André Bragança: “A percepção não era a de se seríamos atacados, mas quando” (com vídeo)

A jornada do Grupo Super Bock rumo à NIS 2 não nasce da obrigação regulatória, mas sim de uma prática enraizada nas infraestruturas e numa preocupação com a continuidade do negócio. Num keynote da IT Security Summit Porto, André Bragança, Head of Information Technology and Security da empresa, mostrou como a cibersegurança foi crescendo dentro da organização antes mesmo de ganhar o peso estratégico atual.

A responsabilidade pelas infraestruturas colocou a equipa no centro da evolução da cibersegurança, uma posição que André Bragança descreve como “uma área privilegiada porque acompanha de forma muito direta os temas da cibersegurança” e que, por isso, não só acompanha como também desenvolve essas práticas. A operação esteve sempre orientada para garantir disponibilidade, backups e recuperação de desastre, enquanto as exigências de conformidade surgiam maioritariamente de fora.

Ao olhar para trás, o responsável identifica no período do EuroSOX o início dessa pressão externa, quando a área financeira começou a exigir maior rigor nos controlos de acesso, ainda muito associado ao contexto de fraude financeira que marcou esse momento. Com o passar dos anos, o cenário alterou-se de forma significativa, sobretudo com o crescimento do ransomware, levando a uma mudança de perceção dentro da organização, onde “não era se seríamos atacados, mas quando é que seríamos atacados”.

Do RGPD à necessidade de organização

Com a entrada do RGPD, a organização deu um passo decisivo ao criar um DPO e um comité de segurança de informação e proteção de dados, envolvendo diferentes áreas e aproximando o tema da cibersegurança da gestão de topo. Apesar desse avanço, o diagnóstico interno evidenciou fragilidades estruturais, com André Bragança a reconhecer que “a conclusão principal é que o nosso grau de maturidade nos processos estava muito baixo. Era tudo muito ad-hoc”.

Perante esse cenário, a prioridade passou por estruturar a abordagem à segurança, recorrendo a avaliações baseadas na ISO 27001 e noutros referenciais para identificar lacunas e definir prioridades. A partir daí, foram sendo implementadas várias medidas, incluindo a contratação de um SOC, a regularização dos ciclos de patching e o lançamento de programas de sensibilização, num processo que foi acompanhado por um investimento relevante na modernização das redes, com maior controlo de acessos e segmentação interna.

O ataque que mudou tudo

O ponto de viragem surge com um ataque que acaba por materializar um risco já identificado internamente, numa altura em que a equipa tinha alertado a comissão executiva para esse cenário. A situação ganha ainda mais peso pelo facto de a vulnerabilidade explorada estar a poucos dias de ser corrigida, já que “tínhamos um ciclo de patching de dois meses e, dali a três ou quatro dias, o patching iria resolver a situação”.

Apesar do impacto, o episódio acabou por provocar uma mudança de perspetiva dentro da organização, com o responsável a reconhecer que “foi um azar brutal, mas agora vejo isto como uma sorte enorme”, sobretudo pelo efeito que teve na aceleração de decisões.

A crise desbloqueou investimento e abriu caminho para a transformação, levando a organização a adotar um modelo de zero trust e a reconstruir a sua infraestrutura de forma faseada, num processo conduzido com cautela, já que “fomos montando as coisas de forma muito lenta e cuidadosa”, ao longo de quase um ano.

Reforçar controlo com mudança organizacional

A evolução acabou por estender-se para além da tecnologia, numa altura em que o modelo de outsourcing total deixou de responder às necessidades da organização, levando à decisão de internalizar a liderança técnica e reforçar competências internas, mantendo os serviços externos sobretudo nas primeiras linhas de suporte.

Esta mudança teve impacto direto na forma de trabalhar, trazendo maior disciplina operacional, com o responsável a destacar que “a nossa ferramenta de ticketing obriga-nos a montar processos de suporte integrados”, o que acabou por forçar a formalização de procedimentos e impulsionar a definição de políticas e práticas mais consistentes.

NIS 2 como ponto de clarificação

Quando a NIS 2 entra no radar, o Grupo Super Bock já traz consigo um percurso consolidado, mas ainda com lacunas ao nível da formalização. É nesse momento que a diretiva ajuda a clarificar conceitos que não estavam totalmente definidos internamente, sobretudo o que implica estruturar um sistema de gestão de segurança da informação, algo que, como admitiu André Bragança, “finalmente… entendemos o que é que era”.

A partir daí, a organização avança para a construção do SGSI, organizando de forma mais consistente documentos, processos e responsabilidades. Foi criado um modelo de avaliação baseado nos requisitos da diretiva, o que permite acompanhar a evolução ao longo do tempo.

Tornar a segurança compreensível

Um dos desafios centrais passou por traduzir a complexidade da cibersegurança para dentro da organização, levando a equipa a adotar uma abordagem mais pragmática na forma de estruturar e comunicar a informação.

Em vez de separar rigidamente políticas, processos e procedimentos, optaram por criar documentos intermédios que conciliam visão estratégica e execução, numa lógica que André Bragança descreve como “um conceito intermédio manual”. Estes manuais passaram a concentrar aquilo que a organização já tinha definido, o que pretendia desenvolver e os riscos assumidos, permitindo comunicar de forma mais clara o estado atual e as prioridades.

Neste processo, a definição de responsabilidades ganhou um peso particular, não apenas ao nível operacional, mas também na relação com a gestão de topo, já que “é importante definir bem as responsabilidades, porque é isto que a Comissão Executiva vai aprovar”.

O próximo passo marca uma jornada contínua até ao próximo ano que “mediante toda esta confusão tecnológica que continua a acontecer todos os anos, sempre, sempre, autonomia da inteligência artificial e tudo mais, fazer uma avaliação do gap que teremos”, reforçando a ideia de que a adaptação será necessariamente progressiva e contínua.