seus recursos. 

Proteção em serviços críticos e a cibersegurança para lá da resposta a incidentes

Ao nível da cibersegurança e da proteção de infraestruturas críticas, Pedro Rodrigues defende que é “essencial ter na raiz a identificação do que são os sistemas críticos, como é que os vamos proteger e isso implica sempre algum nível de isolamento”, esclarecendo que a exposição nos sistemas críticos não deverá ser igual aquela observada nos sistemas públicos. O Head of Cybersecurity and IT Compliance do Banco de Portugal relembra que as equipas de cibersegurança das organizações não devem perder de vista aquilo que são os ativos/sistemas críticos. 

“A cibersegurança não pode ser vista como o bombeiro da empresa”, frisa Rafael Aranha, que  acrescenta que a cibersegurança necessita de ser “transversal aos processos de negócios”, não podendo “ser vista como uma área vertical de uma empresa” ou como uma área de gestão de incidentes. 

O papel da IA na defesa das organizações 

Com toda a atenção de que tem sido alvo, a inteligência artificial pode, na perspetiva de Pedro Rodrigues, “ajudar a atingir um objetivo de otimização e de funcionamento muito mais eficiente do ponto de vista da defesa”. É necessário criar ambientes de testes, perceber as mais-valias, escolher o use case para resolver. 

Porém, o Head of Cybersecurity considera que as infraestruturas críticas podem não ser o “ambiente certo” para este tipo de testes com IA, sendo necessário escolher bem o use case e ganhar confiança nas ferramentas. “Vai potenciar as nossas capacidades defensivas e vai-nos aproximar um pouco daquilo que são as capacidades ofensivas com as quais temos de lidar todos os dias”, reitera.

Tendências ao nível de operações de segurança

A trabalhar em centros de operações de segurança (SOC) desde 2007, Dinis Fernandes tem assistido a uma evolução nesta ferramenta. “Nos últimos dois anos as operações de segurança mudaram mais do que nos últimos 15. Há esta dificuldade que toda a gente conhece com a falta de analistas de segurança, falta de pessoas qualificadas”, indica o Executive Manager que, por outro lado, destaca o número crescente de alertas que os SOC recebem. Os problemas elencados têm provocado o surgimento de alguns produtos, entre eles a introdução de ferramentas XDR e MDR, que acrescentam ao SOC uma capacidade de reposta a incidentes, alargando o ambiente e atuação do mesmo.

Cooperação como ferramenta na resposta a incidentes

A encerrar a mesa-redonda, Aurélio Blanquet destaca a partilha de informação como essencial na melhoria da resposta individual a incidentes de segurança. “Além da defesa, no sentido da deteção, da resposta e da recuperação a incidentes, o next step é, pelo menos, não estarmos um passo atrás daquilo que é a comunidade que nos tenta agredir, é começarmos a pensar em cibersegurança preventiva”, defende, concluindo que cada um deve “trabalhar em prol do grupo para que depois, no retorno, cada um de nós possa trabalhar melhor para si mesmo”.

A IT Security Conference volta a 10 de outubro de 2024!