O que é o ciber-risco?
O ciber-risco é algo que temos de saber que existe e como gerir. Muitas empresas, neste momento, criaram o seu perfil de risco e associam isso ao funcionamento da framework da sua empresa. As pessoas devem fazer o mesmo. Muitos desses parâmetros são de senso comum, outros devem-nos ser ensinados. A minha perceção pessoal é que a maioria das pessoas olham para a internet como uma diversão e não tem a mínima noção dos perigos a que se expõe.
Como se garante a segurança dos softwares?
É impossível ter uma tecnologia efetiva de segurança sem depender de “machine learning”, automação e Inteligência Artificial. Se olharmos para um antivírus, ele corre em segundo plano e está continuamente a analisar o equipamento. Longe vão os dias em que isto era suficiente para resolver a maioria dos problemas de segurança. Para os ataques sofisticados de hoje, necessitamos de velocidade e máquinas. Quando os nossos adversários podem escalar os seus recursos de maneira simples, exponencial e económica, adicionando cada vez mais poder computacional, a única forma é responder alavancando a automação, inteligência artificial e estar constantemente a ter mais dados para aprender a detetar, prevenir e responder aos ataques.
Os telemóveis são equipados com este tipo de segurança?
Os telemóveis passaram a ser a forma mais generalizada como acedemos à Internet. Temos de reconhecer que os dados mais confidenciais estão em risco, em grande parte porque são acedidos pelos telemóveis. As empresas devem reconhecer a magnitude e o potencial impacto desse problema e tomar medidas para reforçar a sua defesa cibernética. Apesar disto, as arquiteturas dos equipamentos móveis têm mecanismos fortes de segurança. Os ecossistemas dos equipamentos mais populares – Apple iPhone e Google Android – são seguros, com fortes abordagens de segurança e isolamento, baseadas em hardware. Se tivermos os devidos cuidados de bloquear certas ações e não aceitar que as aplicações acedam a câmara, micro, localização sem ser mesmo necessário, torna-se difícil explorar o código para comprometer um dispositivo móvel.
As empresas portuguesas preocupam-se com a proteção cibernética?
Já começa a existir a preocupação e legislação que faz com que as empresas já se preocupem com a exposição dos seus dados e dos seus clientes. Desde maio de 2018, os 28 Estados- membros passaram a implementar o novo regulamento geral de proteção de dados (RGPD). Estas medidas passaram a responsabilizar e implementar penalizações severas para as empresas que entrassem em incumprimento da proteção dos dados pessoais. Este tipo de legislação serviu para as empresas perceberem como tratavam os dados pessoais, como eram guardados e expostos. As multas pesadas foram um primeiro passo no sentido certo para a consciencialização.
Considera que o ciber-risco é avaliado corretamente?
O maior risco é mesmo não fazer uma análise de risco. As empresas têm de ter um plano de ciber-risco implementado e deve ser algo que está em constante mutação, a crescer e a evoluir com o negócio. As empresas estão a perceber que a segurança já não pode ser um centro de custos vertical mas sim horizontal e transversal às instituições. No caso do mercado nacional, ainda estamos numa fase precoce de definição e execução de planos de risco, mas notam-se melhorias significativas.
Como contribui a Palo Alto Networks para esse comportamento?
A Palo Alto Networks tem imprimido, desde o início, uma disrupção natural no mercado da segurança mundial. Tem-no feito na ótica de ajudar os clientes a resolver os problemas mais complexos de uma forma simples e fácil de implementar. Temos a perfeita noção que, para os clientes conseguirem andar depressa e manterem uma vantagem competitiva neste mercado digital, têm de conseguir gerir o risco e, como tal, têm de manter as coisas o mais simples possível. Fazemos continuamente sessões com os clientes de como implementar arquiteturas de “Zero Trust” para conseguirem segmentar as suas infraestruturas, protegendo realmente o que é importante para os seus negócios. Estas palestras, apesar de serem agnósticas à tecnologia, ajudam a criar um mindset correto para existir uma postura de “security by design”, que vai trazer sempre dividendos para quem os implementa.
Que proteções consegue a Palo Alto Networks oferecer?
A segurança deve ser divida em duas áreas de proteção, e cada uma destas depois tem uma sequência de ações e reações que devem ser tomadas. Primeiro, temos que conseguir proteger-nos contra o malware conhecido e desconhecido. No caso do conhecido, existem uma série de motores e módulos que protegem contra aquilo que conhecemos e devem ser implementados de uma forma preventiva para colmatar essa vertente. No caso do desconhecido, é a área onde é mais complexo, pois já se começa a entrar em áreas de análise comportamental, heurística e analítica. Aqui temos o objetivo primordial de detetar o problema, pois não saberemos prevenir algo que ainda não conseguimos detetar. Finalmente, entramos na fase de remediação, limpeza e criação automática de regras e proteções para transformar aquilo que até então era desconhecido, em conhecido. A Palo Alto Networks tem soluções focadas em todas estas áreas de forma a ajudar os nossos clientes a resolverem estas três problemáticas.
Existem setores onde o risco é maior?
Existem de facto setores de infraestruturas críticas ou vitais, das quais o nosso quotidiano depende. Imagine-se o caos e potenciais estragos que seriam desencadeados por ataques a redes de energia, controlo de tráfego aéreo, assistência médica ou redes de comunicações como o 5G. Cibersegurança não é fácil, e se algo malicioso entrar nestes ambientes, devemos ser capazes de detetá-lo rapidamente. Não apenas precisamos de ter proteção, mas também precisamos de detetar e remediar rapidamente. Sou apologista de que, quando falamos de governos e infraestruturas críticas, devemos desacelerar, para garantir que tenhamos pensado bastante em questões importantes, como desenhar segurança para dentro de ambientes de inovação, como o IoT (Internet of Things) e o 5G. A maior parte das instituições e governos não fazem exercícios de larga escala de cibersegurança para se prepararem para situações e cenários de ataques.
Que análise faz da preparação das empresas portuguesas?
Já trabalho neste mercado há 15 anos e tenho de facto visto um salto quantitativo das empresas portuguesas e de como olham para segurança, deixando de ser o parente pobre dos budgets de IT. Os líderes empresariais nacionais e internacionais estão sob pressão para explicar como será o futuro estado digital das suas organizações e como os seus modelos de negócios evoluirão. Todas empresas estão a transformar-se em empresas de dados, que já não estão num local central, por isso precisamos de ter segurança em todos os lugares, automaticamente, e ter garantias de que terceiros não estejam a causar danos nas suas organizações. Portugal está a abraçar esse desafio e a mostrar de facto que acompanhamos o que de melhor se faz na Europa.