José Alegria: “O CISO tem a responsabilidade de saber ler, saber cheirar a evolução dos problemas e antecipar” (com vídeo)

Na atualidade, a cibersegurança é uma preocupação crescente para organizações de todas as dimensões. A experiência de um Chief Information Security Officer (CISO) é crucial para navegar pelas complexidades e desafios deste domínio. Como referiu José Alegria, um experiente CISO, na sua apresentação na IT Security Conference 2024, é necessário refletir sobre o que é preciso para enfrentar as doutrinas atuais de cibersegurança.

A doutrina de cibersegurança

Com uma carreira que se estende por várias décadas, José Alegria enfatizou a necessidade de uma doutrina abrangente que “tem cinco dimensões”. Esta estrutura é essencial não apenas para a proteção, mas também para a execução eficaz das políticas de segurança. O orador sublinhou que “uma doutrina pode ser contratada a uma consultora”, mas o verdadeiro desafio reside em “quem é que a executa”. De acordo com o especialista, a implementação eficaz requer um CISO com um compromisso a longo prazo, permitindo-lhe “criar escola na organização”.

Um bom CISO é descrito por José Alegria como “alguém que governa uma doutrina de segurança numa organização”, sendo que essa governança implica uma interação constante com os stakeholders, desde a comissão executiva até aos responsáveis operacionais. Um dos maiores desafios é garantir que o CISO tenha visibilidade e suporte adequados dentro da estrutura organizacional. “Se for apenas um chefe de departamento debaixo da estrutura da IT, não tem visibilidade”, afirmou.

Prevenção, proteção e recuperação

A questão da prevenção e proteção é central no discurso de José Alegria. Para o orador a “prevenção tem a ver com diminuir a probabilidade de um ataque se manifestar”, enquanto a proteção é “contê-lo” uma vez que ocorreu. Criticou a forma como alguns ataques em Portugal foram tratados, mencionando que “infelizmente foram detetados pós facto”, o que revela uma falta de maturidade nos sistemas de deteção e resposta.

José Alegria abordou ainda as dimensões fundamentais na prevenção, enfatizando que estas “apenas melhoram e diminuem a probabilidade de um ataque. Não o impedem”, destacando, assim, a importância de realizar testes de penetração, que devem ser efetuados "com parcimónia" e por entidades externas, de modo a evitar parcialidades.

A recuperação após um ataque é igualmente fundamental para José Alegria, que enfatizou que “um CISO não vai durar muito tempo” se não houver um plano de recuperação eficaz. O orador acrescentou que “um CISO que tenha maturidade vai criar exercícios, mecanismos, para testar ataques”, alertando que, em Portugal, “faz-se muito pouco” para preparar as organizações para tais eventos. Isso revela que a proatividade surge também como princípio essencial para um CISO. José Alegria também criticou a dependência excessiva de “frameworks standard de mercado”, destacando que a adaptação às novas ameaças é uma responsabilidade crucial do CISO, que deve “saber ler, saber cheirar a evolução dos problemas e antecipar, afinando as estratégias”.

O orador fez ainda uma distinção importante entre “awareness” e “treino” e, argumentou que, o CISO não deve colocar a culpa no colaborador em caso de ataque, mas sim assegurar que “mesmo que se clique no link, não haja problemas de maior na empresa”. Para isso o treino deve ser contínuo e focado na redução da “ingenuidade natural das pessoas”, defendeu o especialista.

Desafios na cibersegurança

No que diz respeito aos desafios atuais da cibersegurança, José Alegria destacou a importância da prevenção. O orador mencionou a relevância da “superfície de ataque” e “a postura perante a internet”, referindo-se a serviços como BitSites e SecureScoreCard, que oferecem uma “perspetiva relativamente leve, mas útil em relação à nossa postura, à nossa ciber-higiene face à internet”.

Outro ponto crucial foi a questão da cadeia de abastecimento, sendo que, para José Alegria, “em Portugal - como na maior parte dos países - não sabemos fazer bem”. Destacou ainda que o controlo da cibersegurança em relação a fornecedores é um grande desafio e, para mitigar esses riscos, é necessário garantir “um mínimo de controlos que um parceiro que esteja ligado a nós” deve ter.

Além disso, o orador ressaltou a complexidade do uso de software open source que é frequentemente um vetor de ataques. “Há atacantes que conseguem trabalhar durante dois anos com a equipa de desenvolvimento open source”, afirmou, e, para reduzir esses riscos, recomendou a utilização de ferramentas como o Black Duck, que ajudam na gestão de stacks de open source.

Características de um CISO eficaz

José Alegria definiu que as características essenciais de um CISO eficaz são: “ser tecnicamente competente” e, por sua vez “uma pessoa com experiência em gerir sistemas críticos”. Além disso, deve ser “frio e cool” em situações de crise, ser “racional” e ter habilidades de comunicação para endereçar as preocupações da equipa e da gestão. Sendo a comunicação um dos principaisa desafios que um CISO enfrenta, sobretudo quando se dirigem com diferentes públicos: “há vários níveis de abstração. Tem de saber endereçar na comissão executiva, como tem de saber endereçar jornalistas, como também tem de saber endereçar ao nível dos técnicos”.  Além disso, o CISO deve ser capaz de “demonstrar a sua execução” e “saber alertar” e “explicar, para manter a credibilidade”.

Ao abordar a questão da execução em cibersegurança, José Alegria salientou que, até agora, não tem havido falta de verba para o Sistema de Informação de Segurança (SIS), mas sim um “problema que é o elefante na sala”, referindo a incapacidade de utilizar adequadamente esses recursos. José Alegria acrescentou que “tipicamente fazem contratos de 3 anos, com licenciamento de software”, mas que, no primeiro ano, não se concretiza “porque nem sequer começaram o projeto a sério”. Ainda para mais, segundo o orador, se os CFO começarem a questionar a capacidade de execução do CISO, isso pode prejudicar a sua posição na negociação do orçamento futuro.

A importância de gerir a sua imagem é, segundo o especialista, um ponto fundamental, afirmando que os CISO “têm de saber criar, nutrir, desenvolver” o seu “brand”, ou seja, construir uma reputação sólida através de contribuições significativas e originais, bem como o desenvolvimento de conceitos relevantes na doutrina de cibersegurança proativa.

José Alegria sublinhou a necessidade urgente de atenção à educação e à formação em cibercriminologia. Afirmou que “não temos nenhum curso de engenharia de segurança em que haja uma cadeira que deve ser de cibercriminologia para ensinar as pessoas como é que os cibercriminosos pensam”. Esta lacuna na formação, de acordo com o especialista, pode comprometer gravemente a capacidade das organizações de enfrentar ameaças de maneira eficaz, evidenciando a importância de integrar conhecimentos sobre o comportamento criminoso nos currículos de segurança.