“Se estamos ligados à Internet estamos a expor-nos a ameaças”

As ameaças que colocam em xeque os negócios digitalizados são cada vez mais numerosas e o seu grau de sofisticação aumenta a um ritmo vertiginoso. As novas tendências tecnológicas, a convergência das redes e o crescendo de dispositivos conectados deixam as empresas vulneráveis a um novo leque de perigos cibernéticos que podem fazer ruir negócios (aparentemente) sólidos em poucos segundos. Consciente desta realidade, a Cisco criou aquela que considera ser a primeira comunidade de cibersegurança em Portugal, e o seu diretor de Segurança para a Península Ibérica, Eutimio Fernandéz, falou com a B!T acerca das preocupações dos gestores de TI e da necessidade de adoção de uma reformulada e mais adequada abordagem à segurança cibernética dos negócios.

Qual é o propósito desta comunidade? Porquê criá-la agora?

A Cisco está a focar-se muito em segurança. De facto, a Cisco criou uma unidade de negócio completamente dedicada à segurança, com recursos, investimentos, R&D e tudo mais. Para nós é crucial consciencializar os nossos clientes, e criar estas reuniões exclusivas com grandes clientes para falarmos abertamente sobre segurança. Nestes encontros partilhamos muito: necessidades, problemas, formas de melhorar a segurança nas organizações. Estamos a fazer o nosso melhor para colaborar e estarmos abertos para realmente melhorarmos a segurança e perceber as necessidades reais dos nossos clientes, neste caso particular, em Portugal.

Mas porquê agora? Acha que existe uma maior necessidade para falar sobre segurança? Será que as empresas não estão tão conscientes das ameaças?

Eu acho que agora existe uma maior preocupação com a segurança, porque todos os dias ouvimos notícias sobre perigos e falhas por todo o mundo. Temos de começar a pensar na segurança de uma forma diferente. Agora temos as Internet das Coisas, com diferentes dispositivos, para além do PC tradicional, ligados a redes que precisam de ser protegidas. Mobilidade, Bring Your Own Device (BYOD), Cloud, são ecossistemas que, do ponto de vista do negócio, são necessidades, tendências, evoluções, mas transportam novos perigos e obrigam a novos modelos de proteção. O negócio na Cloud não terá bons resultados se esta não for segura. Ninguém colocará informação na Cloud, através de fornecedores de serviços, se não confiarmos na sua segurança e que a informação é gerida da forma correta. A segurança é um catalisador destas novas formas de fazer negócio. Sem segurança é impossível fazer negócio agora.

Então, considerando que cada vez mais as empresas estão conscientes destas novas ameaças, destas novas formas de olhar para a segurança, acredita que as iniciativas BYOD são um perigo? Estão as empresas preparadas para isso? Conhecem os riscos?

É preciso fazer convergir as necessidades do negócio e as necessidades de segurança. É claro que as empresas lucram ao permitir a utilização de dispositivos pessoais, estão a fortalecer a produtividade dos seus funcionários. Trata-se de uma necessidade de negócio. Tudo isto está relacionado com segurança, e é a segurança que tem de vir primeiro. Acaba por ser uma fusão, um equilíbrio entre as necessidades do negócio e o desempenho, a produtividade que se quer atingir e o investimento que tem de ser feito em segurança. Hoje, não é uma questão de fazer ou não BYOD. Já acontece. É preciso saber geri-lo.

Falando especificamente sobre o mercado português, as empresas, hoje em dia, investem o suficiente em segurança? Ou estamos ainda atrás do que era desejado?

Depende do setor vertical. Por exemplo, setores como a Banca investem bastante, porque têm de reger-se por uma série de regulamentos internacionais. Em todos os outros setores, Portugal não difere muito do que acontece no resto do mundo. Uma das coisas que discutimos na reunião foi que ainda não conseguimos calcular o custo de uma quebra de segurança. Mas isto não é algo que acontece só em Portugal. No mundo em geral, as pessoas não têm ainda uma noção real do custo de uma quebra, por isso os investimentos ficam abaixo do esperado. Mas é também verdade que estamos a investir mais em segurança.

Como reagem hoje as empresas a um ataque? Atuam preventivamente ou agem somente depois do incidente?

Isso é algo que também está a mudar. Um ataque tem três estágios: antes, durante e depois. Para todas as fases precisamos de aplicar medidas de segurança. Atualmente, 70 por cento dos investimentos são feitos no “antes”. Cerca de 20 por cento no “durante” , e apenas três ou quatro por cento no “depois”. Precisamos de investir mais e proativamente no “depois”. Um CSO [diretor de segurança] pode adotar duas abordagens: ou pensa na segurança como se o negócio tivesse protegido, ou como se já tivesse sido comprometido. Existe uma série falta de visibilidade da rede, o que é um problema. Como dizemos em cibersegurança, é preciso ter superioridade informática. Quem tem mais informação sobre a rede: o gestor ou aqueles que querem infiltrar-se nela? Esta guerra é ganha por quem tiver um maior conhecimento, uma maior visibilidade sobre a rede.

Portanto, uma empresa está mais protegida quanto maior for o conhecimento que tem sobre a sua rede.

Quanto mais conhecermos, mais nos poderemos proteger da forma certa.

Neste primeiro encontro da Comunidade de Cibersegurança da Cisco em Portugal, quais foram as principais preocupações discutidas pelos gestores?

Falámos de muitas coisas. Principalmente, existem preocupações sobre se os investimentos em segurança são os corretos. Onde é preciso investir mais? Onde temos que nos focar mais? Falámos também do utilizador, que acaba por ser o elo mais fraco da cadeia. Falámos de BYOD e como gerir estas iniciativas. Temos aqui CIO de várias empresas, como telcos, Banca, Media. Para nós [Cisco], é uma forma de percebermos quais as principais dificuldades do mercado.

Se tivesse que destacar um erro crítico que as empresas estão a cometer, ao nível de cibersegurança, qual seria?

Talvez a falta de formação do utilizador. O último relatório que fizemos sobre o comportamento dos utilizadores mostrou que 49 por cento acreditam que a empresa é responsável pela segurança dos seus próprios dados. Os utilizadores não se consideram parte do processo de segurança da informação que gerem. Isto demonstra que não existe uma aposta na formação dos utilizadores.

De que forma evoluirá o mercado da cibersegurança? O que é que vai mudar nos próximos anos?

Muito mudará, com a convergência de múltiplas redes. Estamos a falar da Internet of Everything [Internet de Tudo], de ligar dispositivos e pessoas. Até 2020 teremos muitas mudanças, com redes IP, redes mobile e redes industriais. No caso das industriais, são redes que não foram concebidas a pensar na segurança numa rede IP, e os dispositivos a ela ligados foram criados para comunicarem machine-to-machine num ambiente fechado, não numa rede aberta à Internet. Assim, vamos precisar de um maior número de profissionais. Hoje já temos uma falta de cerca de um milhões de especialistas em segurança. Imagine em 2020, com 50 mil milhões de dispositivos interconectados, de várias redes. O mercado de cibersegurança precisa de crescer.

E em relativamente às Cidades Inteligentes? Será que convergir redes eléctricas, sistemas de sinalização rodoviária, todo o género de redes num só organismo nos deixará mais expostos a um outro nível de ameaças?

Se estamos ligados, através de algo com um endereço IP, à Internet estamos a expor-nos a ameaças.

Mas serão viáveis estas smart cities? Poderão ser bem-sucedidas?

Sim. Barcelona é um exemplo de uma smart city, onde as pessoas podem verificar no smartphone onde está um parque de estacionamento num espaço de cem metros. As smart cities são uma evolução. Teremos cidades mais limpas, mais eficientes e mais fáceis de gerir.

Mas com as smart cities surge uma série de novos perigos, e mais sérios talvez, pondo em risco o fornecimento energético, sistemas de carros conectados…

Sim. Temos de considerar que tudo com um endereço de IP ligado à Internet é corruptível. Estamos a falar da Internet de Tudo. A nossa vida será mais fácil com todas estas coisas mas é verdade que a fusão destes três tipos de rede obrigará ao reforço da segurança. Será a “Segurança de Tudo”.