ITS Conf

José Alegria: “O CISO tem a responsabilidade de saber ler, saber cheirar a evolução dos problemas e antecipar” (com vídeo)

Na 3ª edição da IT Security Conference, José Alegria, experiente CISO, abordou temas desde a gestão da supply chain à importância da formação em cibercriminologia, e traçou um panorama claro das responsabilidades de um CISO e da urgência em preparar as empresas para um futuro cada vez mais vulnerável

31/10/2024

José Alegria: “O CISO tem a responsabilidade de saber ler, saber cheirar a evolução dos problemas e antecipar” (com vídeo)

Na atualidade, a cibersegurança é uma preocupação crescente para organizações de todas as dimensões. A experiência de um Chief Information Security Officer (CISO) é crucial para navegar pelas complexidades e desafios deste domínio. Como referiu José Alegria, um experiente CISO, na sua apresentação na IT Security Conference 2024, é necessário refletir sobre o que é preciso para enfrentar as doutrinas atuais de cibersegurança.

A doutrina de cibersegurança

Com uma carreira que se estende por várias décadas, José Alegria enfatizou a necessidade de uma doutrina abrangente que “tem cinco dimensões”. Esta estrutura é essencial não apenas para a proteção, mas também para a execução eficaz das políticas de segurança. O orador sublinhou que “uma doutrina pode ser contratada a uma consultora”, mas o verdadeiro desafio reside em “quem é que a executa”. De acordo com o especialista, a implementação eficaz requer um CISO com um compromisso a longo prazo, permitindo-lhe “criar escola na organização”.

Um bom CISO é descrito por José Alegria como “alguém que governa uma doutrina de segurança numa organização”, sendo que essa governança implica uma interação constante com os stakeholders, desde a comissão executiva até aos responsáveis operacionais. Um dos maiores desafios é garantir que o CISO tenha visibilidade e suporte adequados dentro da estrutura organizacional. “Se for apenas um chefe de departamento debaixo da estrutura da IT, não tem visibilidade”, afirmou.

Prevenção, proteção e recuperação

A questão da prevenção e proteção é central no discurso de José Alegria. Para o orador a “prevenção tem a ver com diminuir a probabilidade de um ataque se manifestar”, enquanto a proteção é “contê-lo” uma vez que ocorreu. Criticou a forma como alguns ataques em Portugal foram tratados, mencionando que “infelizmente foram detetados pós facto”, o que revela uma falta de maturidade nos sistemas de deteção e resposta.

José Alegria abordou ainda as dimensões fundamentais na prevenção, enfatizando que estas “apenas melhoram e diminuem a probabilidade de um ataque. Não o impedem”, destacando, assim, a importância de realizar testes de penetração, que devem ser efetuados "com parcimónia" e por entidades externas, de modo a evitar parcialidades.

A recuperação após um ataque é igualmente fundamental para José Alegria, que enfatizou que “um CISO não vai durar muito tempo” se não houver um plano de recuperação eficaz. O orador acrescentou que “um CISO que tenha maturidade vai criar exercícios, mecanismos, para testar ataques”, alertando que, em Portugal, “faz-se muito pouco” para preparar as organizações para tais eventos. Isso revela que a proatividade surge também como princípio essencial para um CISO. José Alegria também criticou a dependência excessiva de “frameworks standard de mercado”, destacando que a adaptação às novas ameaças é uma responsabilidade crucial do CISO, que deve “saber ler, saber cheirar a evolução dos problemas e antecipar, afinando as estratégias”.

O orador fez ainda uma distinção importante entre “awareness” e “treino” e, argumentou que, o CISO não deve colocar a culpa no colaborador em caso de ataque, mas sim assegurar que “mesmo que se clique no link, não haja problemas de maior na empresa”. Para isso o treino deve ser contínuo e focado na redução da “ingenuidade natural das pessoas”, defendeu o especialista.

Desafios na cibersegurança

No que diz respeito aos desafios atuais da cibersegurança, José Alegria destacou a importância da prevenção. O orador mencionou a relevância da “superfície de ataque” e “a postura perante a internet”, referindo-se a serviços como BitSites e SecureScoreCard, que oferecem uma “perspetiva relativamente leve, mas útil em relação à nossa postura, à nossa ciber-higiene face à internet”.

Outro ponto crucial foi a questão da cadeia de abastecimento, sendo que, para José Alegria, “em Portugal - como na maior parte dos países - não sabemos fazer bem”. Destacou ainda que o controlo da cibersegurança em relação a fornecedores é um grande desafio e, para mitigar esses riscos, é necessário garantir “um mínimo de controlos que um parceiro que esteja ligado a nós” deve ter.

Além disso, o orador ressaltou a complexidade do uso de software open source que é frequentemente um vetor de ataques. “Há atacantes que conseguem trabalhar durante dois anos com a equipa de desenvolvimento open source”, afirmou, e, para reduzir esses riscos, recomendou a utilização de ferramentas como o Black Duck, que ajudam na gestão de stacks de open source.

Características de um CISO eficaz

José Alegria definiu que as características essenciais de um CISO eficaz são: “ser tecnicamente competente” e, por sua vez “uma pessoa com experiência em gerir sistemas críticos”. Além disso, deve ser “frio e cool” em situações de crise, ser “racional” e ter habilidades de comunicação para endereçar as preocupações da equipa e da gestão. Sendo a comunicação um dos principaisa desafios que um CISO enfrenta, sobretudo quando se dirigem com diferentes públicos: “há vários níveis de abstração. Tem de saber endereçar na comissão executiva, como tem de saber endereçar jornalistas, como também tem de saber endereçar ao nível dos técnicos”.  Além disso, o CISO deve ser capaz de “demonstrar a sua execução” e “saber alertar” e “explicar, para manter a credibilidade”.

Ao abordar a questão da execução em cibersegurança, José Alegria salientou que, até agora, não tem havido falta de verba para o Sistema de Informação de Segurança (SIS), mas sim um “problema que é o elefante na sala”, referindo a incapacidade de utilizar adequadamente esses recursos. José Alegria acrescentou que “tipicamente fazem contratos de 3 anos, com licenciamento de software”, mas que, no primeiro ano, não se concretiza “porque nem sequer começaram o projeto a sério”. Ainda para mais, segundo o orador, se os CFO começarem a questionar a capacidade de execução do CISO, isso pode prejudicar a sua posição na negociação do orçamento futuro.

A importância de gerir a sua imagem é, segundo o especialista, um ponto fundamental, afirmando que os CISO “têm de saber criar, nutrir, desenvolver” o seu “brand”, ou seja, construir uma reputação sólida através de contribuições significativas e originais, bem como o desenvolvimento de conceitos relevantes na doutrina de cibersegurança proativa.

José Alegria sublinhou a necessidade urgente de atenção à educação e à formação em cibercriminologia. Afirmou que “não temos nenhum curso de engenharia de segurança em que haja uma cadeira que deve ser de cibercriminologia para ensinar as pessoas como é que os cibercriminosos pensam”. Esta lacuna na formação, de acordo com o especialista, pode comprometer gravemente a capacidade das organizações de enfrentar ameaças de maneira eficaz, evidenciando a importância de integrar conhecimentos sobre o comportamento criminoso nos currículos de segurança.


NOTÍCIAS RELACIONADAS

RECOMENDADO PELOS LEITORES

REVISTA DIGITAL

IT SECURITY Nº20 Outubro 2024

IT SECURITY Nº20 Outubro 2024

NEWSLETTER

Receba todas as novidades na sua caixa de correio!

O nosso website usa cookies para garantir uma melhor experiência de utilização.