A cibersegurança continua a crescer em termos de importância nas organizações. Com as novas diretivas europeias e um cenário de ciberameaças crescente, as empresas têm obrigatoriamente de investir na sua defesa. Numa mesa-redonda híbrida, Balwurk, Cipher, HPE Aruba Networking, Logicalis e Securnet partilham a sua visão sobre o presente e o futuro da cibersegurança
Numa organização, ninguém se pode esquecer da cibersegurança; esta é claramente uma necessidade de qualquer empresa que queira crescer. No entanto, é cada vez mais complexo: vários sistemas dispersos, uma maior utilização da Inteligência Artificial (IA) do lado de quem ataca e mais regulamentações que colocam as organizações e os executivos em alerta. A NIS2, por exemplo, traz vários desafios para as organizações nacionais. Com a transposição para a lei portuguesa ainda em curso, os serviços essenciais e os seus fornecedores passam a ter novas responsabilidades que, antes, não eram obrigados a ter. A NIS2 é o tema incontornável que marca o panorama da cibersegurança em 2025. De que forma é que a nova diretiva europeia vai influenciar as políticas de cibersegurança nas empresas e quais os principais desafios que as organizações enfrentam na sua implementação?
Luís Martins, VP Managing Director, Cipher: “De uma forma transversal, as organizações já estão a ser impactadas pela NIS2 e a envidar esforços para responder à diretiva. Em Portugal, o processo legislativo está quase a acabar e aquilo que vamos vendo de outros países onde o processo já está terminado é que houve uma tentativa de receber sugestões de diferentes empresas. A expectativa é de que a legislação portuguesa não seja muito diferente da europeia e já estamos a ajudar empresas a orientá-las para estas novas políticas” Miguel Barreiros, Sales & Marketing Director, Securnet: “Há uma grande alteração em relação a outras normativas porque a Administração Pública tem de participar no processo. Sentimos uma procura significativa e uma preocupação efetiva por parte das organizações. Por outro lado, há uma série de realidades que têm um impacto direto na vida das organizações e nem todas estavam sensíveis para o tema: gestão de risco e o ciber-risco da cadeia de abastecimento, por exemplo” Ricardo Rodrigues, CEO, Balwurk: “Os requisitos da NIS2 podem ser resumidos em continuidade de negócio. No entanto, a continuidade de negócio é um chapéu muito grande. Se as organizações se focarem nas normas de continuidade de negócio, como os frameworks existentes, por exemplo do Centro Nacional de Cibersegurança, vão estar alinhados com a NIS2 e, também, garantir que o seu negócio tem um plano de continuidade” Já há vários anos que se fala de inteligência artificial na cibersegurança. Qual é o estado da arte?
Artur Martins, CISO & Cybersecurity Strategy Executive Advisor, Logicalis: “É difícil de falar de estado da arte quando estamos numa fase galopante. Há uma procura e investimentos tão grandes que é difícil de definir o ponto em que estamos. Isto gera uma corrida ao ouro e há negócios a crescer com este tema; estamos naquele período onde é muito difícil focar em factos. Do lado da defesa, é muito importante toda a potencialidade dos LLM de interconectar dados de várias fontes” Paulo Rio, Network and Security Consulting, HPE Aruba Networking: “Para além da IA poder ser uma ferramenta do bem ou do mal, há uma terceira ideia que é a adoção de ferramentas de inteligência artificial de uma maneira geral pelas organizações, normalmente na cloud. Esta é mais uma vertente de ataque que as organizações têm de proteger. Há mais de 20 anos que falamos de IA, mas nos últimos anos ouvimos falar de um novo modo, que é o generativo, e que abre novas portas para as organizações” Luís Martins, Cipher: “A velocidade a que a inteligência artificial está a evoluir é estonteante, mas também temos a questão de como é que as organizações trabalham com essa tecnologia. Muitas vezes ainda não há políticas de como utilizar a tecnologia e compram soluções que já utilizam IA e não têm noção. A maioria simplesmente bloqueia a utilização porque é desconhecido e pode trazer impactos para a organização. Há mais-valias para as organizações para a utilização destas tecnologias no ambiente de trabalho” A segurança é vista como a área que diz 'não' a tudo, mas tem de habilitar o negócio. Como é que se equilibra a necessidade de segurança com a necessidade de manter a eficiência operacional das organizações?
Miguel Barreiros, Securnet: “A questão do ‘não por defeito’ tem vindo a alterar-se. O ‘não’ mantém-se, mas há uma consciencialização completamente diferente em relação há uns anos. É uma questão de bom senso e as pessoas já perceberam qual é o impacto que um incidente de segurança tem na sua vida e na continuidade de negócio, também porque as pessoas – que são parte das empresas – também começam a assistir a ciberataques na sua vida pessoal” Ricardo Rodrigues, Balwurk: “Acho que este ‘não’ está diretamente relacionado com a NIS1 e a nomeação de um responsável pela segurança que deva fazer parte da gestão ou que reporte à gestão. É um tema cultural e ainda vemos pessoas com responsabilidade de segurança dentro do IT. A perspetiva da nomeação de um responsável pela segurança é ajudar o negócio, identificar o risco, explicar esse risco e encontrar com o negócio e a gestão a melhor solução” Artur Martins, Logicalis: “A necessidade de aplicar a segurança tem a ver com gestão de risco. Do lado da segurança há uma ideia de risco e para combater esse risco é preciso aplicar alguma coisa. Primeiro aplicam-se os controlos e as pessoas que lidem com ele; falta um bocadinho de bom senso e obter o feedback do lado dos colaboradores. Falta a visão de avaliar o risco operacional e a explicação às pessoas. As medidas são impostas através de email, mas não se faz a componente de explicar de que é para o bem dos colaboradores e da organização” Paulo Rio, HPE Aruba Networking: “Os tópicos principais são a gestão do risco e a responsabilização do board. Quando ocorre esse ‘não’ pode ser por vários fatores: não quero correr o risco, o gasto para correr aquele determinado risco é demasiado oneroso para a empresa ou – e que é o caso menos interessante – é o não’ porque a tecnologia é desconhecida. Há muitos use cases em causa e há muitas tecnologias para resolver o problema” Quais são os principais desafios que as organizações enfrentam ao implementar uma abordagem de security by design e como é que podem ser superados?
Ricardo Rodrigues, Balwurk: “Na cadeia de fornecimento, um dos temas solicitados na NIS2 é aferir que a cadeia de fornecimento – incluindo no fornecimento de software – é sujeito a uma análise de segurança. É mais um desafio, mas também dentro de casa. É preciso ir o mais para a esquerda possível e fazer, por exemplo, exercícios de modelação de ameaças para mitigar o risco por definição” Paulo Rio, HPE Aruba Networking: “Olhamos para o security by design e pensamos que deve ser o mais seguro possível. A conceção de um produto deve seguir um propósito de security by design. Eu adicionava um primeiro passo que são os princípios de segurança que devem nortear todo o desenvolvimento de produtos” Miguel Barreiros, Securnet: “O mundo não começou agora e há uma série de sistemas legacy que não foram construídos com a segurança por definição, e aí as más notícias crescem exponencialmente. Claro que o que se faz daqui para a frente deve ser seguro por definição e seguir essa filosofia. Há setores que têm sistemas que se vão manter por muitos anos e deve-se olhar para aquilo que nasceu antes do security by design” Artur Martins, Logicalis: “Se houver um projeto novo, a segurança tem de aparecer. Se isto não acontecer, a segurança vai parar a data de lançamento de um produto, testar, fazer as alterações e só depois é que pode ser lançado. Depois, é preciso fazer testes ao software, assim como uma monitorização contínua do software para, se for necessário, lançar uma ‘V2’” Hoje, as organizações têm centenas ou milhares de dispositivos ligados a uma rede, o que aumenta a importância de proteger essa mesma rede. Em 2025, quais são as estratégias mais eficazes para proteger as redes corporativas?
Paulo Rio, HPE Aruba Networking: “Precisamos de uma rede inteligente e ter uma estratégia, como o zero-trust, por exemplo. Tendo estes dois ingredientes vamos conseguir mitigar muitos problemas. O gateway consegue limitar os ataques. Antes, a segurança era centrada na firewall. Nas redes, a segurança tem de estar distribuída e estar focado no dispositivo, no AP. Os colaboradores estão fora da organização e é preciso ter zero-trust network access em conjunto com secure service edge” Luís Martins, Cipher: “É preciso fazer avaliações de risco e perceber onde é que se precisa de investir. Existindo essa noção muito clara de onde é que se tem vulnerabilidades, é possível mitigá-las. Há muitas e muitas tecnologias, mas é preciso escolher a melhor tecnologia para a organização; isso consegue- se com gestão do risco, que é basilar e deve estar alinhada com a estratégia de negócio” Como é que olham para o futuro da cibersegurança e do mercado em Portugal? O que é que as organizações podem fazer para estarem um passo à frente neste campo? Ricardo Rodrigues, Balwurk: “Compreendo a questão da dimensão das organizações, mas é preciso focar na continuidade de negócio, focar no que se tem e no que é efetivamente crítico para o negócio. Isso só se faz com uma análise em conjunto com o negócio” Luís Martins, Cipher: “Muitas vezes corremos atrás. Aquilo que as organizações têm de fazer é olhar e definir os seus objetivos de negócio e alinhar isso com as estratégias de segurança. Acho que isto é absolutamente basilar, começando pela identificação do que é relevante para a organização e estarmos preparados para quando acontecer” Paulo Rio, HPE Aruba Networking: “Sugeria que as organizações escolhessem um framework e o adotassem. Depois, do ponto de vista de controlos tecnológicos, devem olhar para a recuperação e deteção, mas tudo é importante, começando pelas políticas e estratégia” Artur Martins, Logicalis: “É preciso testar e detetar. Estamos a falar de Portugal e noutro qualquer caso aconselharia a continuidade de negócio; acho que Portugal não está tão aberto a isso neste momento. É preciso testar a realidade das organizações” Miguel Barreiros, Securnet: “É muito importante a questão da partilha entre organizações e pares no setor. É preciso formar – não temos recursos suficientes em Portugal e é preciso gente. Depois, também a questão da plataformização, é importante para as organizações, visto que pode trazer benefícios. Por fim, gestão de vulnerabilidades – que podem ser organizacionais, falta de recursos humanos ou de conhecimento” |