Ivo Rosa: “A inovação anda a uma velocidade que não é a mesma com que a segurança anda” (com vídeo)

No espaço mais especializado que foram as Technical Tracks, uma novidade da IT Security Conference 2024, recebemos Ivo Rosa, Head of Security Operations da EDP, que discutiu a evolução das operações de cibersegurança.

Com uma experiência de mais de 15 anos na área, Ivo Rosa explicou que a segurança de informação na EDP tem evoluído para acompanhar esta nova realidade: “estamos a dar este movimento para trabalharmos de forma efetivamente global”, referiu, exemplificando com a criação de equipas em Singapura, Estados Unidos e outras localizações internacionais.

O responsável realçou que um dos principais desafios para a EDP reside na diferença de ritmos entre inovação e segurança, uma vez que a evolução da tecnologia frequentemente supera a capacidade de adaptação das medidas de segurança. “A inovação anda num ritmo, numa velocidade que não é a mesma com que a segurança anda”, afirmou, explicando que essa disparidade exige ajustes constantes nas estratégias para garantir uma proteção eficaz em ambientes cada vez mais globais e integrados. Acrescentou que “temos de criar equilíbrios e encontrar as oportunidades” entre a necessidade de inovação e as exigências de segurança.

Escolha estratégica entre soluções especializadas e integradas

A complexidade na escolha entre soluções especializadas para funções específicas e plataformas globais mais integradas foi também um aspeto importante abordado por Ivo Rosa. “Não temos aqui uma receita para partilhar”, afirmou, referindo-se ao processo de decidir entre soluções stand-alone e ferramentas mais abrangentes. O responsável explicou que em alguns casos “fez mais sentido” manter uma solução altamente especializada e focada numa única funcionalidade, uma vez que “o nível de confiabilidade dos resultados faz sentido”, mas revelou que existem “outros casos que faz mais sentido termos um aglomerar de capacidades numa única só plataforma que nos dá aqui mais viabilidade dos resultados”.

Dessa forma, o orador sublinhou a importância de considerar o feedback das equipas técnicas ao avaliar essas opções, apontando que “sejam aqui ouvidas as partes técnicas, as equipas que trabalham no dia-a-dia e não seja meramente uma questão focada na questão financeira”.

Uso responsável da inteligência artificial na EDP

No último ano, a EDP implementou uma estratégia ambiciosa para a adoção de inteligência artificial (IA) em todo o grupo, envolvendo desde colaboradores até a administração. “Toda a gente no grupo teve uma adoção à inteligência artificial”, afirmou Ivo Rosa, explicando que essa integração envolveu equipas multidisciplinares, como arquitetura, segurança, bem como do ponto de vista legal.

Como parte desta estratégia, a EDP criou um chat GPT interno, que opera exclusivamente dentro da organização e com restrições de segurança rigorosas. “Este sistema é um chat GPT interno; não fala para o exterior e não tem aprendizagem”, explicou, garantindo que os dados da EDP estão protegidos e que o sistema não reaprende com as informações dos utilizadores.

Paralelamente ao processo de adoção da inteligência artificial, foram realizadas campanhas de sensibilização para instruir os colaboradores sobre o uso seguro da IA, de modo a promover uma maior conscientização sobre o papel da IA e os cuidados necessário a ter. Além disso, para estabelecer diretrizes claras, foram desenvolvidas as “golden rules” que, segundo o orador, definem “o uso responsável e ético” da IA na empresa, ajudando a orientar os colaboradores no uso consciente dessas ferramentas.

Formação interna e reposta a incidentes

No âmbito das operações de segurança, Ivo Rosa reforçou que também foi contemplada uma formação interna “tanto de resposta a incidentes, como de gestão de vulnerabilidades”. Este programa não só desafia as equipas a serem mais proativas, mas também incentiva uma melhor interpretação dos eventos.

Os analistas, frequentemente tentados a utilizar ferramentas de inteligência artificial para decifrar informações complexas, são incentivados a participar em testes práticos. O orador destacou: “desenvolvemos uma formação onde fazemos este tipo de testes e comparamos com os resultados que nós temos em termos de resposta a incidentes e também de análise de vulnerabilidades”. De acordo com o responsável, esta abordagem prática proporciona uma experiência realista e prepara os analistas para situações do dia a dia.

Exploração de ferramentas de inteligência artificial

“Estamos a desenvolver campanhas de phishing e de smishing, através de motores de inteligência artificial”, explicou Ivo Rosa, que reforçou que o uso de ferramentas como o deepfake para criar simulações que replicam a voz do CEO, aumentam a conscientização dos colaboradores sobre os perigos reais enfrentados.

No entanto, o responsável reconheceu a necessidade de personalizar as campanhas de sensibilização no treino de colaboradores, com o orador afirmando que “o treino para uns funciona, para outros não”, o que enfatiza a importância de adaptar a formação às necessidades individuais. Essa abordagem inovadora permitirá à IA auxiliar na criação de cenários específicos de phishing e smishing, moldando campanhas mais eficazes. Neste sentido, a utilização da inteligência artificial é fundamental para desenvolver cenários de treino mais eficazes, marcando um avanço nas estratégias de formação.

Além disso, a criação de um portal de self-service com IA permitirá que os colaboradores verifiquem rapidamente e-mails suspeitos, promovendo uma cultura de segurança ao facilitar a identificação de potenciais ameaças.

Supervisão e análise crítica dos processos

Não restam dúvidas sobre a importância da IA na deteção de ameaças, mas, para o orador, deve ter-se em conta os falsos negativos, que exigem intervenção humana. Por isso, Ivo Rosa, mencionou a tendência de usar plataformas globais, afirmando que “a inteligência artificial provavelmente não vai substituir a 100% determinadas funcionalidades”, mas vai criar funções de supervisão. Pelo que a necessidade de análise crítica e supervisão dos processos é um aspeto que não pode ser negligenciado, principalmente quando se trata de operações que exigem um tempo de resposta curto. Além disso, sugeriu a implementação de uma "Common Operational Picture" no Command Center para uma visão abrangente da resposta a incidentes.

Por fim, o responsável ressaltou que a substituição de funções rotineiras por IA exigirá operadores de cibersegurança ainda mais especializados, que possam agregar valor às capacidades das máquinas.