Entrevista

«Uma operação de segurança 100% robusta não significa que esteja imune»

Entrevista a Luís Lobo e Silva, managing partner da Focus2Comply.

Ninguém está a salvo de um ataque de cibersegurança, mesmo que tenha uma operação de segurança 100% robusta, avisa Luís Lobo e Silva, managing partner da portuguesa Focus2Comply. No entanto, o impacto pode ser reduzido com boas práticas, explica o responsável em entrevista.

Como se apresentam, hoje, ao mercado?

Apresentamo-nos exactamente como desde o primeiro dia. A Focus2Comply nasceu em Fevereiro de 2015 com uma premissa e conceito muito concreto: somos uma boutique de serviços na área de consultoria em matéria de gestão de segurança da informação, continuidade do negócio, resiliência e privacidade.  No fundo, tudo o que tenha que ver com governance, risk e compliance.

Ou seja, governance em tudo o que são boas práticas, regulação, manutenção e continuidade de sistemas de gestão. Risk, que aborda a análise e gestão de risco e que deve ser feita de forma a identificar os activos críticos ao nível da informação dentro das organizações. E, por último, compliance, que tem que ver com a conformidade e aspectos regulatórios.

Porque dizem que são uma empresa de nicho?

Porque, de facto, este é um sector no qual muitas empresas dizem que são empresas de cibersegurança, quando na verdade não o são. Assim como quando surgiu o RPGD, toda a gente passou a ser especialista nesta matéria. Temos clientes que nos confessam ter dificuldade em perceber a quem podem recorrer na gestão da segurança da informação, nomeadamente os que querem ser certificados com a ISO 27001, um standard para a gestão da segurança da informação.

Mas a indústria das TIC sempre foi um pouco assim, não?

Sim, por isso gostamos de desmistificar e de nos focar, exactamente porque pretendemos ser bons. Hoje, já somos reconhecidos neste nosso nicho, que apesar de tudo tem um mercado gigante, já que o próprio mercado está a ganhar maturidade. Já toda a gente sabe que tem de ter um contabilista, até porque a lei obriga. Se for uma sociedade anónima, deve ter ainda um revisor oficial de contas para estar em conformidade com os preceitos financeiros e contabilísticos. Toda a gente sabe que precisa de um jurista ou de um advogado para se defender. Mas na área de cibersegurança… são todos especialistas.

A vossa marca não é forte. Como se distinguem, dentro do conceito de que todos se apresentam como especialistas?

Temos essa noção. Não somos uma multinacional, não somos uma empresa grande. Estamos conscientes, tranquilos e convencidos de que a nossa marca se vai impor e ser reconhecida à medida que o mercado vai ganhando a tal notoriedade. A partir do momento em que o mercado começa a reconhecer que dentro da cibersegurança existem várias disciplinas, e que nem tudo tem que ver com tecnologia, aí, assumidamente, somos pioneiros, não só em Portugal,  como na própria Europa.

A confusão de que, em cibersegurança, nem tudo tem que ver com tecnologia ainda existe na Europa?

Sim. O facto é que existem muitas empresas de grande dimensão a tentar alavancar estas áreas, nomeadamente a componente mais da consultoria, onde é preciso encontrar recursos muito específicos e raros.  Estamos a falar de perfis que têm de ter uma forte competência ao nível dos sistemas de gestão. Se falarmos da qualidade, já é uma commodity, como a ISO 9001.  Mas, do ponto de vista da ISO 27001 e outras, já é mais complicado. Já não há tantos recursos que tenham feito parte de bolsas de auditores dos OAC [organismos de acreditação de conformidade]. Contudo, acreditamos que, a seu tempo, a maturidade do mercado nos dará o devido reconhecimento.  Os tais organismos de acreditação já nos dão esse mesmo reconhecimento.

A Focus2Comply, desde o seu primeiro ano, é a única empresa reconhecida pela BSI – British Standard Institute, um dos principais OAC a nível mundial. E é a única empresa ibérica reconhecida para consultoria em três áreas: ISO 27001, ISO 22301 e ISO 31000, que têm que ver com a gestão de risco.

Como lidam com essa especificidade e escassez em termos de recursos humanos? Têm uma bolsa de colaboradores que completa a estrutura da empresa?

Temos uma estrutura híbrida: recursos internos e um grupo de colaboradores perfeitamente identificados, perfis muito específicos. Não faz sentido estar a ajudar uma organização a implementar um sistema de gestão com pessoas que não tenham experiência em auditoria. Temos, por isso, uma abordagem híbrida, em que apostamos num modelo sustentado por colaboradores que estão na nossa esfera.

Somos ainda promotores e fundadores de um outro ecossistema, que está a dar os primeiros passos: um cluster de governance no ciberespaço, exactamente para dinamizar este tipo de temas e contribuir para que possa haver uma discussão clara, e mais amadurecida, neste campo.

Quem integra esse cluster?

Temos entidades de grande dimensão, multinacionais, entidades mais pequenas e universidades, entidades de defesa europeia. Temos uma empresa constituída por psicólogos clínicos que trabalha na componente comportamental e em cidades sustentáveis.

Tudo, porque acreditamos que este tema tem que ser abordado por uma matriz holística de pessoas, processos e tecnologias. As universidades, por um lado, querem perceber qual é o futuro nesta matéria, porque não é só a tecnologia.  Não faz sentido um engenheiro na área tecnológica – seja de programação ou de infra-estrutura do ponto de vista de redes – não ter noções de tudo aquilo que são boas práticas.

A pandemia, os confinamentos e os seus efeitos nas empresas aceleraram a ideia de que a segurança é um investimento necessário e não um custo?

A segurança começa agora a ser vista como um investimento, mas apenas agora… Em Portugal, só há dois ou três meses, por imposição legal, é que o decreto-lei n.º 65/2021 veio definir as entidades obrigadas a estarem em conformidade: administração pública e operadores críticos. Mas é opcional e voluntário para o resto das empresas e organizações.  Nesse sentido, temos feito algumas sugestões às organizações, em particular àquelas que, não sendo ainda consideradas pela lei operadores críticos, não deixam de o ser, como as de comunicação social, como ficou visto pelo recente ataque ao grupo Impresa.

E que sugestões são essas?

Dizer às organizações para começarem a adoptar boas práticas, que estão perfeitamente definidas pelo decreto-lei n.º 65/2021 e ao abrigo do quadro nacional de cibersegurança do Centro Nacional de Cibersegurança. Para aquelas entidades que não têm capacidade para aplicar estas medidas técnicas e organizativas,  façam-no por si e subcontratem, se não quiserem crescer organicamente, até porque a competência não se consegue adquirir de um dia para o outro.

Além desse quadro, podem começar por algo mais ‘light’, que é o roteiro das capacidades mínimas. O Centro Nacional de Cibersegurança tem uma plataforma colaborativa que existe desde 2015, a Panorama, que integra a informação de um ecossistema de operadores, sejam críticos ou de outros que queiram contribuir. A fase-piloto ficou com a Focus2Comply no final de 2020, com uma aplicação prática no início de 2021 para a colocação de cinco entidades. Neste momento, está em fase final de conclusão e negociação fazer a integração de mais de 120 entidades durante o próximo ano.  A colaboração entre entidades é muito importante.

Qual a importância de ataques como o do grupo Impresa?

O  impacto imediato em empresas que dependam do digital é óbvio,  nomeadamente em termos de publicidade. Por alto, o que o grupo perdeu nestes dias daria para pagar dois anos de operação de cibersegurança 100% robusta. Atenção, uma operação de segurança 100% robusta não significa que esteja imune.

E acredita ter sido importante a forma como comunicaram no sentido de alertarem para algo que pode acontecer a qualquer empresa ou entidade?

Isso tem que ver com outra questão: transparência e reputação. Cada organização tem a sua estratégia. Pessoalmente, diria que há uma vertente reputacional e uma legal. Se olharmos para o RPGD, do ponto de vista da protecção de dados pessoais,  temos uma lei em vigor na qual as organizações têm 72 horas para dar conhecimento à CNPD [Comissão Nacional de Protecção de Dados] desse comprometimento de dados pessoais e críticos.

Podem sempre alegar que não tinham tido essa informação, mas se houver uma denúncia pode ser aberta uma investigação criminal e chegar-se à conclusão de que, efectivamente, sabiam que os dados tinham sido comprometidos. Acho que neste caso concreto, a Impresa esteve bem em comunicar, dá para perceber que foi um ataque muito grande.

Sabemos de outros casos cujo resgate foi pedido e pago sem ser comunicado…

Enquanto cidadão tenho o direito a saber se os meus dados foram comprometidos, mas a entidade, por questões reputacionais, pode não querer dizer. Mas, se houver uma investigação, pode-se chegar à conclusão de que sabiam… acho que se deve tentar sempre ser o mais transparente. Hoje em dia,  temos de ter consciência de que nenhuma organização e nenhum cidadão, a partir do momento que está ligado à Internet e tem um dispositivo digital de acesso ao ciberespaço, está imune. Esta é a primeira consideração, por muitos cuidados que haja. Podemos, e devemos, reduzir probabilidades. Dito isto, acho que as organizações deviam ser mais transparentes. Não precisam dizer tudo, mas  o facto de eu ser transparente e honesto na informação que dou, também é reputação. Por isso, muitas vezes recebemos emails de phishing de entidades que não conhecemos: porque alguns dos nossos endereços de email já foram comprometidos em determinada base de dados.

Os “maus” vão estar sempre à frente dos “bons”?

Não. Diria que os maus vão estar sempre ao lado dos bons. Não estão à frente, isto tem que ver com vulnerabilidade,  ninguém está 100% imune. Não estando 100% imune, há uns que têm uma probabilidade maior e outros menor, exactamente porque têm um conjunto de práticas, não só tecnológicas, mas também de procedimentos, de políticas e engodos que criam barreiras.

Isto são conceitos antigos, só que agora falamos da Internet, que tem um potencial gigante. Tem de haver auditorias periódicas, um sistema de gestão de um conjunto de requisitos e alguma continuidade. Agora, se estão os maus à frente dos bons, não. Diria que é isto que nos faz evoluir, que nos faz andar.  Quem é que está à frente do ponto de vista da segurança física? São as portas blindadas e a tecnologia que os bancos têm ou, porventura, os maus que até já conseguiram fazer ataques de Bitcoin? Ou que continuam a assaltar um condomínio de luxo que tem tecnologia topo de gama e seguranças 24 horas? Acho que vamos andar sempre ao lado,  parte do desenvolvimento e é um desafio.