Ciber-resiliência: “O CISO não pode ser o Pedro e o lobo; tem de ser paranoico, mas contido” (com vídeo)

A segunda mesa-redonda da 2.ª edição da IT Security Conference contou com a participação de José Alegria, da Altice, Paulo Moniz, da EDP, João Camões, da Secretaria-Geral da Economia, e Bruno Mendes, da Dell Technologies. O tema, moderado por Rui Damião, diretor da IT Security, incidiu sobre a ciber-resiliência das organizações e as estratégias que impulsionam o seu aumento.

Saber recuperar em caso de desastre é crucial para qualquer organização. Bruno Mendes, Senior Sales Executive da Dell Technologies, começou por enquadrar o conceito de ciber-resiliência, caracterizando-a como “a capacidade de, independentemente do que acontecer no vosso ecossistema, seja ele qual for, terem uma capacidade real de recuperar informação em tempo útil”.

Muitas vezes, a ciber-resiliência é abordada como uma temática exclusivamente tecnológica, mas Paulo Moniz, Director de Information Security and IT Risk da EDP, sublinha que esta “deve existir de cima a baixo, desde a parte mais tecnológica, desde as operações, desde o desenvolvimento das aplicações até aos serviços de negócio”. 

Neste sentido, é necessário “pensar a resiliência ao nível do negócio” em dois pontos centrais. Em primeiro lugar, Paulo Moniz destaca que o momento em que “fazemos aqueles famosos business impact analysis” e “dizemos assim ‘quanto tempo é que esta aplicação pode estar em baixo de forma a não ter um prejuízo de X?’”, referindo-se ao Recovery Point Objective (RPO) e ao Recovery Time Objective (RTO). “É nesse momento que realmente devemos alertar e acho que essa consciência acaba por ser natural, que existem processos alternativos para quando essas aplicações ou esses sistemas estão em baixo”.

O segundo ponto para levar a ciber-resiliência para os processos de negócio é “o momento dos exercícios”, em que “devemos ser o mais real possível e tentar simular situações onde os processos e os serviços do negócio são realmente afetados e, depois, acaba por se pensar em soluções alternativas”. Para Paulo Moniz, estes são “momentos complicados porque normalmente ninguém quer fazer exercícios à séria”.

Cinco pilares da “doutrina ativa”

José Alegria, CISO da Altice, afirma que o CISO, “para convencer e evangelizar quem tem o dinheiro e quem manda, tem de criar um instrumento linguístico”, que designa de “doutrina”, assentando em cinco pilares. 

Primeiramente, o “pilar essencial” é a governança, que consiste em “explicar às pessoas respetivas, a todos os níveis o que é que é necessário”, esclarece José Alegria. “Sem governança não há budget sustentável, não há meios, não há direção”.

Seguem-se duas dimensões “inibidoras”: a “prevenção ativa”, que é composta por superfície externa, superfície interna, supply chain e pessoas; e a “proteção ativa”, que remete para quando não foi possível “inibir que um ataque se materializasse”, mas “pelo menos ficou contido” e “não se propagou excessivamente”.

Já a quarta dimensão “é uma que tem sido uma vergonha para a nossa profissão”: “não consigo inibir, não consigo conter, mas pelo menos detetei a tempo e horas e contrarespondi em tempo útil”. O CISO da Altice reforça que “a maior parte dos ataques que apareceram nos jornais foram detetados post factum”, sendo “fácil detetar um ataque quando a empresa está nas couves”.

Por fim, o quinto pilar é “saber recuperar a entidade e aqui temos de estar conscientes na componente de empresas tecnológicas de alguns ecossistemas nevrálgicos”, destacando a recuperação do active directory. 

“O CISO não pode ser o Pedro e o lobo”, remata José Alegria. “Ele tem que ser paranoico, mas contido, em silêncio, need to know, e tem de fundamentar a sua discussão com a comissão executiva com números, com métricas, com um sistema analítico sólido”.

Elevar o conhecimento

João Camões, Chefe da Divisão de Estruturas de Comunicações e Segurança da Secretaria-Geral da Economia, realça a necessidade de adotar uma “estratégia multi-facetada”, começando por, em primeiro lugar, realizar “uma avaliação das lacunas do conhecimento” e, “a partir desses resultados, ter programas de formação personalizados e imersivos”.

“Passar a cibersegurança para a ordem do dia” é um passo importante para elevar o conhecimento sobre a ciber-resiliência, consistindo em “não criar eventos nem formações que são atos isolados, mas ter um processo contínuo de aprendizagem”, sublinha. “Pôr na prática do dia a dia as ferramentas [e] ações de cibersegurança e ciberhigiene que permitam com que a segurança seja um tema”. Para João Camões, isto é algo que “não acontece na cultura organizacional de muita das nossas organizações, quer sejam privadas quer sejam públicas”.

Relativamente ao estado da ciber-resiliência na administração pública, João Camões revela que existem “dificuldades naturais porque temos vários procedimentos que ainda são mais ou menos arcaicos”. Ademais, a “falta de cultura organizacional e uma falta de cultura cívica” aplicada às temáticas de ciber-resiliência é um “problema” entre organizações públicas e privadas.

“Se nós não conseguirmos elevar o nível básico de conhecimento e da nossa atitude perante os problemas, nós não vamos conseguir chegar a lado nenhum”, conclui.

Recuperação e deteção de ataques

No que diz respeito à “deteção atempada” e à “contraresposta imediata”, José Alegria afirma que “estamos a lidar com um processamento de eventos em tempo real, massivos”, onde “há investimentos que são essenciais, nomeadamente investimentos em tecnologias XDR EDR em tudo o que é dispositivo numa organização, com motores de correlação adequados [e] afinados, com automação de processos, porque há um problema do cansaço dos alarmes”.

Bruno Mendes destacou a imutabilidade dos dados como um ponto-chave para a recuperação de ciberataques. “Se não tiverem dentro das organizações um sítio que está 100% isolado, 100% imutável e com uma capacidade analítica” que permita uma “recuperação real das infraestruturas”, “não têm nada em termos de ciber-resiliência”, sublinha o Senior Sales Executive da Dell.