As recentes fugas de dados colocaram definitivamente a cibersegurança na agenda de todas as organizações. No entanto, muitas empresas ainda veem a cibersegurança como um custo e não como um investimento. Claranet, DRC, Multicert, Noesis, Warpcom e WhiteHat partilham a sua visão sobre o mercado de cibersegurança português, os seus desafios e as suas oportunidades
De há uns anos a esta parte que o mercado de cibersegurança em todo o mundo está a crescer. Portugal não é exceção; com as empresas a passarem pelos seus processos de transformação digital, torna-se premente investir em cibersegurança. Nenhuma empresa é demasiado pequena para ser atacada. Alterar mentalidades é, assim, essencial. A evangelização já acontece há vários anos, mas a mensagem ainda não chegou a todos os decisores das pequenas empresas. Uma falha de segurança numa pequena empresa pode, em determinados casos, colocar organizações maiores em risco. Crescimento no mercado portuguêsOs dados mais recentes da IDC sobre o mercado português de cibersegurança, referentes ao ano de 2018, mostram que o mercado cresceu 3,6% neste período. No total, o mercado português atingiu os 135,97 milhões de euros. A IDC estima, também, que Portugal tenha um crescimento positivo de 6,71% entre 2018 e 2022 neste mercado. Em comparação, a mesma entidade espera que o mercado de cibersegurança na região do oeste da Europa tenha um crescimento ligeiramente superior – 7,37%. Bruno Rodrigues, Cybersecurity Specialist da Noesis, defende que, apesar de o que é o mercado de cibersegurança ainda não estar totalmente definido, a procura tem, de facto, vindo a crescer. “As empresas estão mais sensíveis, já disponibilizam dinheiro para isso”, indica. “O que se tem vindo a assistir é que a cibersegurança informática fazia parte dos custos e dizer aos gestores que é mais um custo é uma chatice; ninguém gosta”. Na opinião de Bruno Rodrigues, o mercado português vai assistir a “uma integração da cibersegurança nos processos da empresa e a fazer parte do negócio”. Deste modo, a procura vai subir e o mercado, em termos de valor, irá aumentar. Nuno Mendes, CEO da WhiteHat, concorda que tem existido um crescimento no mercado português. Esse crescimento, diz, estará relacionado com uma “maior perceção para o risco, fruto da comunicação que tem existido nos media e a emergente quantidade de fuga de informações de empresas de todas as dimensões”. Nuno Mendes acredita que estas situações “são a prova que as pequenas e as médias empresas também têm que se preocupar de igual forma com a segurança da sua informação”. Por outro lado, o CEO da WhiteHat salienta que ainda há uma mentalidade de a cibersegurança estar no segundo plano da estratégia de muitas organizações. “Se um seguro não for obrigatório passa a ser uma opção e é um investimento a evitar; raramente é considerado um investimento. É necessário existir mais formação e sensibilização nesta área junto das empresas”. Na perspetiva da Warpcom, representada na mesa redonda por Manfred Ferreira, Technical Architect Consulting, o mercado assistiu a “um crescimento muito acentuado” em termos de requisitos de cibersegurança. A empresa detetou que apesar de existirem solicitações proativas, grande parte foram reativas, tanto de setor público como setor privado. “Detetamos um forte crescimento e solicitações nesta área, não só de soluções, mas também de consultoria e identificação, análise e deteção” de falhas dentro das infraestruturas das várias organizações. Com as várias fugas de informação que têm acontecido nos últimos tempos, Manfred Ferreira estima que o crescimento possa ser superior ao que é estimado pela IDC. David Marques, Information Security Manager da DRC, salienta que existe não só um crescimento efetivo do mercado, como também uma maior procura por este tipo de soluções. No entanto, essa procura “já não vem só do departamento de IT ou de segurança”. A procura por soluções de cibersegurança chegava essencialmente pelo departamento de IT que tinha determinadas preocupações, “e agora nota-se que a procura vem por outros canais, pela gestão de topo, que já há muitas vezes o driver para a procura de soluções” de segurança. David Marques refere que muitas organizações têm uma preocupação com este tipo de serviços ou soluções, mas que nem sempre existe “uma estratégia que consiga levar a que essa preocupação seja satisfeita, fazendo com que os investimentos não sejam estruturados”. António Ribeiro, Head of Cybersecurity da Claranet, explica que, na sua perceção, há um crescimento no mercado português superior ao que é indicado pela IDC. Se antes as organizações olhavam para estas questões exclusivamente como um custo, atualmente “já é um enabler, a segurança já faz parte do negócio em si”. “Não adianta ter uma boa solução tecnológica”, alerta António Ribeiro, que diz que “é preciso ter as pessoas certas”. Simultaneamente, é preciso fazer uma alteração do produto para o serviço, onde as empresas deixam de vender apenas um produto, como uma firewall, para passar a vender serviços que de facto tragam mais valor para o cliente. Esta alteração no modelo de venda é essencial tendo em conta que “não há recursos”. Muitos dos clientes viram-se, assim, para os serviços geridos para colmatar a falta de talento nas empresas. Em relação ao estudo da IDC, Luís Martins, Head of Cybersecurity da Multicert, refere que há uma diferença entre software, hardware e serviços e os números mostram que os serviços têm um crescimento muito menor, mesmo tendo em conta que esta é a evolução natural no setor. O Head of Cybersecurity da Multicert refere que haverá, certamente, um caminho ao passar de produtos para serviços, mas que parece que essa alteração ainda não está a acontecer no mercado português. Convencer quem decideAs organizações mudaram. As empresas mais avançadas que entendem o papel da cibersegurança já não delegam no responsável de IT ou no CISO – quando existe – a função de escolher a melhor solução. Em vários casos, é o CFO ou mesmo o CEO a dar a cara e a estar presente no processo de seleção da solução de cibersegurança adequada para a organização. Se as grandes empresas têm interlocutores especializados nas áreas de segurança, a larga maioria das PME não. Luís Martins (Multicert), indica que “faltando recursos” nas pequenas empresas, muitas vezes é o responsável de IT que é o ponto de contacto para questões sobre a segurança da organização. “Do ponto de vista da abordagem, tem de se mostrar com factos que um determinado serviço é mais eficaz do que comprar uma solução ou produto que não lhe vai resolver o problema. Tem de ser seguramente essa a lógica de conversa com as PME”. As pequenas e médias empresas portuguesas continuam a não ter uma abordagem de preocupação e há organizações que, mesmo tendo conhecimento das notícias de fugas de dados, acreditam que não são um alvo. António Ribeiro, da Claranet, refere que a maneira mais fácil de convencer uma PME a adotar serviços de segurança é depois de a organização sofrer um ataque. Esta mentalidade deve-se muito ao conhecimento – muitas vezes limitado – que as empresas têm sobre estes temas e por não perceberem a necessidade que existe em proteger a sua infraestrutura, as suas operações e o seu próprio negócio. “A principal questão numa PME está relacionada, mais uma vez, com recursos; na melhor das hipóteses, têm um IT manager, mas não há pessoas dedicadas que consigam ver o puzzle todo”, refere. Tendo em conta esta falta de recursos, as empresas devem contratar serviços externos para gerir a segurança das suas infraestruturas para que se possam concentrar no seu negócio e naquilo que fazem bem. “Hoje em dia não é difícil falar com os decisores sobre segurança; há preocupações muito específicas nesse sentido”, indica David Marques (DRC), que acrescenta, no entanto, que existe uma “dificuldade enorme em priorizar os investimentos. O orçamento é limitado e muitas vezes é culpa nossa, por causa das soluções e dos serviços, com conceitos novos e diferentes. É muito difícil para o decisor saber como vai priorizar o investimento; ele tem um budget, mas não sabe ao certo onde e como o vai gastar”. David Marques refere que é importante, também, que as várias empresas que trabalham com cibersegurança descompliquem os conceitos o máximo possível para que quem está do lado da decisão os possa perceber de uma forma fácil. “A nossa abordagem não é vender cibersegurança; a nossa abordagem é ir a clientes e perceber as suas dores, as suas necessidades e o nível de maturidade” para poder ajudar o cliente, explica Manfred Ferreira (Warpcom). Também é preciso ter em conta que os clientes “não vivem as mesmas preocupações que nós”, mas as empresas que vendem serviços ou produtos de cibersegurança têm que “calçar os sapatos” dos clientes e perceber quais são as suas necessidades e ajudar no investimento das soluções ou serviços que devem investir. Nuno Mendes, da WhiteHat, relembra que a grande maioria do tecido empresarial português são as PME e que é necessário sensibilizar para a matéria relacionada com a cibersegurança. “É preciso passar a mensagem de cibersegurança desde o topo – onde já há um domínio completo sobre o tema –, até ao elemento que está em contacto com o cliente. Esse é um desafio grande”. O CEO da WhiteHat indica que tudo se resume à sensibilização das empresas e dos decisores dentro das PME, a fazer uma análise de risco para que as organizações consigam perceber onde estão expostas, onde devem fazer os seus primeiros investimentos e como devem abordar o tema da melhor forma possível. Bruno Rodrigues, da Noesis, explica que não deveria ser necessário convencer uma PME de que é preciso investir em cibersegurança. Sobre a sensibilização, Bruno Rodrigues defende que “não é necessário mais awareness”. “As empresas não têm que ser especialistas em cibersegurança, a temática é demasiado vasta. Infelizmente as ameaças evoluem demasiado rápido, mas não tem de existir mais awareness; tem de existir bom senso”, indica. Por outro lado, a cibersegurança não é um “tema sexy” e, possivelmente, é necessário que a indústria transforme o tema mais atrativo para que as várias organizações invistam mais nestes temas dentro do seu negócio. Inteligência artificial apresenta-se ao serviçoÉ sabido que a Inteligência Artificial (IA) está cada vez mais presente nas operações diárias das organizações e na vida das pessoas de uma forma geral. Na cibersegurança não é exceção. É a IA que permite analisar uma grande quantidade de dados de ataques e perceber padrões, identificar os principais alvos de ataques e auxiliar na defesa dos sistemas. Simultaneamente, a inteligência artificial pode – e é – utilizada do ‘lado de lá’. Não é só quem defende que tem IA ao seu dispor; também o lado negro utiliza inteligência artificial para um sem número de possibilidades num ataque a uma ou mais organizações. Luís Martins (Multicert) acredita que a inteligência artificial “é o caminho inevitável” para a cibersegurança. No entanto, relembra, a diferença entre quem defende e quem ataca é que quem defende “está sempre um bocadinho atrás”. “Qualquer atacante mais empenhado utiliza técnicas de data analysis para chegar a informação que está exposta. É possível fazer scripts fáceis para chegar a conclusões rápidas” para ter uma “base de dados interessante” para fazer um ataque a uma organização. Quem defende, por outro lado, ainda não está a utilizar todo o potencial para se proteger da melhor forma e ainda há um “caminho de estruturação” a percorrer para atingir todo esse potencial. Os dispositivos IoT alargaram a base de possíveis portas de entrada para todas as empresas. Assim, é necessário um modelo de automação de análise de incidentes para que seja possível analisar a grande quantidade de dados gerados. António Ribeiro (Claranet) diz que a inteligência artificial pode ajudar muito numa primeira linha de ataques, onde pode não existir sequer intervenção humana e ser endereçado de forma totalmente automática. O próximo passo serão os modelos preditivos onde se pode deixar de falar de “zero days” e passar a falar “negative days”. Estes modelos, aliados à inteligência artificial, vão perceber determinados padrões que levam a um ataque cibernético. O Cybersecurity Specialist da Noesis refere que a IA “é um tema sexy” onde “toda a gente quer saber, mas quase ninguém vai implementar”. A luta entre defensores e atacantes neste campo é “extremamente desigual”. Enquanto quem defende tem uma tarefa difícil para conseguir datasets para machine learning, os hackers, alguns que têm várias redes infetadas, têm acesso a uma quantidade quase infindável de dados. Em vez de inteligência artificial, a Noesis prefere o termo “inteligência assistida” que analisa as informações e entregam à pessoa o que é mais relevante para que o colaborador possa proteger da melhor forma a organização que está a sofrer um ataque, distribuindo o seu esforço consoante a gravidade dos ataques. O Technical Architect Consulting da Warpcom revela que a transformação digital faz com que exista cada vez mais informação que nem sempre é válida, e onde o tempo de validade dessa informação é cada vez mais reduzido. “A inteligência artificial ainda está bastante atrasada e o boom vai dar-se agora com o 5G, onde vamos ter acessos a dados massivos, conseguir extraí- los e analisá-los em tempo real para tomar ações”, refere Manfred Ferreira, acrescentando que “aí sim, a inteligência artificial vai ser mais uma componente, não vai ser o único”. O Information Security Manager da DRC acredita que o mercado “ainda está numa fase muito embrionária de exploração da potencialidade” do que a IA pode fazer. No entanto, alerta, “se a maioria das organizações não têm o básico, quanto mais estarmos a falar de machine learning e inteligência artificial”. “Há áreas onde faz todo o sentido a automação, a orquestração e a questão da mudança de força de trabalho. Por causa de tudo aquilo que estas novas capacidades trazem para as organizações, é bem provável que aquilo que são os SOC 24/7 se transformem”, onde a inteligência artificial terá, certamente, um papel importante. “Agora, até chegarmos lá, há um trabalho humano muito, muito grande para poder potenciar estas capacidades de forma efetiva”, diz. O CEO da WhiteHat afirma que, em termos práticos, o que se assiste em Portugal são ações mais simples que não envolvem inteligência artificial, mas que deixam um impacto severo em cada organização. “Existe, contudo, outros vetores de ameaça que tiram proveito de ataques massivos que não carecem de um profiling e reconhecimento no sentido de perceber quais são as vulnerabilidades”, indica Nuno Mendes. Por norma, refere, os ataques em Portugal aproveitam vulnerabilidades já conhecidas e ameaças zero days e é necessário que existam sistemas que consigam identificar esse tipo de ameaças. |