“Ter a melhor fechadura já não é suficiente, dado o tipo de ataques”: A continuidade de serviços críticos em debate (com vídeo)

A crescente convergência entre sistemas industriais, redes distribuídas e exigências regulatórias está a redefinir o perímetro da cibersegurança. Na IT Security Summit Porto 2026, Carlos Fernandes, CIO e CISO das Águas do Douro e Paiva e SIMDouro, João Rosário, Head of IT Security & Operations da Sonae MC, Rui Costa, Responsável de Cibersegurança e Segurança da Informação da Prio Energy e Sónia Casaca, Country Lead da Zscaler, analisaram o impacto da Diretiva NIS2 na continuidade de negócio e os desafios de proteger infraestruturas críticas.

Garantir o funcionamento de ambientes críticos

A componente industrial da Águas do Douro e Paiva opera um controlo remoto que abraça mais de 190 instalações de abastecimento, constituídos por equipamentos legados, interconectados, muitos em operação há mais de dez anos.

Num contexto em que a rede de distribuição de água depende de sistemas legados, e que não foram desenhados com a Diretiva NIS2 em mente, Carlos Fernandes revelou que um dos principais pontos cegos para a organização envolve a interconexão de todos os equipamentos e a disponibilidade de informação dos mesmos ao longo da rede.

“Há um esforço massivo e significativo da segmentação, que é um caminho que podemos adotar sem a substituição de todos os equipamentos instalados”, indicou o CIO e CISO, que apontou, no entanto, para as várias limitações que alguns PLC ainda apresentam.

O plano de ação para fechar a porta aos riscos

No caso do retalho, João Rosário relembrou que o setor não se rege tanto por pressão legislativa, apresentando, neste caso, “menos maturidade que outros setores, como é o caso da banca”.

Perante o potencial risco, o responsável elencou três pontos centrais para a Sonae MC neste campo: o primeiro prende-se com a questão das identidades, uma vez que a empresa portuguesa conta com mais de 40 mil colaboradores, o que se traduz em “perfis muito distintos” e uma necessidade de “controlo muito correto”.

No segundo ponto – a segregação de redes – João Rosário recordou que são milhares os equipamentos ligados e espalhados pelas lojas por todo o país. Perante este cenário de redes complexas, o especialista afirmou que é necessário ter “muito em consideração os princípios de zero trust e segregar as redes para evitar os movimentos laterais”.

A atualização dos sistemas é o terceiro ponto central para garantir a proteção, mesmo perante a ameaça de vulnerabilidades. Neste âmbito, o especialista sublinhou a necessidade de proteger os sistemas contra algum “tipo de atuação” por parte dos colaboradores, cujos comprometimentos podem abrir espaço a ameaças.

Mapear o existe dentro de casa

Com cerca de 300 postos de abastecimento espalhados de norte a sul do país, a Prio conta já com um caminho percorrido no que toca a garantir a proteção dos seus endpoints físicos e remotos. “Temos de ter parceiros tecnológicos que nos ajudem a ter a conetividade”, começou por contextualizar Rui Costa, que recorreu ao exemplo das tempestades que assolaram o país no início de 2026 para explicar que a organização não pode estar dependente “de um único operador”.

Para isso, o Responsável de Cibersegurança e Segurança da Informação chamou a atenção para a necessidade de apostar cada vez mais em diferentes tecnologias, redes segmentadas e equipamentos redundantes. “Temos de saber bem os equipamentos que temos, através de um levantamento grande dos ativos; depois temos de ter pessoas a olhar para isto tudo porque temos postos mais críticos que outros, se pararem cinco minutos é o caos”.

O estado real da cibersegurança 

Naquele que é o gap existente entre as organizações que pensam no seu nível de proteção e aquilo que, no fundo, é real, Sónia Casaca considera que existe aqui uma “falsa sensação de segurança do perímetro”.

A Country Lead da Zscaller não tem dúvidas de que o perímetro mudou e que o tema passa hoje muito mais pela identidade. “Há também um gap real a nível da excessiva conetividade e da visibilidade do que está na rede. Hoje, para se entrar, já não se arromba a porta; através de credenciais legítimas consegue-se entrar”, reiterou. 

A visibilidade e a gestão de milhares de milhões de dados têm permitido à Zscaller construir esta imagem atualizada que mostra que o nível de ataques “é muito superior” e mais direcionado.

Na visão de Sónia Casaca, as VPN e as firewalls já não são suficientes para proteger as organizações. “Continuam a existir muitas organizações que consideram que ter uma panóplia de ferramentas de segurança é sinónimo de termos a casa protegida; ter a melhor fechadura já não é suficiente, dado o tipo de ataques, de ransomware, com o tipo de entrada que podemos ter, com credenciais e com o tema da Inteligência Artificial. Não é suficiente”, garantiu.

Transição cultural para a segurança digital

No que toca à dicotomia risco físico vs risco digital, Rui Costa admitiu que o caminho “não tem sido fácil” e tem levado a auditorias no seio da Prio. “Fizemos um pentest físico exatamente para desmontar a ideia que às vezes alguns colegas têm. É verdade que existe um controlo físico muito grande, até porque as fábricas estão numa zona portuária, mas depois existe a falsa sensação de ao estarmos protegidos por essa área”.

Depois dos resultados do pentest terem exposto algumas das fragilidades, a organização tem intensificado a verificação sobre o cumprimento dos procedimentos implementados. O exercício culminou em “comportamentos mais seguros” e uma maior compreensão sobre os procedimentos em causa.

NIS2: O admirável mundo novo de obrigações

A jornada de adaptação e implementação do Novo Regime Jurídico de Cibersegurança tem obrigado a Sonae MC a contemplar e a incluir o seu leque alargado de parceiros, desde fornecedores de produto – muitas vezes locais – a prestadores de serviços tecnológicos.

A diversidade de perfis e de dimensões leva a que a retalhista não consiga trabalhar todos os fornecedores de igual forma. Neste caso, o parâmetro a ter em conta envolve um risco e diferentes níveis de acesso, atribuídos consoante as necessidades de cada fornecedor em aceder a dados ou informação crítica.

“Temos muitos projetos continuamente que envolvem novas ligações e novos fornecedores, e temos alterações na forma como integramos para irmos, gradualmente, adicionando cláusulas de segurança”, explicou João Rosário.

Aqui, a própria empresa transforma-se também ela própria num “parceiro tecnológico” para os fornecedores. “Em casos mais necessários, também fazemos algumas vezes com alguns fornecedores, com monitorização passiva, diretamente nos fornecedores. Às vezes faz sentido no nosso lado, quando o risco é maior”, justificou o responsável.

Os travões criados pela própria Diretiva

A NIS2 veio definir as obrigações para entidades, como é o caso das Águas do Douro e Paiva e SIMDouro. Neste ponto, Carlos Fernandes recordou que a maior fricção no setor empresarial do Estado ainda se prende com o funcionamento por leis. “A lei ainda não está totalmente implementada, o que está a provocar determinados atrasos, apesar de estarmos a trabalhar sobre a execução da NIS2”, alertou.

Os planos de resiliência e operacionalização serão, na perspetiva do especialista, um dos maiores problemas ao nível dos objetivos da Diretiva Europeia, uma vez que têm de contemplar diversos vetores críticos, como o da energia e o das telecomunicações. Perante esta cenário, Carlos Fernandes deixa uma pergunta no ar: “Porque é que não está escrito, de forma clara, na NIS2, que as entidades críticas devem ter infraestruturas próprias de telecomunicações?”

Criatividade para os novos desafios

O security by design é o 'segredo' da Sonae MC para garantir que a cibersegurança consegue, por um lado, acompanhar o ritmo com que surgem novas lojas e novos serviços e canais digitais e, por outro, cumprir com as obrigações. “Mesmo com alguma aceleração devido a muitas aberturas de lojas, novos projetos ou novas tecnologias, temos já alguma garantia de segurança que nasce no início dos projetos”, observou João Rosário.

O departamento de IT da retalhista procura trabalhar num equilíbrio onde, apesar das regras, não é apenas visto como o departamento do não. “Não podemos trabalhar com um set de políticas e postura e não fugirmos dali; temos de ter alguma ‘criatividade’ para responder a estes novos desafios”, defendeu.

Preparar para cumprir (apenas?)

Na preparação dos processos e das equipas para cumprir os prazos impostos pela NIS2, Rui Costa considera que é necessário ter logs e a informação crítica conectada; por outro lado, as equipas – de IT e não só – devem estar preparadas para agir em conformidade com determinadas situações. “Vai permitir-nos, por um lado, antecipar e conseguir perceber o que se está a passar e, por outro lado, dar uma comunicação mais eficaz”, constatou.

Do lado da Zscaler, Sónia Casaca admite que é percetível quando um cliente quer “apenas cumprir com um determinado artigo da norma”. Segundo a Country Lead, o objetivo não é apenas “vender produto por produto”, mas sim “promover soluções e ajudar, de acordo com as necessidades do cliente, a dar essa continuidade de negócio”.