IT Security Conference 2023

Ciber-resiliência: “O CISO não pode ser o Pedro e o lobo; tem de ser paranoico, mas contido” (com vídeo)

A segunda mesa-redonda do dia reuniu profissionais da Altice, da EDP, da Secretaria-Geral da Economia e da Dell Technologies para discutir como aumentar a ciber-resiliência das organizações

Ciber-resiliência: “O CISO não pode ser o Pedro e o lobo; tem de ser paranoico, mas contido” (com vídeo)

A segunda mesa-redonda da 2.ª edição da IT Security Conference contou com a participação de José Alegria, da Altice, Paulo Moniz, da EDP, João Camões, da Secretaria-Geral da Economia, e Bruno Mendes, da Dell Technologies. O tema, moderado por Rui Damião, diretor da IT Security, incidiu sobre a ciber-resiliência das organizações e as estratégias que impulsionam o seu aumento.

Saber recuperar em caso de desastre é crucial para qualquer organização. Bruno Mendes, Senior Sales Executive da Dell Technologies, começou por enquadrar o conceito de ciber-resiliência, caracterizando-a como “a capacidade de, independentemente do que acontecer no vosso ecossistema, seja ele qual for, terem uma capacidade real de recuperar informação em tempo útil”.

Muitas vezes, a ciber-resiliência é abordada como uma temática exclusivamente tecnológica, mas Paulo Moniz, Director de Information Security and IT Risk da EDP, sublinha que esta “deve existir de cima a baixo, desde a parte mais tecnológica, desde as operações, desde o desenvolvimento das aplicações até aos serviços de negócio”

Neste sentido, é necessário “pensar a resiliência ao nível do negócio” em dois pontos centrais. Em primeiro lugar, Paulo Moniz destaca que o momento em que “fazemos aqueles famosos business impact analysis” e “dizemos assim ‘quanto tempo é que esta aplicação pode estar em baixo de forma a não ter um prejuízo de X?’”, referindo-se ao Recovery Point Objective (RPO) e ao Recovery Time Objective (RTO). “É nesse momento que realmente devemos alertar e acho que essa consciência acaba por ser natural, que existem processos alternativos para quando essas aplicações ou esses sistemas estão em baixo”.

O segundo ponto para levar a ciber-resiliência para os processos de negócio é “o momento dos exercícios”, em que “devemos ser o mais real possível e tentar simular situações onde os processos e os serviços do negócio são realmente afetados e, depois, acaba por se pensar em soluções alternativas”. Para Paulo Moniz, estes são “momentos complicados porque normalmente ninguém quer fazer exercícios à séria”.


Cinco pilares da “doutrina ativa”

José Alegria, CISO da Altice, afirma que o CISO, “para convencer e evangelizar quem tem o dinheiro e quem manda, tem de criar um instrumento linguístico”, que designa de “doutrina”, assentando em cinco pilares. 

Primeiramente, o “pilar essencial” é a governança, que consiste em “explicar às pessoas respetivas, a todos os níveis o que é que é necessário”, esclarece José Alegria. “Sem governança não há budget sustentável, não há meios, não há direção”.

Seguem-se duas dimensões “inibidoras”: a “prevenção ativa”, que é composta por superfície externa, superfície interna, supply chain e pessoas; e a “proteção ativa”, que remete para quando não foi possível “inibir que um ataque se materializasse”, mas “pelo menos ficou contido” e “não se propagou excessivamente”.

Já a quarta dimensão “é uma que tem sido uma vergonha para a nossa profissão”: “não consigo inibir, não consigo conter, mas pelo menos detetei a tempo e horas e contrarespondi em tempo útil”. O CISO da Altice reforça que “a maior parte dos ataques que apareceram nos jornais foram detetados post factum”, sendo “fácil detetar um ataque quando a empresa está nas couves”.

Por fim, o quinto pilar é “saber recuperar a entidade e aqui temos de estar conscientes na componente de empresas tecnológicas de alguns ecossistemas nevrálgicos”, destacando a recuperação do active directory. 

“O CISO não pode ser o Pedro e o lobo”, remata José Alegria. “Ele tem que ser paranoico, mas contido, em silêncio, need to know, e tem de fundamentar a sua discussão com a comissão executiva com números, com métricas, com um sistema analítico sólido”.


Elevar o conhecimento

João Camões, Chefe da Divisão de Estruturas de Comunicações e Segurança da Secretaria-Geral da Economia, realça a necessidade de adotar uma “estratégia multi-facetada”, começando por, em primeiro lugar, realizar “uma avaliação das lacunas do conhecimento” e, “a partir desses resultados, ter programas de formação personalizados e imersivos”.

“Passar a cibersegurança para a ordem do dia” é um passo importante para elevar o conhecimento sobre a ciber-resiliência, consistindo em “não criar eventos nem formações que são atos isolados, mas ter um processo contínuo de aprendizagem”, sublinha. “Pôr na prática do dia a dia as ferramentas [e] ações de cibersegurança e ciberhigiene que permitam com que a segurança seja um tema”. Para João Camões, isto é algo que “não acontece na cultura organizacional de muita das nossas organizações, quer sejam privadas quer sejam públicas”.

Relativamente ao estado da ciber-resiliência na administração pública, João Camões revela que existem “dificuldades naturais porque temos vários procedimentos que ainda são mais ou menos arcaicos”. Ademais, a “falta de cultura organizacional e uma falta de cultura cívica” aplicada às temáticas de ciber-resiliência é um “problema” entre organizações públicas e privadas.

“Se nós não conseguirmos elevar o nível básico de conhecimento e da nossa atitude perante os problemas, nós não vamos conseguir chegar a lado nenhum”, conclui.


Recuperação e deteção de ataques

No que diz respeito à “deteção atempada” e à “contraresposta imediata”, José Alegria afirma que “estamos a lidar com um processamento de eventos em tempo real, massivos”, onde “há investimentos que são essenciais, nomeadamente investimentos em tecnologias XDR EDR em tudo o que é dispositivo numa organização, com motores de correlação adequados [e] afinados, com automação de processos, porque há um problema do cansaço dos alarmes”.

Bruno Mendes destacou a imutabilidade dos dados como um ponto-chave para a recuperação de ciberataques. “Se não tiverem dentro das organizações um sítio que está 100% isolado, 100% imutável e com uma capacidade analítica” que permita uma “recuperação real das infraestruturas”, “não têm nada em termos de ciber-resiliência”, sublinha o Senior Sales Executive da Dell.

Tags

NOTÍCIAS RELACIONADAS

RECOMENDADO PELOS LEITORES

REVISTA DIGITAL

IT INSIGHT Nº 52 Novembro 2024

IT INSIGHT Nº 52 Novembro 2024

NEWSLETTER

Receba todas as novidades na sua caixa de correio!

O nosso website usa cookies para garantir uma melhor experiência de utilização.