“Encontrar um bom CISO é talvez o primeiro e principal desafio a ultrapassar”

Os Montes Claros, em Lisboa, recebeu esta terça-feira (20 de maio) o Redshift Cyber Summit, um evento organizado pela Redshift e pela IT Security e com o apoio da Tenable, da IBM, da Recorded Future, da Crowdstrike e da Checkmarx.

João Manso, CEO da Redshift, foi o primeiro a falar em palco e começou por falar do grupo em si, que conta com três empresas: Redshift Consulting, Redshift Solutions e Redshift Innovation. Em 2024, o grupo fechou com 13,8 milhões de euros de faturação, com um crescimento de 281% entre 2021 e 2024, tem mais de 200 clientes e 350 projetos. Em termos de recursos humanos, conta com mais de 140 pessoas e mais de 130 técnicos ou engenheiros.

“Alguns de vós conhecem-nos desde que eramos quase uma startup. Hoje ainda fazemos parte das PME, mas temos projetos muito interessantes com organizações de todos os tamanhos”, refere João Manso. Atualmente, a empresa tem certificação de Nacional Secreto do Gabinete Nacional de Segurança; NATO Secret; e EU Secret.

A doutrina ativa de cibersegurança

José Alegria, Board Advisor da Redshift, abordou o tema da doutrina ativa de cibersegurança no combate ao ransomware. “O ransomware continua a ser o instrumento mais usado pelo cibercrime organizado e o que deve mais preocupar qualquer CISO”, começou por explicar José Alegria.

O atual Board Advisor da Redshift lembrou o ano de 2017, mais concretamente o mês de maio, quando o Wannacry atacou uma série de organizações em todo o mundo – incluindo a Portugal Telecom, da qual José Alegria era CISO. Após esse ataque, José Alegria começou por pensar numa doutrina ativa de cibersegurança. “Um ataque de ransomware bem-sucedido pode ter consequências catastróficas nas operações do seu alvo, para além da mais do que provável exfiltração de informação crítica”, afirmou José Alegria.

Atualmente, há um aproveitamento de contas comprometidas sem multifator de autenticação, um aproveitamento de portas RDP expostas à Internet, um aproveitamento de vulnerabilidades conhecidas – mas sem correções aplicados –, mais recentemente há ataques de SEO Poisoning e ainda há uma exploração de processos de força bruta para tentar entrar em sistemas.

Governança ativa, prevenção ativa, proteção ativa, deteção e resposta ativa e recuperação ativa são as cinco dimensões de uma doutrina holística e proatividade de cibersegurança, diz José Alegria.

A governação global, explica José Alegria, implica a existência efetiva da função CISO, com reporte direto ao poder executivo. Ao mesmo tempo, deve dispor dos meios necessários e suficiente para proativamente garantir, monitorizar e supervisionar as cinco dimensões da doutrina e o CISO deve ser responsável pelo orçamento de cibersegurança, incluindo o necessário ao cumprimento da NIS2. Por fim, o CISO tem de assegurar uma política de segurança eficaz, as métricas e indicadores diários necessários à boa governança das cinco dimensões, um comité de segurança com a gestão de topo e assegurar o cumprimento de lei e demais regulamentos.

“Encontrar um bom CISO é talvez o primeiro e principal desafio a ultrapassar”, refere José Alegria, que acrescenta que “um CISO não deve apenas reagir a incidentes, mas tem principalmente de implementar estratégias que antecipem e previnam potencias ameaças à segurança”.

A prevenção ativa deve garantir medidas que minimizem a probabilidade de um ataque se poder iniciar e deve cobrir cinco subdimensões: sistemas expostos à internet; sistemas internos; sistemas da cadeia de abastecimento; sistemas de segurança: e utilizadores, ou pessoas.

Já na proteção ativa é essencial para garantir a contenção de ataques eventualmente já iniciados para reduzir a probabilidade de um ataque se propagar e deve procurar garantir sistemas em data center seguro com mecanismos anti-DDoS e WAF, redes corporativas segmentadas e diversidade tecnológica em zonas chave.

Na deteção e contrarresposta ativa, a deteção atempada, identificação e respetiva contrarresposta eficaz a tentativas de ciberataques é crucial para lidar com ciberincidentes. A utilização de sistemas de monitorização avançados permite a rápida identificação de ameaças e a capacidade de responder prontamente, minimizando os potenciais danos.

Depois, na recuperação, por fim, deve garantir-se que os backups funcionam, fazer exercícios de table top e fazer testes de backup.

Leia a reportagem completa na edição 24 da IT Security.