IT Security Conference: “É preciso normalizar a cibersegurança”

A cibersegurança é uma resposta essencial à digitalização das organizações. Mais do que uma mera solução de proteção, esta é agora uma peça fundamental na estratégia das empresas, independentemente da sua dimensão e setor de atividade. “É preciso naturalizar a cibersegurança e torná-la transversal a todas as empresas”, alerta Isabel Batista. A coordenadora do departamento de desenvolvimento e inovação do Centro Nacional de Cibersegurança (CNCS), que falava na abertura da IT Security Conference, a decorrer durante o dia de hoje no Monsanto Secret Spot, em Lisboa, aponta esta ‘normalização’ como um dos maiores desafios para as organizações, a par com a aposta na influência das lideranças para que sejam uma voz ativa no meio empresarial, e para que contribuam para o aumento da literacia nas empresas e na sociedade em geral. 

Com as atividades ligadas ao cibercrime a aumentar de forma exponencial desde o início da pandemia, em 2020, “esta tem que ser uma prioridade nacional”, reforça a responsável do CNCS. Isabel Batista recorda que a tendência crescente nos ciberataques, com especial relevância para o ransomware, mantém uma dinâmica muito acima dos níveis de 2019, e que foi agora reforçada pelo contexto geopolítico, nomeadamente, desde o início do conflito na Ucrânia. Portugal, aliás, tem sido um dos países com maior número de situações de ransomware, algumas delas bastante mediáticas. 

Os casos de ransomware continuam a explorar a vulnerabilidade dos dados usando, grande parte das vezes, a fragilidade humana como porta de entrada. Isabel Batista revela que as pessoas continuam a ser os principais atores que, por desconhecimento ou descuido, permite a entrada de software malicioso nos sistemas empresariais. A questão da literacia, muito incentivada pelo CNCS através de um conjunto de programas informativos, é um problema cuja resolução aquela responsável vê como essencial e urgente.

Abordagem holística, precisa-se

O dia 12 de maio de 2017 ficou na memória de José Alegria, Chief Security Officer (CSO) da Altice Portugal. Esta foi a data em que o mundo sofreu um dos maiores ataques de ransomware de sempre, em que o vírus WannaCry se espalhou por milhares de computadores com sistema operativo Windows, em cerca de 150 países. Em Lisboa, a Altice não foi exceção e, como revela José Alegria, “esse foi o dia em que mudámos a nossa abordagem à cibersegurança”.

No palco da IT Security Conference, o CSO alerta para as caraterísticas catastróficas que ataques como este podem gerar nas empresas e na economia, com forte impacto no Regulamento Geral da Proteção de Dados (RGPD) das organizações. É por isso que recomenda uma abordagem holística da segurança, um caminho que a Altice começou a trilhar em 2017 e que, na opinião de José Alegria, já está a dar frutos. Governança, inibição, defesa, resposta e recuperação são as dimensões da cibersegurança que o CSO recomenda que as organizações tenham em mente quando iniciarem a sua transformação. “Ao olhar de forma abrangente todas as áreas de uma organização será mais fácil implementar uma abordagem que garanta a integração de prevenção, proteção e recuperabilidade ativa”, assegura, alertando a importância do tema ser abordado como um trabalho de equipa.

Intrusos estão sempre à espreita

A sociedade está cada vez mais dependente de sistemas e de redes de elevada complexidade, e os intrusos estarão, mais tarde ou mais cedo, na rede empresarial de todas as organizações. A perspetiva, apresentada por Paulo Moniz, Chief Information and Security Officer (CISO) da EDP, no palco da conferência de hoje, introduz o conceito de ciber-resiliência como peça fundamental nas empresas. “Esta é uma forma de viver a segurança que tem que estar no ADN de cada empresa”, explicou. 

Paulo Moniz defende soluções de segurança com engenharia, ou seja, pensadas e planeadas de acordo com os objetivos e necessidades da organização. “Estas soluções têm que estar em todas as áreas das empresas, e esta visão holística é mais eficaz e desafiante”, aponta. 

A migração para a cloud é igualmente um desafio para as organizações. Na mesa-redonda que juntou David Grave, diretor de cibersegurança da Claranet Portugal, David Marques, Information Security Manager do Grupo Nabeiro, João Rosário, IT Operations Manager da Zeitreel Sonae, e Josué Delgado, Chief Information Security Officer da Lusíadas Saúde, os desafios desta migração e, consequentemente, os desafios da segurança, foram os temas em debate. Essencialmente, como adianta David Grave, “os clientes chegam ais preocupados com os custos da cloud do que com as restantes premissas”. O responsável da Claranet recomenda que o planeamento seja o primeiro passo após o diagnóstico de necessidade, uma vez que sem esta estratégia a migração não terá o impacto previsto. “É preciso entender o objetivo da migração senão nada faz sentido”, acrescenta David Marques. 

Falando sobre a experiência da Zeitreel Sonae, João Rosário realça a oportunidade de criar processos a partir do zero. Na sua opinião, não faz sentido fazer a migração direta dos dados pois o trabalho na cloud exige alterações e preparação. “Temos que preparar o que queremos ter e só depois de estar tudo compliant, fazer a migração”. Uma opinião partilhada por Josué Delgado que, assegura, “ir para a cloud é uma oportunidade única, especialmente se pensarmos em cloud native e evitarmos trazer muito dos sistemas legacy”. 

O programa da manhã da IT Security Conference contou ainda com um conjunto de apresentações de use cases e de tecnologias de suporte à cibersegurança, e com uma entrevista com João Camões, Chefe da Divisão de Estruturas de Comunicações e Segurança Secretaria-Geral da Economia, que poderá ler na íntegra na próxima edição da revista IT Security, que contará igualmente com uma reportagem alargada sobre as temáticas abordadas durante um dia totalmente dedicado à segurança das organizações.