“A sensibilização em cibersegurança é inútil se as pessoas tiverem medo de assumir o que fizeram”

Como olha para o cenário de ciberameaças atual?

A situação é extremamente volátil. Estamos num contexto geopolítico ainda mais incerto do que o costume onde, inclusive, as alianças são, em alguns casos, questionadas. Temos um aumento do cibercrime quer feito por, vamos chamar, organizações privadas ou a soldo de Estados-nação.

Temos uma corrida às armas em termos de inteligência artificial com a utilização dessas tecnologias para melhorar ataques de engenharia social com deep fakes e isso tem um impacto quer no cibercrime propriamente dito, quer em tudo o que diz respeito a ações de propaganda, de contrainformação ou manipulação da opinião pública.

Isto em cima de tudo o que são as atividades tradicionais como o ransomware, os ataques de denial of service ou outros. Neste momento, a situação não está calma; se nunca esteve bem, agora estamos num período de incerteza que se torna um pouco complicado para perceber exatamente para onde é que vamos.

Qual a sua visão sobre o papel das regulamentações internacionais – como a NIS2 ou a DORA – na definição de padrões de segurança de informação nas organizações?

Embora possam ser entendidas como um mal necessário, acho que têm um papel muito importante porque, tradicionalmente, os assuntos de cibersegurança ganham ênfase nas organizações quando há um incidente ou quando há a perceção de um contexto geopolítico de incerteza e de aumento de risco, como aconteceu no início da guerra na Ucrânia. Passado esse período, e salvo em algumas organizações que possam estar mais orientadas ou sensibilizadas, deixa de ser uma prioridade, os orçamentos baixam e o assunto é esquecido até à crise seguinte.

O que estas regulamentações vêm fazer é assegurar um patamar mínimo de controlos de segurança uniforme e transversal ao longo das áreas a que se aplicam – no caso da DORA ao setor financeiro, no caso da NIS 2 tem um âmbito mais alargado –, mas asseguram que há uma série de controlos de segurança mínimos que as empresas são obrigadas a atuar e isso tem influência na forma como a perceção de todos os assuntos ligados à cibersegurança vai ocorrer.

Dou exemplos: passamos de uma abordagem reativa aos eventos e de um aumento do orçamento depois de incidente para uma postura de gestão do seu risco de cibersegurança que pretende que as organizações avaliem e façam uma gestão do seu risco utilizando princípios de proporcionalidade; isso está assegurado nos regulamentos.

Nunca uma organização com 20 pessoas terá de implementar os mesmos controlos que uma organização com cinco mil. Há um princípio de proporcionalidade que está contemplado nos textos, nos diplomas, e que é entendido pelos reguladores que depois vão fazer a supervisão. Temos uma maior consciencialização das administrações de estar mais responsabilizadas pelas decisões que tomam e que têm de tomar em relação aos assuntos de cibersegurança. Há um empoderamento dos responsáveis de segurança que tendem a sair do quadro tradicional de alinhamento com a área de IT para se tornarem mais autónomos e com maior visibilidade na organização. Acima de tudo, a necessidade de haver reportes de segurança significativos que vão mudar a forma como olhamos para o risco.

Até recentemente era relativamente normal – e estou a generalizar; há determinados setores em que isto não ocorre – que as entidades não relatassem os incidentes de segurança que sofreram; isso distorce as estatísticas e impede que haja uma perceção exata quer da frequência, quer do impacto dos incidentes em geral.

A área de cibersegurança está muito atrasada na perceção do risco. Ainda temos muitos modelos baseados em avaliação qualitativa do risco e não quantitativa. A obrigatoriedade dos reportes dos incidentes significativos e graves que estes diplomas trazem vão ajudar a mudar essa perceção e, no futuro, melhorar a perceção do risco quer das próprias empresas, quer por parte dos reguladores que depois vão supervisionar as aplicações desses diplomas.

Na sua opinião, qual é o papel que o responsável de cibersegurança deve desempenhar na tomada de decisões estratégicas de uma organização?

O responsável de cibersegurança – tenha ele o título que tiver – deve ter acesso e aconselhar diretamente a administração, bem como os seus pares, ajudá- los e aconselhá-los na tomada das decisões estratégicas. É importante que haja independência e que o responsável seja visto na organização como um fator positivo para o cumprimento da missão, seja limitando ou mitigando os riscos que possam existir, quer aconselhando as melhores práticas para se conseguir atingir os objetivos.

Quais são os desafios mais críticos que os profissionais de cibersegurança enfrentam atualmente?

O maior problema que vejo é a pressão e a necessidade de atualização constante que a área de cibersegurança tem; acontece também nos profissionais de IT em geral, mas na área de cibersegurança em especial.

Há um número crescente de tecnologias disruptivas que têm surgido nos últimos anos 20 anos: virtualização e containers, blockchain, inteligência artificial, Internet of Things, agora falamos de computação quântica, mesmo os ataques de ransomware que não eram comuns há 20 anos… são tudo tecnologias – umas positivas outras negativas –, mas que tiveram um impacto muito grande na forma como os projetos de cibersegurança são implementados, quais são os controlos que devem ser implementados e como é que as organizações se devem proteger.

Isso implica que os profissionais de cibersegurança estejam constantemente a atualizar-se para estarem a par destas tecnologias e as poderem implementar. Pese embora a necessidade de se atualizarem para utilizarem as técnicas mais recentes, um médico, depois de tirar o curso, pode continuar a ser médico durante 20 ou 30 anos, um arquiteto pode continuar a desenhar casas. Um profissional de cibersegurança que esteja ausente e completamente desligado durante cinco ou dez anos – e aqui refiro-me às áreas de caráter mais operacional e não da gestão pura – tem uma elevada dificuldade em ajustar-se a essas novas tecnologias.

Ao nível dos gestores de cibersegurança, os problemas continuam a ser de falta de recursos – quer humanos ou orçamento. O mercado de trabalho em cibersegurança está, na minha opinião, sobreaquecido. Ao contrário do que alguns autores argumentam, penso que não há falta de profissionais; o que há é falta de profissionais que estejam dispostos a trabalhar pelos salários que as empresas estão dispostas a pagar, o que é um bocadinho diferente.

É difícil atrair e reter talento nas organizações e conheço muitos profissionais que mudam de empresa com muita frequência. Olho para determinados currículos e vejo pessoas que tiveram seis meses num sítio, nove meses noutro, um ano num outro… tenho dificuldade em perceber como é que algum trabalho em concreto sai dali, uma vez que uma pessoa tem de se adaptar à cultura da organização e não é fácil começar a fazer algum trabalho produtivo, principalmente se estivermos ao nível de projetos mais altos.

Atualmente, as organizações dependem de fornecedores externos para uma série de funções. Como é que se pode assegurar a cibersegurança da cadeia de valor de uma organização?

A cibersegurança da cadeia de valor de uma organização tem de ser vista quer na componente interna, quer na externa.

Internamente, temos de ter mecanismos que nos permitam identificar qual é a informação sensível que nós temos na organização e a melhor forma de a proteger.

No caso dos prestadores externos, e aí o caminho é apontado pela NIS2 e pela DORA, terá de passar por uma análise de risco sobre esses prestadores e os circuitos que existam a montante e a jusante; posso ter um fornecedor que, por sua vez, tem outro fornecedor ou subcontrata alguém e é importante que essa análise seja o mais alargada possível para perceber em que medida é que podem existir riscos não identificados que podem impactar a cadeia de valor.

A nível interno é importante garantir que existem controlos de segurança que protejam a informação sensível e que detetem situações de acessos indevidos ou de manuseamento não autorizado, diminuindo o risco de má utilização, de atos maliciosos – internos ou de terceiros – que normalmente são as causas dos riscos. Aí existe uma miríade de controlos – desde gestão de identidades, classificação e documentação, DLP e muitos outros que se podem aplicar para assegurar esse controlo.

Quais são os desafios específicos na gestão de dados sensíveis das organizações?

Desde o RGPD que associamos os dados pessoais a dados sensíveis, mas os dados sensíveis não são só dados pessoais. Segredos comerciais, informação sensível para a organização, e que possa impactar o cumprimento da sua missão ou afetar de alguma forma o seu valor, têm de ser protegidos.

O primeiro passo passa por identificar e classificar corretamente a informação que existe numa organização. Uma política de classificação de dados corretamente implementada é fundamental e deve ser o primeiro passo, porque a alternativa é focarmos na proteção de toda a informação da organização, o que significa um desperdício de recursos.

Ao identificarmos qual é a informação mais sensível – sejam dados pessoais ou não – e ao classificarmos essa informação corretamente, depois podemos avançar para os controlos de segurança, como o DLP, a análise comportamental dos utilizadores, registos de eventos – por exemplo, se alguém tenta enviar por email ou copiar para uma pen um documento que está classificado como restrito, deve haver um evento que é gerado e um alerta que dará aso a uma investigação ou, no mínimo, ficam dados para uma possível análise forense.

Como se pode promover a consciencialização em cibersegurança junto dos colaboradores de uma organização? O que considera ser o maior obstáculo para a criação de uma cultura de cibersegurança eficaz dentro das organizações?

O maior obstáculo ao desenvolvimento de uma cultura de cibersegurança numa organização são ambientes tóxicos; uma cultura do medo, de tentar encontrar culpados, de tentar apontar o dedo na sequência de um incidente em vez de se tentar resolver a questão.

Temos uma política muito aberta de colaboração com os utilizadores e é assim que entendemos esta questão. Um utilizador não deve ter medo de contactar a equipa de cibersegurança e dizer ‘acho que cliquei num link que pode ser malicioso, ajudem-me’ e nós estamos lá para ajudar, não para criticar nem fazer juízos de valor.

Toda a sensibilização em cibersegurança é inútil se as pessoas tiverem medo de assumir o que fizeram porque a consciencialização em cibersegurança – o famoso security awareness – passa primeiro por entender que o objetivo não é formar profissionais de cibersegurança. No fundo, é tirar alguma da ingenuidade que as pessoas têm quando estão num ambiente virtual em que baixam as defesas e não têm as mesmas inibições que teriam a lidar com uma pessoa que esteja ao pé delas.

Um dos objetivos deve ser fazer com que as pessoas percam alguma da ingenuidade. Não é deixarem de contactar com estranhos, mas não acreditarem em toda a informação que recebem, principalmente se vierem de estranhos, e não se sentirem pressionadas para ataques típicos em que se coloca urgência e solicitação de um comportamento que não é o normal.

A sensibilização e consciencialização em cibersegurança é importantíssima, mas deve ser acompanhada de um sinal do topo, existir um sinal claro das administrações de que as pessoas se sentem à vontade para poderem discutir estes assuntos sem terem medo de serem, de alguma forma, penalizadas por algo que pode acontecer a qualquer pessoa; não estou a falar de atos maliciosos, estou a falar de situações em que a pessoa recebe um email e, por engano, pode cair.

É importante existirem políticas claras de utilização dos recursos e não deve haver exceções. Um dos melhores sinais que as administrações podem dar é de não criar exceções, ou seja, não existirem privilégios para os VIP e outras restrições de acesso para o resto dos funcionários da empresa.

De que forma é que as organizações, especialmente uma como a CMVM, pode lidar com o risco interno?

O risco interno tem muito a ver com a prevenção e deteção, seja de situações que possam ocorrer inadvertidamente ou por atos maliciosos, sejam de agentes internos ou externos.

Isso passa por um conjunto de políticas e de controlos mais técnicos de segurança para começar a restrição do acesso à informação na medida da necessidade de saber; nem toda a informação tem de estar disponível para todas as pessoas e restringir o acesso a determinada informação, não a divulgando a todas as pessoas, é um bom passo.

Depois, é importante controlar o acesso, ter registos de quem acedeu, de quem alterou e, eventualmente, quem a apagou. Devem existir alertas que sejam espoletados quando essas situações acontecem.

Também é importante fazer análise comportamental. Se um utilizador tem um padrão de comportamento em termos de trabalho e de um dia para o outro passa a tentar aceder a áreas de organização – em termos virtuais – a aplicações ou zonas com informação a que normalmente não tem acesso deve, no mínimo, gerar um alerta, porque pode ter um novo projeto para fazer, mas deve ser verificado.

Temos de fazer controlo de identidade e gestão do ciclo de vida de utilizador para garantir que no dia em que a pessoa muda de departamento, os privilégios são ajustados para acesso à informação daquele departamento e não ao anterior, impedindo de acumular privilégios quando se muda de um lado para o outro. Ou, simplesmente, garantir que no dia em que termina o contrato a conta é desativada e não pode aceder à informação.

Como é que uma instituição como a CMVM colabora com o setor privado para prevenir fraudes e ciberataques no mercado financeiro?

Um regulador não colabora com as entidades que estão sob a sua supervisão. Um regulador aconselha e supervisiona – consoante o caso – a aplicação de boas práticas, regulamentos e legislação aplicável.

No âmbito do exercício das suas competências de supervisão prudencial, a CMVM verifica o cumprimento dos requisitos prudenciais aplicáveis às entidades supervisionadas, em termos de organização interna, disponibilidade de recursos humanos materiais e técnicos, os quais devem ser suficientes e adequados para o exercício das atividades autorizadas. Neste contexto, a aplicação do quadro legal e regulatório contribui para o reforço dos meios utilizados pelas entidades no exercício das suas atividades, mitigando risco operacional, incluindo os relacionados com as TIC e a cibersegurança.

As práticas de supervisão implementadas consistem em assegurar, numa lógica de abordagem baseada na gestão do risco, e proporcional à dimensão, complexidade e risco das entidades, que as entidades estão organizadas e dispõem dos meios humanos e técnicos adequados e suficientes para o exercício das atividades autorizadas.

A proximidade com o mercado, quer diretamente junto das entidades supervisionadas, quer através das associações representativas do setor, é também uma forma de partilha de experiências, de perspetivas ou dúvidas que contribuem para alertar para determinadas situações e criar consciência de riscos e de novos mecanismos de fraude/atividades ilícitas.

A disseminação pela CMVM da adoção e implementação das melhores práticas de mercado, em matérias relacionadas com a cibersegurança e ciber-resiliência, contribui igualmente para prevenir a ocorrência de incidentes neste contexto e para mitigar os efeitos negativos daqui resultantes.

Finalmente, temos a publicação de alertas – no website da CMVM – relacionados com o exercício de atividades não autorizadas ou atuação por parte de entidades não autorizadas.

Fora do âmbito das entidades supervisionadas, a CMVM fomenta a troca de informação sobre ameaças e incidentes de segurança, tendo sido recentemente admitida na Rede Nacional CSIRT.

Que conselhos deixa para outros CISO e diretores de cibersegurança?

Faria dois tipos de recomendações. A nível de caráter mais operacional, acho que é importante os responsáveis de cibersegurança não perderem o foco. Hoje, fala-se muito de ameaças de inteligência artificial e de todas essas corridas tecnológicas, mas não podemos esquecer que muitas vezes as empresas são atacadas por coisas bastante mais básicas. É preciso garantir aquilo que é a ciber-higiene básica de uma empresa, como uso de encriptação, atualização regular dos equipamentos, controlo de identidades, autenticação forte; são princípios básicos que devem estar sempre na mira.

É muito interessante estarmos a discutir os avanços tecnológicos e o que hoje está mais na moda, mas há uma grande parte dos ataques que ocorrem que ainda são por exploração de vulnerabilidades conhecidas, não vulnerabilidades de dia zero, mas sim as que já são conhecidas há algum tempo e que, por alguma razão, as organizações não atualizaram os equipamentos. Também os equipamentos que já não são suportados pelos fabricantes e estão em fim de vida devem ser desativados e removidos, por muito que isso custe às organizações. Manter esses equipamentos ativos é um convite a um ataque. Podemos estar a falar em muitos dos controlos que mencionei e estar preocupados com coisas mais high level, mas o básico tem de ser assegurado. É como meter uma porta blindada na nossa casa, mas temos janelas de madeira que não são devidamente protegidas.

Em termos da função do responsável de cibersegurança – seja ele CISO ou não – é importante aprenderem isto porque muitos deles – como é o meu caso – vêm tipicamente de um background técnico, da carreira do IT e depois passam para a segurança, ainda que existam exceções: é importante passar de uma linguagem técnica para uma linguagem do negócio. Não podemos falar com as administrações com detalhes demasiado técnicos, a não ser que nos seja pedido e que haja um interlocutor do outro lado que o peça.

A abordagem tem de ser feita numa perspetiva de entender qual é que é o negócio, qual é a atividade core dessa organização, para compreender o que é que é feito, porquê, quais são os riscos e, com isso, se conseguir posicionar a função de cibersegurança como uma força de facilitação – ou business enabler – para o desempenho dessas atividades, em vez de ser uma força de bloqueio, o famoso ‘departamento do não’. Para isso, os responsáveis de cibersegurança têm de entender o que é que as organizações fazem, porque é que isso é importante, e saber comunicar com as administrações.

Não é por acaso que a DORA e a NIS2 fazem uma ênfase no risco, porque as administrações falam de gestão de risco em geral, não falam de ataques específicos e de coisas detalhadas. É importante que os responsáveis lutem por um lugar ao sol, de preferência fora dos departamentos de IT, pese embora haja uma componente técnica de gestão de controlos de segurança dentro do IT, mas o responsável de cibersegurança no contexto que estamos a falar agora – ou seja, o CISO – deve ter acesso direto ao topo de organização, à administração, para poder expor o seu ponto de vista e posicionar-se como uma referência em que tenta encontrar caminhos para que os projetos decorram da forma mais segura possível, tentando encontrar o equilíbrio difícil entre as funcionalidades que são pretendidas e a segurança que deve ser assegurada.