Unified SASE e segurança integrada marcam os desafios reais dos CISO portugueses

Num encontro marcado pelo foco operacional, o pequeno-almoço executivo da Aryaka e da Cloud365, promovido pela IT Security, juntou um grupo selecionado de responsáveis de cibersegurança para discutir a adoção de SASE unificado e as limitações de modelos fragmentados. O debate, focado em desafios reais, desde a expansão da superfície de ataque ao impacto da Inteligência Artificial (IA), sublinhou a pressão regulatória e a necessidade de reduzir complexidade num cenário em que equipas e recursos já não acompanham o ritmo da ameaça.

Dr. Aditya Sood, VP of Security Engineering and AI Strategy da Aryaka, descreveu um panorama em aceleração permanente e lembrou que “o mundo evoluiu para ecossistemas integrados”, razão pela qual a arquitetura da Aryaka assenta em “Zero Trust, segurança integrada, um plano de controlo unificado” e “observabilidade e visibilidade”. Alertou que “a segurança fragmentada já não funciona” e que os CISO precisam de “uma política única, aplicada de forma consistente em todo o lado”. Defendeu ainda que a evolução passa por abandonar a lógica perimétrica, porque “a segurança tem de se mover para a camada da rede”, uma vez que “uma boa rede permite uma boa segurança”.

O caso da SEG Automotive ilustrou como a solidez da infraestrutura dita a resiliência de uma operação global. Tudo assenta “numa rede sólida e em boas soluções de segurança”, destacou Paulo Simões, Founder & Partner da Cloud365, que mostrou que a migração trouxe ganhos imediatos, já que “na prática, o desempenho melhorou” e “não houve um único site onde se registasse quebra”.

Jon Selway, VP de Aryaka

Jon Selway, VP de Aryaka: “A transformação acontece por camadas. Não precisa de ser um “big bang”. Não é obrigatório adotar toda a segurança avançada no primeiro dia. Muitos clientes começam pela base – rede e observabilidade – e só depois avançam para segurança. Quando passam a usar o portal, percebem que há funcionalidades adicionais que podem ativar sem instalar mais um firewall físico num site pequeno ou sem adicionar mais uma ferramenta isolada”

	Sérgio Sousa, CIO & CTO da Aspöck Portugal

Sérgio Sousa, CIO & CTO da Aspöck Portugal: “Uma dificuldade recorrente é integrar SASE com legacy infrastructure. Em muitos casos, essa integração torna-se complexa porque envolve firewalls, VPN e serviços cloud que já estão profundamente enraizados. Não é imediato, é uma construção. Superar esta complexidade multivendor é crítico. Há questões de interoperabilidade entre hardware de diferentes fabricantes, que afetam diretamente o retorno do investimento”

André Cardoso, Senior Cybersecurity Eng. da Bial

André Cardoso, Senior Cybersecurity Eng. da Bial: “Há uma realidade que muitos ignoram: o entusiasmo em torno da cibersegurança e o “boom” faz parecer que todos os jovens vêm preparados da universidade. A maior parte chega com cursos de cibersegurança, mas não têm a experiência prática necessária. Só conhecendo a infraestrutura na sua globalidade e tentando passar por ponta a ponta é que vão começar a surgir as vulnerabilidades, o saber onde é que temos de corrigir, o saber onde é que temos de melhorar. Não vai haver uma solução one-fit-all”

	Artur Martins, IT Systems Administrator da CJR Group

Artur Martins, IT Systems Administrator da CJR Group: “Há ainda dúvidas sobre depender de um único fornecedor e até que ponto isso garante uma segurança mais eficaz do que os modelos atualmente implementados. Temos vários sites, tanto a nível nacional como internacional, e a segurança é uma prioridade. Trabalhamos com outras entidades, e a NIS2 terá um peso significativo nas nossas decisões. Estamos a analisar todos estes fatores para definir o caminho mais adequado”

Hélder Barbosa, Cyber Resilience team da E-Redes

Hélder Barbosa, Cyber Resilience team da E-Redes: “No mundo de OT, não trabalhamos com soluções SASE. Acabamos por usar um conjunto de soluções existentes há alguns anos que garantem funcionalidades semelhantes. O desafio, tanto para nós como para outras organizações, é equilibrar. Não se trata apenas de exigir proteção ou funcionalidades; há também uma questão de gestão de risco. Colocar todos os “ovos na mesma cesta” pode ser problemático. Para pequenas empresas, um “quick win” com SASE pode funcionar muito bem. Mas para empresas com níveis elevados de risco e exigência em segurança, é necessário equilibrar soluções”

	Artur Carvalho, Information Systems Director da Grupo Sosoares

Artur Carvalho, Information Systems Director da Grupo Sosoares: “Incluir camadas adicionais de serviço na cloud, como o DR ou serviços externos de apoio, traz custos suplementares. A preocupação principal sempre foi a migração para a cloud. Quando tentei acrescentar serviços adicionais, cada novo serviço implicava mais custos, e encontrei alguma resistência. Aos poucos, tenho conseguido implementar algumas dessas camadas, mas esta é a realidade. O chavão da cloud traduz-se em desafios práticos: a migração em si não foi complicada, mas continuam a faltar pequenas peças que acabam por ter grande impacto”

Carlos Neto, IT Director da Microplásticos S.A.

Carlos Neto, IT Director da Microplásticos S.A.: “O maior desafio atualmente, numa altura em que o perímetro tradicional deixou de existir, são os utilizadores. A sua importância na formação e na consciencialização em cibersegurança é crucial. É uma aposta que temos de fazer e continuar a reforçar. As soluções que temos até agora funcionam, mas não são totalmente eficazes, porque os utilizadores continuam a cometer os mesmos erros e permanecem o elo mais vulnerável da cadeia”

	Carlos Carvalho, Head of Information Technology Department da Pinto & Cruz

Carlos Carvalho, Head of Information Technology Department da Pinto & Cruz: “A nossa primeira linha de segurança é interna, depois recorremos a subcontratados, porque ainda não encontramos uma solução totalmente fiável. E, na realidade, o problema muitas vezes acontece ao nível mais básico: o próprio técnico da operadora pode tornar a gestão extremamente complexa”

João Rosário, IT Security and Operations Director da Sonae MC

João Rosário, IT Security and Operations Director da Sonae MC: “A gestão de recursos continua a ser o maior desafio. A equipa de segurança é grande e cobre tanto a IT como a governance. O problema é simples: não há talento disponível. Mantemos uma linha contínua de estágios. Funciona, mas não resolve tudo. Encontrar profissionais experientes é quase impossível. Precisamos de ferramentas porque reduzem a carga de IT – upgrades, patching, manutenção – e libertam a equipa para fazer aquilo que é suposto: a segurança”

“A mudança é complexa, ninguém a quer, mas acontece porque é necessária”

Em entrevista, Dr. Aditya K. Sood, da Aryaka, explica que a visibilidade fragmentada continua a ser o principal desafio dos CISO, não por falta de ferramentas, mas pela incapacidade de correlacionar dados através de utilizadores remotos, mobilidade e múltiplos canais de acesso

	Dr. Aditya Sood, VP of Security Engineering and AI Strategy da Aryaka

A visibilidade continua a ser um dos principais problemas dos CISO. Não por falta de ferramentas, mas pela fragmentação dos dados através de múltiplos de acesso. “Não se trata apenas de sites. Os dados transitam de localizações remotas, utilizadores em mobilidade, diferentes canais”, explica, em entrevista, Dr. Aditya K. Sood, VP of Security Engineering and AI Strategy da Aryaka, que acrescenta que é necessária “correlação entre todos estes cenários para perceber que dados estão a ser transacrionados e que indicadores de ameaça descobrimos”.

O problema não é novo, mas a sua escala mudou. A distribuição geográfica de acessos e a multiplicidade de canais de comunicação transformaram a visibilidade numa questão de observabilidade operacional. Não basta detetar ameaças; é preciso perceber o impacto em tempo real nos servidores, o comportamento dos sistemas e o que enfrentam.

O erro da implementação parcial de IA

Ao falar de Inteligência Artificial (IA), Sood é direto e diz que, “antes de procurar uma solução, precisamos de formular o problema corretamente”.

A sua sugestão divide o ecossistema de IA em três pilares: IA generativa, LLM e infraestrutura de IA. “Os CISO não podem dizer que vão proteger serviços de IA generativa só porque consomem ChatGPT”, alerta. “Têm de perceber as ameaças nos três pilares. Às vezes, um atacante nem precisa das duas primeiras camadas. Encontra uma vulnerabilidade e ataca diretamente os sistemas que gerem os LLM”.

Assim, na opinião de Sood, frameworks de governança robustos em IA não são opcionais, até porque focar apenas numa parte específica deixa o modelo de ameaça incompleto e a organização exposta.

A fricção humana

SASE promete simplificação às empresas, mas a hesitação sobre a sua adoção não é um problema técnico, diz. “As equipas de rede e segurança trabalham tradicional em silos. Não se preocupam uns com os outros”, observa Sood. “Agora estamos a dizer que vamos convergir; não podem esperar continuar em silos”.

Esta fricção humana, combinada com o receio de mudança, cria resistência. A questão que os CISO devem fazer a si próprios é se “vamos ficar presos aqui ou vamos avançar para reduzir o risco e tornar o negócio mais forte?”

A resposta passa por encontrar tecnologia que ofereça cenários melhores e reduza o atrito. O objetivo, esse, não mudou: continua a ser evitar incidentes de segurança enquanto se suporta a velocidade do negócio.

SASE unificada

A distinção que Sood faz entre SSE e SASE é importante porque “as pessoas confundem”. SSE “é um subconjunto de SASE. Para lá do secure web gateway, Firewall-as-a-Service, DLP e CASB, precisamos de capacidades zero trust, aceleração WAN e otimização TCP.

O valor está na gestão unificada, em “abrir a consola e ver os ativos de rede e segurança correlacionados numa página inicial. O site tem um score conforme os riscos, com um mapa vermelho quando algo está errado. Não está apenas a ver alertas de segurança; vê o que se passa na rede, a largura de banda, a latência”.

Esta visão unificada permite eliminar o tradicional jogo de ping-pong entre equipas. Três componentes tornam isso possível: plano de controlo unificado, plano de gestão centralizado e plano de dados distribuído.

A questão orçamental

Questionado sobre como a Aryaka guia os clientes através destes desafios, Sood explica que a empresa se junta “à jornada dos clientes cedo. A mudança é complexa, ninguém a quer, mas eventualmente acontece porque é necessária”.

A abordagem passa por trabalhar de perto com as complexidades específicas de cada cliente, sem forçar mudanças abruptas. Um desses exemplos é a IA na segurança. “Os orçamentos já estão acima do teto. Os clientes querem que os fabricantes introduzam IA na segurança, incorporando-a nas ferramentas existentes. É aí que SASE entra”, explica.

Com dois meses de dados armazenados, visibilidade sobre IA e funcionalidades de segurança com IA em desenvolvimento, a plataforma centralizada oferece capacidades desde rede, segurança e IA sem custos adicionais. “Não queremos duas ou três ferramentas extra para gerir segurança. Não há orçamentos para isso”, afirma.

A transição, no entanto, não será fácil, apesar de o caminho ser inevitável. SASE unificado não é apenas mais uma camada de segurança, mas uma reformulação de como a visibilidade, correlação e gestão operacional devem funcionar num mundo onde silos tecnológicos são obstáculos ao negócio.

Conteúdo co-produzido pela MediaNext, pela Aryaka e pela Cloud365