“Um cliente mais competente acaba por perceber o valor de determinados processos de cibersegurança”

A começar a programação da tarde do Channel Meetings, subiu a palco a mesa-redonda “Como Construir uma Cultura com Foco em Segurança”, que contou com Carlos Caldeira, Cybersecurity Area Manager da Oramix, João Justo Gonçalves, Business Development Manager da Claranet, João Manso, CEO da Redshift Consulting, José Oliveira, CEO da Decunify.

Introduzindo o papel dos MSSP atualmente, e respetivos desafios e oportunidades, Carlos Caldeira refere que “os MSSP estão a evoluir de uma forma muito favorável”, mas há limitações. “Grande parte dos serviços adotados de cibersegurança são recursos internos dos clientes. A maior dificuldade é mudar esse paradigma. Ultrapassamo-lo numa abordagem de continuidade com a gestão de topo, explicar as vantagens da adoção de um serviço de MSSP para o negócio”.

Já João Justo Gonçalves considera que o mais relevante hoje é ver que os contatos com MSSP estão a ser executados, como “consequência direta da pandemia e explosão do trabalho híbrido, com a necessidade de colocar muito equipamento fora do perímetro da empresa. Depois, nos últimos anos acentuou-se uma tendência que já existia: em todos os setores verticais, os equipamentos começaram a estar ligados ao IT, como equipamentos médicos ou industriais. Finalmente, isto é mais recente, o número de ataques aumentou. Não só os responsáveis de informática ficaram assoberbados com o trabalho como viram o número a aumentar”. 

	João Justo Gonçalves, Business Development Manager da Claranet

O responsável da Claranet ressalvou, ainda, que esses ataques têm características particulares, nomeadamente na mudança na tipologia. Enquanto há uns anos o objetivo dos ataques era os resgates, agora têm “um caráter destrutivo, pretendem entrar nas organizações e dar cabo de toda a infraestrutura”. Assim, “o MSSP tem, agora, de facto, razão de ser, porque não há forma de as próprias equipas dos clientes conseguirem fazer frente a tudo”. Nesse sentido, os clientes têm, agora, mais facilidade em “aprender o valor que este modelo traz para mitigar os problemas”. Por fim, João Justo Gonçalves comenta que outro aspeto importante é que “os próprios fabricantes de tecnologia também se ajustaram economicamente e em termos modelares. Vemos que os MSSP são uma boa resposta para os clientes”.

“Acho que o paradigma de endereçar a cibersegurança mudou em vários fatores”, reitera José Oliveira, explicando que “antes falávamos para a gestão e a segurança do perímetro e hoje temos de endereçar o IoT, o OT, os utilizadores finais das ferramentas de trabalho e, depois, fazer o report para o board, que se começou a interessar em saber se o IT consegue dar confiança suficiente de que o negócio pode estar sossegado relativamente a qualquer ataque”.

José Oliveira, CEO da Decunify

Precisamente porque todas as organizações vão ser atacadas, “o executivo quer garantir que o tempo de resolução seja o mais rápido e com o menos impacto possível na organização”. Aqui, os MSSP têm contribuído em “retirar algum trabalho que as equipas de IT não têm capacidade técnica nem de recursos para endereçar” e, por outro lado, em serem consultores de IT a preparar os cenários para as organizações estarem mais resilientes.

João Manso acredita que, atualmente, um dos maiores desafios que os MSSP estão a atravessar prende-se com a crescente maturidade dos clientes. “Devido à regulamentação, começam a perceber que têm de cumprir, começam a ser mais exigentes, mas ainda têm muita imaturidade na escolha e na gestão dos serviços que contratam”.

Neste contexto, uma grande problemática é a falta de colaboração entre os Parceiros. “Aquilo que é mais desafiante é conseguir colaborar com mais eficácia. Vai haver muito mais empresas a pedir serviços de cibersegurança do que empresas de cibersegurança com capacidade de dar serviço”, e, atualmente, “ainda existem muitos MSSP que vendem bem aquilo que não têm”. 

	João Manso, CEO da Redshift Consulting

Outro problema “sistémico” que temos na nossa economia é a falta de recursos. Não só as empresas de cibersegurança em Portugal não chegam para aquilo que o mercado pede, como o “mercado também não paga bem e por isso temos de fazer um bocado de jogo”. Contudo, “se não tentarmos ser construtivos na colaboração, dificilmente vamos ter sucesso, e vamos começar a ver os clientes a querer mudar constantemente”, reflete o CEO da Redshift Consulting.

João Justo Gonçalves concorda, e acrescenta que “a nossa demografia não é favorável e temos visto ou a contratação de recursos externos, ou as próprias faculdades a fomentarem a entrada de estudantes vindos de outros países. Nesse aspeto, o nosso setor é muito internacional”. Também os fabricantes, explica o responsável da Claranet, “têm sido muito bons a lançar iniciativas para a formação de técnicos e lançá-los para o mercado. Mas acho que, no fim disto tudo, há a necessidade de trabalhar em rede. É materialmente impossível qualquer empresa estar em todo o lado e em todos os projetos. Devemos saber colaborar”.

Finalmente, João Justo Gonçalves relembrou que “a maior parte dos incidentes partem de falhas humanas”, sendo imprescindível a promoção da literacia. “Cabe-nos ajudar os clientes a trabalhar para que sejam mais competentes nesse aspeto. Um cliente mais competente acaba por perceber o valor de determinados processos de cibersegurança”.

Porque “o capital humano é muito crítico e difícil de arranjar de um momento para o outro, a complementaridade tem de ser o caminho a seguir”, considera José Oliveira, que referiu, ainda, a tendência de ter Inteligência Artificial (IA) nas ferramentas de gestão, “permitindo a identificação prematura ou o descartar de falsos positivos em muitas situações”. João Manso continuou: “a tecnologia com IA ainda não é a solução para todas as dores; já ajuda”.

Além das dificuldades em contratar profissionais de cibersegurança, acima de tudo, que dispõe das habilidades atualmente necessárias, um desafio é também não os perder. João Manso refere que “é um desafio grande sustentar os recursos humanos, contratar seniores no nosso país é cada vez mais complexo, e o desafio não é só financeiro, é cada vez mais o espírito de equipa, o contexto empresarial, manter os RH satisfeitos e confortáveis com o que fazem”, tendo a convicção de que “estão a ser pagos para fazer aquilo que gostam”. Outro desafio é que “como em Portugal os clientes pagam mal, temos cada vez mais exposição ao estrangeiro”; muitas vezes fragilizando a oferta nacional, reitera o líder da Redshift Consulting.

Carlos Caldeira, Cybersecurity Area Manager da Oramix

Já Carlos Caldeira, da Oramix, dividiu a problemática em duas abordagens. Por um lado, ter de “diminuir a fatiga dos analistas e de quem faz um trabalho mais rotineiro”. Para o efeito, é necessário haver “processos automáticos ou semiautomáticos que os possam ajudar no quotidiano”, para que possam, inclusivamente, ter outro tipo de desafios. Por outro lado, há uma “falta de pessoas propriamente dita. Existe a iniciativa em Portugal das academias, mas não é suficiente porque é muito difícil reter as pessoas, que muitas vezes estão voltadas para multinacionais, que lhes dão melhores condições”.