Mauro Almeida NTT DATA Portugal
“Pior do que estar exposto ao risco é não agir para o prevenir”
Numa altura em que aumentam os ciberataques em Portugal, o Hipersuper quis perceber quais os grandes desafios para as empresas e as melhores estratégias e ferramentas para combater estas ameaças. Mauro Almeida, Head of Cyber Security da NTT Data Portugal, responde a estas questões.
Ana Rita Almeida
CTT prepara peak season com reforço da capacidade da operação
Campolide recebe a terceira loja My Auchan Saúde e Bem-Estar
Já são conhecidos os três projetos vencedores do Prémio TransforMAR
Montiqueijo renova Selo da Igualdade Salarial
Sensodyne com novidades nos seus dentífricos mais populares
Salutem lança Mini Tortitas com dois novos sabores
LIGARTE by Casa Ermelinda Freitas chega às prateleiras da Auchan para promover inclusão social
Portugal não tem falta de água, não está é a saber geri-la como deve ser
Zippy convida as famílias a explorarem as suas emoções de forma inclusiva
Lidl e Remax premeiam cinco famílias no Concurso Casas
Numa altura em que aumentam os ciberataques em Portugal, o Hipersuper quis perceber quais os grandes desafios para as empresas e as melhores estratégias e ferramentas para combater estas ameaças. Mauro Almeida, Head of Cyber Security da NTT DATA Portugal, responde a estas e a outras questões, numa conversa esclarecedora onde o responsável da consultora de negócios e tecnologia sublinha o quão é importante prevenir e como isso pode fazer toda a diferença na estratégia e sucesso de uma empresa. Mas é preciso mais: as empresas têm que ter “uma estratégia de cibersegurança e uma estratégia de ciber-resiliência” e todos têm que perceber que a segurança começa nas pessoas.
Como define o estado atual da cibersegurança em Portugal?
Em Portugal, os ataques informáticos têm seguido a tendência mundial. Em cibersegurança não existem fronteiras, e é natural que se observe uma globalização dos ataques informáticos, ganhando maior relevância aqueles que são economicamente mais atrativos para os atacantes. A cibersegurança já é um tema essencial nas agendas da gestão de topo das empresas portuguesas, que efetivamente o consideram como sendo um risco operacional. Isto é, um risco com o potencial de gerar um impacto negativo e profundo na organização, seja ele reputacional, financeiro, regulamentar ou capaz de gerar uma quebra de produção. No entanto, considero que existe ainda um nível de confiança excessivo, por parte das empresas, na sua capacidade de o gerir. Principalmente, se considerarmos a relevância que as PMEs têm no tecido empresarial português e as dificuldades que estas têm em dar resposta aos temas relacionados com a cibersegurança. As PMEs em Portugal representam mais de 90% do número de empresas e são muitas vezes utilizadas como veículo ou vetor de ataque para que os ciber criminosos, através de um ataque à supply chain, consigam atingir empresas de maior dimensão.
De acordo com o Global Cybersecurity Index 2020 da União Internacional das Telecomunicações (UIT), relatório que pretende medir o compromisso dos Estados membros da UIT no que respeita à segurança do ciberespaço, destaca-se a subida de Portugal na classificação em relação ao relatório de 2018: Portugal está agora no 14.º lugar no ranking global (42.º em 2018) e no 8.º lugar no ranking regional (Europa) (25.º em 2018). É visível o caminho notável que tem vindo a ser feito em Portugal no que diz respeito à cibersegurança, mas há aspetos que devemos ter sempre em consideração. A constante evolução tecnológica, um time-to-market cada vez mais reduzido e a pressão a que as empresas estão sujeitas para dar resposta às necessidades dos seus clientes, colaboradores e parceiros, em constante mudança, fragiliza-as e torna-as mais expostas a ciberataques que, por sua vez, se tornam também cada vez mais rentáveis para os atacantes.
É, cada vez mais, evidente que não existe uma solução formatada para um ciberataque. Estar próximo e conhecer as necessidades do cliente fazem toda diferença?
Sem dúvida. É fundamental estar próximo dos clientes e essa é uma premissa da NTT DATA, não só na cibersegurança, mas em todo o negócio que desenvolve.
No caso da cibersegurança, em particular, não há efetivamente soluções formatadas para proteger as empresas de um ciberataque. Há soluções tecnológicas, metodologias e processos que são mais, ou menos, padronizados, mas não se deve fazer uma adoção ou implementação simplista dos mesmos.
Uma empresa é constituída por pessoas, que criam uma cultura própria, por um conjunto de fornecedores, clientes e relações únicas e por um parque tecnológico particular. Por isso, quando olhamos para a estratégia de cibersegurança, e ciber resiliência, ou para os controlos de segurança que devem ser implementados numa empresa, temos de ter todos estes fatores em consideração, bem como o atual nível de maturidade da empresa para a cibersegurança.
A abordagem que defendo é a aquisição de soluções assente na perspetiva do ciber risco, tendo a avaliação de risco como pedra basilar de uma estratégia de segurança robusta e holística. Esta abordagem permite às organizações a seleção adequada das soluções a adquirir, ou implementar, e garante uma aplicação eficiente do orçamento disponível e a correta priorização do investimento com a consequente redução do ciber-risco.
Todas as empresas já foram ou vão ser confrontadas com um ataque. É fundamental uma mudança de postura para “prevenção” em vez de “reação”?
De facto, são cada vez mais as organizações que aceitam o facto de que serão, eventualmente, alvo de um ciberataque. A questão não é “se”, mas sim “quando”. Mas, pior do que estar exposto ao risco, é não agir para o prevenir. As empresas que não atuam preventivamente sobre estas ameaças têm uma probabilidade muito maior de vir a ter perdas financeiras, danos operacionais ou reputacionais.
A segurança de informação, a cibersegurança e a implementação de medidas de segurança preventivas não podem, nunca, ser vistas como um custo para as organizações, mas sim como um investimento focado na redução dos riscos que ameaçam a organização e os seus ativos. Afinal, o acesso indevido a dados confidenciais das empresas, ou a sua adulteração, pode levar à perda de propriedade intelectual, ao pagamento de multas por incumprimentos legais e a algo muito mais difícil de resolver: a perda de confiança por parte dos clientes.
Além de ser fundamental uma mudança de postura para “prevenção” em vez de “reação”, também é imperativa uma mudança de paradigma por parte das organizações, de uma postura de ciberdefesa e cibersegurança para uma postura de ciber resiliência. A ciber resiliência envolve a aceitação do facto que nenhuma solução de cibersegurança é perfeita ou capaz de proteger contra todas as ameaças possíveis. É por isso que todas as organizações precisam, como medida preventiva, de implementar duas estratégias distintas: uma estratégia de cibersegurança e uma estratégia de ciber resiliência. A estratégia de cibersegurança é desenhada para minimizar o risco de os ataques terem sucesso. Quando inevitavelmente estes ocorrem, a estratégia de ciber resiliência existe para minimizar o seu impacto.
A formação e sensibilização dos colaboradores pode ser o principal agente de mudança?
A sensibilização e formação em segurança de informação e cibersegurança é fundamental e tem de começar com a gestão de topo das organizações.
É normal lermos ou ouvirmos que as pessoas são o elo mais fraco. E também sabemos que uma corrente é tão mais forte quanto o seu elo mais fraco. Por isso, a segurança das empresas tem de começar pelas pessoas. Ou seja, a segurança das empresas começa em nós. Começa nas nossas convicções, nos nossos comportamentos e na compreensão de como esses comportamentos nos afetam a nós, às organizações das quais fazemos parte e, até, à própria sociedade.
É fundamental que consigamos mudar as convicções das pessoas, dos nossos colaboradores, para que estes mudem as suas ações e os seus comportamentos. Portanto, não basta sensibilizar as pessoas para que tenham comportamentos mais seguros, é importante também que elas compreendam e percebam o impacto que as suas ações terão dentro das organizações ou até mesmo nas suas vidas pessoais, porque eu, como cidadão, estou sujeito também a ataques de roubo de identidade ou de credenciais de acesso ou de dados bancários.
O “Zero Trust Security Service” é uma iniciativa global da NTT DATA com alguns anos que ganhou mais protagonismo por altura da pandemia. Em que consiste e como pode fazer a diferença para as empresas?
De facto, nem o conceito Zero Trust nem esta iniciativa global da NTT DATA são novos, mas naturalmente, ganharam maior relevância com a pandemia. Principalmente, pelo facto de que esta pandemia expôs um conjunto de fragilidades das organizações, seja pela ausência de uma estratégia clara de cibersegurança ou pela implementação de uma estratégia desatualizada ou que não era adequada aos riscos a que as organizações estavam expostas.
O “Zero Trust Security Service” é uma iniciativa global da NTT DATA e conta por isso com uma capacidade de resposta global. Com esta iniciativa, a NTT DATA pretende apoiar os seus clientes em três dimensões complementares: estratégica, desenho e implementação, a que se somam mais duas: comunicação e gestão da mudança. Tem como o principal objetivo dotar as organizações de um ambiente tecnológico e processual, adequado aos novos modelos de trabalho flexíveis de hoje em dia, sem restringir a localização física do trabalhador ou dispositivo utilizado. Além disso, este serviço contribuí positivamente para a redução da probabilidade de ocorrência de incidentes, dotando as organizações de um maior nível de segurança, através da adoção de soluções tecnológicas como autenticação multifatorial e monitorização de atividade, permitindo assim a deteção, resposta e recuperação rápida no caso de um ciberataque, interno ou externo.