Pedro Rodrigues: “A framework TIBER é um guia para testes de segurança mais completos e eficientes” (com vídeo)

Para contextualizar a framework, Pedro Rodrigues, Head of Cybersecurity and IT Compliance do Banco de Portugal, começou por explicar que antes de focar diretamente na TIBER, é fundamental compreender o que são testes de cibersegurança e a sua importância, explicando que “esta ambiguidade do que são ou não testes cria problemas, especialmente em organizações que ou não têm uma equipa de cibersegurança interna ou têm menos know-all na área”.

Esta falta de clareza, segundo o especialista, abre portas para que alguns vendedores apresentem soluções de testes, mas “não se sabe bem o que vão fazer e que objetivos vão atingir”.

A importância dos testes de cibersegurança

Pedro Rodrigues detalhou as várias abordagens disponíveis para a execução de testes, começando pelos mais básicos, como os scans de vulnerabilidades que são “processos automáticos que olham para os ativos que a organização conhece e identifica, e tentam varrer toda a infraestrutura, todo o parque para encontrar vulnerabilidades”. Apesar da importância desta prática, o Head of Cybersecurity afirmou que é uma visão limitada e que muitas organizações já evoluíram para os testes de penetração. Este tipo de testes “além desta identificação inicial, têm um âmbito definido e alguém que, com uma componente mais manual, vai tentar explorar as vulnerabilidades”.

No entanto, é na abordagem de red team que o orador vê como uma das mais completas e abrangentes, na qual “podemos incluir segurança física e até engenharia social para tentar entrar através dos colaboradores”. Sublinhou ainda a importância desta técnica por permitir testar a “resiliência da organização perante um ator de ameaça e um ataque externo”.

A estrutura da framework TIBER

Sobre a framework TIBER, Pedro Rodrigues foi claro: “Não é uma lista de controlos baseada em riscos. É uma framework que pode ser usada como um guia para a organização perceber como é que pode contratar testes de segurança, planeá-los, perceber quais são os fatores mais importantes, como deve executá-los e quais os resultados que vai obter”. Neste sentido, o Head of Cybersecurity do Banco de Portugal comparou a framework a um “mapa de mina, um guia de instruções, um passo a passo” para ajudar as empresas a enfrentar uma vasta gama de riscos e ameaças.

A versão europeia da TIBER, conhecida como TIBER EU, foi publicada em 2018, embora tenha origem numa versão nacional dos Países Baixos. “Esta é uma framework que nasce e cresce no setor financeiro e bancário, mas não fica limitada aí”, referiu o orador. O Banco de Portugal adotou esta framework e criou o FICRO, um fórum para a resiliência operacional do setor bancário e explicou que “há uma série de TIBER ao longo dos países do euro sistema”.

A importância da framework TIBER para o cumprimento das regulamentações foi reforçada com a menção ao DORA (Digital Operational Resilience Act), que entra em vigor em janeiro do próximo ano. Segundo Pedro Rodrigues, a framework TIBER será fundamental para as organizações que já a utilizam, conferindo-lhes uma “vantagem enorme sob organizações que nunca fizeram nada deste género”.

Benefícios e desafios da implementação

Além das instituições, a framework prevê a participação de outros atores, como as autoridades nacionais, em Portugal representadas pelo Banco de Portugal. Dentro das organizações, as equipas são divididas entre a white team e a blue team e explicou que “a white team é composta por um conjunto muito restrito de pessoas, as únicas que sabem o que está planeado. Já a blue team, no limite, pode ser toda a organização e são equipas que se vão deparar com testes sem saber que o são”. A red team, por sua vez, é contratada externamente e desempenha um papel essencial na execução dos testes, com o objetivo de emitir um relatório que vai “definir os cenários de ataque”.

Pedro Rodrigues destacou ainda que a realização de testes TIBER não é um processo rápido, afirmando que “não é um teste que se faça numa ou duas semanas, provavelmente vai demorar de seis meses a um ano”. Ao contrário de outros testes de segurança, o objetivo não é testar um sistema específico, mas sim explorar a organização como um todo e o contexto de risco a que pode estar sujeita em termos da própria organização, setor ou país.

Os testes TIBER trazem uma série de benefícios para as organizações, nomeadamente através de outputs muito valiosos. Em primeiro lugar, Pedro Rodrigues explicou que “com a framework que está pública, temos acesso a um guia muito completo de como realizar testes de segurança abrangentes e completos. Depois, temos o tal relatório threat intel que, com um grau de probabilidade muito elevado, vai dar informação que não se conhecia”. O orador ilustrou este ponto com exemplos concretos, desde “ambientes de testes que foram configurados na cloud há dois anos que ficaram esquecidos, fornecedores que têm dados e acessos à infraestrutura” bem como “credenciais à venda na dark web”. De acordo com o especialista “o threat intelligence report é um passo fulcral porque é o que vai potenciar os testes e o que vai dar um retrato mais abrangente da instituição”.

Por fim, Pedro Rodrigues salientou os benefícios da aplicação da framework TIBER, mencionando que “vai permitir tomar decisões mais conscientes e informadas, definir estratégias, prioridades e promover a cultura de cibersegurança na organização”. Para as empresas abrangidas por regulamentações como NIS2 e DORA, os testes TIBER oferecem “um ponto de partida fundamental para o cumprimento legislativo e regulatório”, de acordo com o Head of Cybersecurity and IT Compliance do Banco de Portugal.