“A segurança deixou de ser um travão e começou a ser condição essencial para inovarmos”

A Claranet Portugal organizou, pelo segundo ano consecutivo, o Security & Compliance Day, um evento onde a resiliência e a soberania digital estiveram na ordem do dia.

Na abertura do evento, Alexandre Ruas, Managing Director da Claranet Portugal, começou por lançar o mote para a manhã, focada sobretudo em segurança, resiliência e inovação. “As empresas e instituições vivem hoje da inovação e daquela que é a revolução que defendemos diariamente nas nossas organizações”, acrescentou, sem deixar de sublinhar: “inovar sem segurança não é inovação; é exposição”.

Partindo do contexto atual, o Managing Director defendeu que a “segurança deixou de ser um travão e começou a ser condição essencial para inovarmos”.

A partilha de experiências como uma mais-valia para organizações mais protegidas e resilientes marcou o ritmo das apresentações.

Nelson Topete, CISO dos CTT, subiu ao palco do Security & Compliance Day para partilhar detalhes sobre o caso de estudo que envolveu o operador logístico e a Claranet Portugal na implementação de um SOC, alinhado em conformidade com a Diretiva NIS2.

A manhã ficou também marcada pelas questões da Soberania Digital, com os insights trazidos por Felipe Pathé Duarte, Professor Auxiliar na NOVA School of Law, e pela perspetiva da Segurança Económica e Espionagem Industrial, a cargo do Serviço de Informações de Segurança (SIS).

Garantir a inovação, a conformidade, sempre alinhada com a segurança

Num cenário cada vez mais exigente, manter a capacidade de inovar pode revelar-se um desafio para as organizações e, consequentemente, para os negócios. Este foi o tema em torno da mesa-redonda que juntou David Marques, Head of Cybersecurity do Grupo Nabeiro, João Carlos Fonseca, CISO da Brisa, Teresa Girbal, Vice-Presidente e CIO da ESPAP, e Hélder Barbosa, Head of Cyber Resilience da E-Redes.

David Marques começou por relembrar que a inovação sempre foi uma das bases do grupo português. A operar em várias áreas, e apesar dos requisitos exigidos pelo novo Regime Jurídico da Cibersegurança, o Grupo Nabeiro mantém a premissa de que estes requisitos “não têm de ser um travão à inovação”, na condição de que esta abordagem não seja, também ela, assente no “ministério do não”. “Internamente, a nossa abordagem nunca foi essa”, garantiu.

O responsável de cibersegurança relembrou que as perceções de risco podem variar dentro da mesma organização. Com o advento da NIS2, e apesar da cultura de risco existir, é um caminho que ainda está a ser percorrido pela organização, com recurso a awareness de várias camadas, com particular incidência junto da gestão de topo: “Quando os riscos chegarem a quem tem de tomar decisões sobre eles, já há uma consciencialização”.

Do lado do Grupo Brisa, João Carlos Fonseca considera que existe “uma maior exposição ao risco”. Aqui, a entrada da NIS2 é vista sobretudo como um “acelerador” para o ecossistema português, carregando o peso e a responsabilidade de assumir-se, uma vez mais, um ponto-chave junto dos decisores da organização. “Considero que a NIS2 é um programa de transformação e não uma conformidade. E essa ideia tem de ser passada para cima”, reiterou. Ainda assim, João Falcão assume que essa tarefa recai, acima de tudo, nos CISO na hora de consciencializar a organização: “Há uma consciência do board e é fácil fazer essa ponte, mas o CISO tem de fazer esse papel e passar uma mensagem muito clara para cima a nível de maturidade”.

Quanto à perspetiva da Administração Pública, Teresa Girbal, explicou que, dentro da área da segurança, o organismo tem em conta, sobretudo, dois pontos críticos: a gestão do risco e a forma como a “cibersegurança é vista”. A Vice-Presidente reiterou a ideia de envolver os decisores na importância de estar compliance com a nova Diretiva, garantindo que a mesma é vista como uma oportunidade. “Se a NIS2 for vista apenas do lado burocrático, não vai funcionar. A gestão de topo não pode estar fora: [a NIS2] tem de ser acompanhada, decidida, tem de ser elevada de acordo com as necessidades dos negócios”, observou.

A responsável acrescentou uma outra camada – a formação – como garantia de que a segurança é compreendida como um ponto transversal nas organizações: “A responsabilidade da cibersegurança está, sobretudo, no IT. Não deve ser assim; é um problema para todos”. A própria ESPAP, elencou Teresa Girbal, está a fazer esta jornada para “tornar o Estado mais credível e mais resiliente”, através não só da garantia KPI, mas também da própria gestão de risco.

No caso da E-Redes, Hélder Barbosa admitiu que a NIS2 não teve um impacto transformador, uma vez que a organização já estava abrangida pelas exigências da NIS1. Neste contexto, a cultura transformacional acontece, sobretudo, ao nível da operação, com uma gestão de topo muito alinhada com as garantias de segurança. “Era muito claro para a nossa Administração qual o impacto de não levar a cibersegurança a sério”, afirmou. Na perspetiva do responsável, a sensibilização junto do negócio passa, por vezes, por “dizer que não”, visto que “o risco não está contido” apenas num local. Perante este cenário, e no que diz respeito à escolha de fornecedores – outro dos pontos debatidos durante a mesa-redonda - a E-Redes procura manter uma cláusula de cibersegurança na gestão de fornecedores, com garantias de uma “baseline mínima de cuidados de cibersegurança, ciberhigiene e boas práticas”.

O bom, o mau e o vilão: a visão e as dores de fabricantes e parceiros

Numa sessão designada “The CISO Hot Seat”, a Claranet Portugal aproveitou a oportunidade para reunir representantes da HPE, Ethiack, Microsoft e SecurityScorecard que partilharam experiências e casos concretos sobre implementação, maturidade organizacional, compliance e resiliência operacional.

A conversa arrancou com uma reflexão sobre a distância entre os “casos de sucesso perfeitos”, apresentados comercialmente, e a verdadeira realidade do terreno. Fernando Rio Maior, da HPE, sublinhou que o sucesso de qualquer solução depende menos da tecnologia em si e mais da forma como é implementada. Já Jorge Monteiro, CEO da Ethiack, admitiu que existem cenários onde determinadas soluções da startup portuguesa acabam por não gerar o impacto esperado, sobretudo em empresas com pouca cultura de segurança ou demasiado focadas em “cumprir checklist” para efeitos de compliance. Segundo o responsável, muitas empresas continuam a encarar a segurança como um requisito regulatório e não como uma necessidade operacional contínua, o que conduz a decisões orientadas apenas pelo preço e não pela eficácia das soluções.

Também Victor Neves, da SecurityScorecard, reforçou a importância de alinhar expectativas e necessidades reais antes de qualquer implementação. O responsável destacou que uma das perguntas mais importantes durante qualquer processo comercial passa por perceber se há, de facto, capacidades para ajudar determinado cliente. O representante da SecurityScorecard partilhou um caso em que a urgência de implementação acabou por comprometer o alinhamento entre as capacidades da solução e aquilo que o cliente procurava, reforçando a ideia de que a pressa continua a ser um dos maiores inimigos da eficácia em projetos de segurança.

Do lado da Microsoft, Vasco Marreiros reiterou a ideia de que muitos problemas surgem não por falhas tecnológicas, mas pela forma como os projetos são operacionalizados dentro das organizações. O responsável apontou exemplos de implementações de Data Loss Prevention ou coexistência de múltiplos agentes de segurança nos endpoints que acabam por gerar impacto negativo no negócio quando não existe uma implementação faseada ou alinhamento interno adequado.

A Diretiva NIS2 esteve omnipresente ao longo da conversa, com os participantes a alertarem para o facto de a conformidade regulamentar, por si só, não garantir a segurança efetiva. A gestão contínua de risco, a monitorização da supply chain e a capacidade de recuperação rápida foram apontadas como áreas críticas para as organizações nos próximos anos.

A partilha como base para ultrapassar desafios comuns

No encerramento da manhã, David Grave, Cyber Security Senior Director da Claranet Portugal, considerou que o evento trouxe “muitas perspetivas”, não só no âmbito da cibersegurança, mas também da segurança da informação.

O diretor de cibersegurança reforçou a mensagem de responsabilidade que a Claranet Portugal assume no seu trabalho diário, depois de uma manhã que juntou profissionais na partilha das melhores práticas e conhecimentos das organizações onde, por vezes, os desafios são o elo comum.