VisionWare: “Os ataques não são uma questão de ‘se’, são uma questão de ‘quando’” (com vídeo)

Filipe Custódio, Partner & Board Member da VisionWare, subiu ao palco para uma entrevista sobre a importância dos selos de maturidade digital, após a organização se ter tornado “a primeira empresa privada com o selo Ouro”, na categoria de cibersegurança.

Os selos de maturidade digital, uma medida do Plano de Ação para a Transição Digital, “consistem em três categorias onde é possível as organizações privadas ou públicas se candidatarem a um grau de maturidade”: cibersegurança, sustentabilidade e acessibilidade.

“A cibersegurança é daquelas áreas que é muito difícil uma organização dizer que tem”, afirma Filipe Custódio. “É muito difícil alguém dizer ‘eu estou ciberseguro’ ou ‘eu tenho segurança nos meus sistemas de informação’. Eu estou seguro até ao dia em que tiver um ataque com sucesso. Os ataques não são uma questão de ‘se’, são uma questão de ‘quando’”.

Requisitos exigentes e dificuldades

Um exemplo de um requisito para o nível Ouro de cibersegurança está relacionado com os ciberataques de phishing, nos quais “a segurança do meio humano é sempre a mais complicada e é aí que acontecem a maior parte dos ataques”. 

O grau superior do selo de maturidade de cibersegurança “exige que as organizações façam exercícios de phishing à própria organização”, consistindo em “enviar mails a tentar enganar os próprios funcionários e que publique esses resultados internamente de uma forma didática”.

Para o Partner & Board Member da VisionWare, este critério foi “complicadíssimo” a nível jurídico. “Só para fazermos isto precisámos de algumas reuniões complicadas com os nossos advogados por causa do direito laboral”, revela.

Filipe Custódio destaca três dificuldades na obtenção do selo Ouro: a dificuldade jurídica, considerando que “algumas medidas existem algum tipo de aconselhamento”; a aderência das pessoas devido a medidas que “exigem mudanças de comportamentos”, apesar de isto não ter sido problemático para a VisionWare por ser “uma empresa bastante jovem”; e as dificuldades técnicas, uma vez que determinadas normas técnicas são “demasiado avançadas”.

Selos conferem confiança

Filipe Custódio destaca o conceito de ‘supply chain security’, o que significa que “a cibersegurança de uma organização é também influenciada pela cibersegurança dos seus fornecedores”. 

Neste contexto, a “confiança” dos clientes nas organizações é “fundamental”. Mantê-la e impulsioná-la pode passar por encontrar “selos que possamos ter ou entidades autónomas que nos certifiquem de que fazemos tudo aquilo que é necessário para garantir a segurança dos nossos e dos dados dos nossos clientes”.

“Quando alguém contrata serviços, está também a pôr a sua cibersegurança nas mãos desse fornecedor”, refere. “A única forma de garantir que o fornecedor cumpre os mínimos requisitos de segurança é que ele tenha algum tipo de requisitos de maturidade”.

O selo “dá alguma confiança acrescida sobre a consequência do ciberataque”, destaca. Filipe Custódio menciona ainda um outro critério do selo de nível Ouro, que é a existência de “um SOC interno” e de “exercícios de resposta a incidentes de cibersegurança”. “Isto mostra que a organização está preparada e responde adequadamente a estes desafios”, reforça.

Conselhos aos pares

“A procura de níveis que certifiquem a vossa segurança interna deve ser o critério de sucesso da vossa função”, aconselha, dirigindo-se a uma plateia de profissionais de cibersegurança. “Um bom CISO é aquele que analisa o nível de segurança da sua organização, planeia e diz ‘daqui a dois anos quero a minha organização no nível superior’. O selo de maturidade digital pode ser a forma de certificar este nível”.

Filipe Custódio sublinha também que “o suporte da gestão de topo é fundamental”, cabendo “ao CISO saber comunicar isto convenientemente”, pois poderá “haver resistência à mudança”.

As organizações “devem ter como principal objetivo a mudança organizacional”, conclui. “Não tanto o selo, mas conseguir mudar a organização para lá chegar e fazê-lo de uma forma estruturada e com sentido”.

A IT Security Conference volta a 10 de outubro de 2024!