A evolução da tecnologia para a defesa da organização: “Temos que pensar na resiliência como um pilar completamente crítico” (com vídeo)

Na mesa-redonda intitulada “A evolução da tecnologia para a defesa da organização”, realizada durante a IT Security Conference 2024, profissionais de diversas áreas discutiram as medidas e desafios da cibersegurança em setores críticos. Moderada por Rui Damião, diretor da IT Security, a sessão contou com a participação de Ricardo Evangelista, CISO do Grupo AGEAS, Jéssica da Costa Domingues, Head of Cyber Security Unit dos Serviços Partilhados do Ministério da Saúde, Nuno Medeiros, ITOT Strategy and Cyber Security e CISO da E-Redes e Bruno Mendes, Senior Sales Executive Data Protection and Cyber Resiliency Solutions da Dell Technologies.

Os especialistas exploraram a importância de integrar a cibersegurança nas estratégias de inovação, especialmente em infraestruturas críticas, abordando temas como a necessidade de equilibrar segurança e inovação, a proteção de dados sensíveis e a resiliência organizacional em contextos de risco crescente.

Integração entre inovação e cibersegurança

Nuno Medeiros, ITOT Strategy and Cyber Security e CISO da E-Redes, destacou a necessidade de equilíbrio entre inovação e segurança, afirmando que “inovar é um fator essencial de sucesso para as organizações” e que a transformação digital “é uma alavanca de competitividade”. Para o especialista, a cibersegurança deve ser um “pilar fundacional” e a cibersegurança deve estar integrada nos processos desde o início e, por sua vez, deve fazer parte da cultura organizacional.

A prática de “security by design” garante que a segurança é incorporada desde a fase de desenho, enquanto “security by default” a mantém como prioridade durante toda a implementação e ciclo de vida dos projetos. Essa abordagem fomenta a colaboração contínua entre as equipas, assegurando que a inovação ocorra com atenção aos riscos e mantenha a integridade das organizações.

Assim, as organizações devem modernizar-se de forma sustentada, garantindo que a digitalização não introduza riscos significativos. Neste contexto, a inovação deve ocorrer sem fricções com a cibersegurança, onde esta última não seja vista como um obstáculo, mas sim como um pilar fundamental que sustenta o processo de transformação digital.

A saúde e a segurança dos dados sensíveis

Jéssica da Costa Domingues, Head of Cyber Security Unit dos Serviços Partilhados do Ministério da Saúde, abordou os desafios do setor, que, por lidar com dados pessoais e sensíveis, é alvo frequente de ciberataques. “Incidentes de segurança vão sempre existir”, destacou, enfatizando que o objetivo deve ser minimizar o impacto desses incidentes. Para a especialista, a deteção eficaz é um sinal de investimento em cibersegurança, especialmente na identificação de problemas que possam comprometer a disponibilidade. A SPMS, através do Plano de Recuperação e Resiliência, tem investido na atualização de infraestruturas e capacitação das equipas para enfrentar ameaças crescentes, considerando a modernização do parque tecnológico uma prioridade.

A oradora salientou o investimento na substituição de tecnologias antigas, que exigiam medidas mitigadoras devido à falta de suporte em cibersegurança. “Por muito que tenham acesso à informação, não a podem tratar, às vezes, da forma como a devem tratar”, reforçou, sublinhando a importância da formação. Também concluiu que a cibersegurança deve ser cultivada como uma cultura no ecossistema da saúde, “pensando não só do ponto de vista de segurança, mas também da proteção de dados e tudo o que isso afeta o próprio ecossistema e, por último, o cidadão”.

Desafios das seguradoras na proteção de dados

“Qualquer setor, qualquer empresa tem os seus dados sensíveis, os seus crown jewels, os seus ativos críticos”, afirmou Ricardo Evangelista, CISO do Grupo AGEAS, destacando a importância de proteger esses recursos através de frameworks de cibersegurança. No setor segurador, existem modelos como o NIST ou a ISO 27001, que podem ser adaptados a diferentes setores, nomeadamente se adaptadas à gestão de cibersegurança em ambientes que processam dados sensíveis e de grande valor. Contudo, ressaltou que o maior desafio é a manutenção dessas estruturas, especialmente em serviços críticos, onde os riscos são elevados devido ao impacto e ao volume de dados processados.

Para Ricardo Evangelista, o segredo reside em concentrar-se nos ativos críticos e expandir gradualmente a aplicação da framework a outros sistemas e processos. “Campanhas de sensibilização e investir […] em consciencialização dos nossos colaboradores” são ações fundamentais, complementadas por testes de intrusão e backups para assegurar a recuperação da informação. Essa abordagem, segundo o orador, permite equilibrar segurança com capacidade de resposta e desenvolvimento nas organizações.

A resiliência como pilar de segurança

Bruno Mendes, Senior Sales Executive Data Protection and Cyber Resiliency Solutions da Dell Technologies, trouxe à discussão a importância de diferenciar conceitos como segurança e resiliência: “Segurança é claramente um pilar. O outro pilar é a resiliência. Depois existe, obviamente, toda a parte de regulamentação e compliance”. Ao distinguir a segurança da resiliência, o orador reforçou a importância de cada um destes elementos para a proteção eficaz das organizações. Na sua visão, a resiliência é a capacidade da organização de resistir a ataques e de recuperar os ativos críticos em tempo útil, sem comprometer o funcionamento do negócio.

Para o orador, a resiliência é um componente fundamental que determina a capacidade de uma organização de recuperar os seus ativos críticos após um ataque: “temos que pensar na resiliência como um pilar completamente crítico e apresentar uma solução definida para a resiliência independentemente da nossa realidade em termos de segurança”. Este aspeto é fundamental, de acordo com o especialista, já que os impactos de longos períodos de indisponibilidade são devastadores não apenas para a organização, mas para o tecido social e empresarial como um todo.

Cibersegurança vs. continuidade

Ao discutir a implementação da cibersegurança em camadas na saúde, Jéssica da Costa Domingues revelou que esta deve sempre existir, mas explicou que “há áreas, nomeadamente a emergência, onde é impensável colocar o que quer que seja da autenticação do fator, porque a prioridade no setor da saúde é a segurança da pessoa”, ou seja nestas situações, as medidas de cibersegurança podem precisar ser flexibilizadas. Embora o equilíbrio entre segurança digital e dos pacientes seja ideal, a resposta real é a “segurança do doente, sempre”, revelou a oradora.

Ricardo Evangelista complementou que o setor das seguradoras utiliza metodologias padrão de gestão de risco para proteger ativos digitais. “Procuramos identificar cenários ou modelos de ameaça. [...] Isso vai-nos permitir priorizar com a execução, mapeando estes riscos ou estes controlos com os meus ativos críticos”, afirmou. Acrescentou também que ao antecipar riscos, deve adotar-se práticas que garantem a segurança sem comprometer os objetivos de negócio.

Nuno Medeiros, por sua vez, salientou a importância da ciber-resiliência no setor da energia, com foco na continuidade do fornecimento de eletricidade. “A resiliência está muito mais orientada, não à proteção de sistemas e dados, mas sim à proteção daquela que é a atividade crítica desempenhada pela organização”, explicou. O especialista ressaltou a necessidade de articulação entre setores e autoridades para uma resposta eficaz que preserve o bem-estar social e a estabilidade económica.

Por fim, Bruno Mendes destacou a recuperação eficiente dos sistemas críticos, assegurando que as infraestruturas necessárias estão prontas para uma resposta rápida em caso de incidente. Para o especialista, esta capacidade de recuperação afeta diretamente a economia das organizações e seu impacto social, já que uma recuperação em “tempo útil” evita perturbações maiores. Afirmou ainda que a recuperação eficiente é fundamental para assegurar que as “joias da coroa” permaneçam protegidas e possam ser restauradas rapidamente.