Serviços Críticos e Operações de Segurança: “A cibersegurança não pode ser vista como o bombeiro da empresa”
A cibersegurança ao nível dos serviços críticos e das operações de segurança teve em destaque na última mesa-redonda da IT Security Conference 2023, que contou com a participação do Banco de Portugal, da REN, da EE-ISAC e da Cybersafe.
A última mesa-redonda da IT Security Conference 2023 teve como tema “Serviços Críticos e Operações de Segurança” e contou com as visões e experiências de Pedro Rodrigues, Head of Cybersecurity and IT Compliance do Banco de Portugal, Rafael Aranha, Head of Cybersecurity da REN, Aurélio Blanquet, Secretary General EE-ISAC e Dinis Fernandes, Executive Manager da Cybersafe.
Ao nível da regulação, Rafael Aranha começou por explicar que a REN opera em Portugal sob um conjunto de regulamentos – NIS1, Regulamento de Segurança da Anacom, ENTSO-E - que garantem a “segurança do abastecimento e a segurança do mercado elétrico”. O aparecimento da diretiva NIS 2 contribuiu para complementar a responsabilidade de gestão de risco e a área da formação. “Felizmente tem aparecido alguma regulação, mas as regulações têm de casar umas com as outras”, alerta o Head of Cybersecurity, considerando, no entanto, que existe aqui um desafio na forma como as regulações se relacionam umas com as outras.
Da experiência de Dinis Fernandes, a regulação tem-se revelado como um “catalisador e um simplificador” para que os Conselhos de Administração e Direções das empresas tenham os mesmos objetivos ao nível da cibersegurança. “Quando temos o mesmo objetivo aparece o budget para fazer projetos, aparece a vontade para as várias áreas interagirem”, constata. No que à NIS 2 diz respeito, o Executive Manager olha para a diretiva como um ‘empurrão’ para que cada vez mais setores cumpram os requisitos exigidos e aumentem, assim, a sua cibersegurança.
Sobre a NIS 2, e no âmbito da sua aplicação ao nível dos serviços e infraestruturas críticas, Aurélio Blanquet destaca e reforça também a importância do alargamento da diretiva para outros setores, assim como dentro do âmbito de aplicação em cada um dos setores. “A cibersegurança passou a fazer parte da mesa do board, mas é um movimento recente, deixou de ser um tema de IT, mas não é uma coisa muito sentida pelo negócio, e vai ter de passar a ser porque a NIS 2 assim o impõe”, remata o Secretary General da EE-ISAC, a associação sem fins lucrativos estabelecida em Bruxelas que se destina à partilha de informação e análise de informação sobre segurança, com o objetivo de criar uma comunidade para troca de informações. Desta forma, a NIS 2 vem também alavancar a necessidade de aumentar a partilha e a cooperação ao nível europeu, dentro de cada setor e intra-setores, assegura Aurélio Blanquet, antevendo que a nova diretiva leve ainda as empresas a assumirem o treino e a sensibilização necessária dos seus recursos.
Proteção em serviços críticos e a cibersegurança para lá da resposta a incidentes
Ao nível da cibersegurança e da proteção de infraestruturas críticas, Pedro Rodrigues defende que é “essencial ter na raiz a identificação do que são os sistemas críticos, como é que os vamos proteger e isso implica sempre algum nível de isolamento”, esclarecendo que a exposição nos sistemas críticos não deverá ser igual aquela observada nos sistemas públicos. O Head of Cybersecurity and IT Compliance do Banco de Portugal relembra que as equipas de cibersegurança das organizações não devem perder de vista aquilo que são os ativos/sistemas críticos.
“A cibersegurança não pode ser vista como o bombeiro da empresa”, frisa Rafael Aranha, que acrescenta que a cibersegurança necessita de ser “transversal aos processos de negócios”, não podendo “ser vista como uma área vertical de uma empresa” ou como uma área de gestão de incidentes.
O papel da IA na defesa das organizações
Com toda a atenção de que tem sido alvo, a inteligência artificial pode, na perspetiva de Pedro Rodrigues, “ajudar a atingir um objetivo de otimização e de funcionamento muito mais eficiente do ponto de vista da defesa”. É necessário criar ambientes de testes, perceber as mais-valias, escolher o use case para resolver.
Porém, o Head of Cybersecurity considera que as infraestruturas críticas podem não ser o “ambiente certo” para este tipo de testes com IA, sendo necessário escolher bem o use case e ganhar confiança nas ferramentas. “Vai potenciar as nossas capacidades defensivas e vai-nos aproximar um pouco daquilo que são as capacidades ofensivas com as quais temos de lidar todos os dias”, reitera.
Tendências ao nível de operações de segurança
A trabalhar em centros de operações de segurança (SOC) desde 2007, Dinis Fernandes tem assistido a uma evolução nesta ferramenta. “Nos últimos dois anos as operações de segurança mudaram mais do que nos últimos 15. Há esta dificuldade que toda a gente conhece com a falta de analistas de segurança, falta de pessoas qualificadas”, indica o Executive Manager que, por outro lado, destaca o número crescente de alertas que os SOC recebem. Os problemas elencados têm provocado o surgimento de alguns produtos, entre eles a introdução de ferramentas XDR e MDR, que acrescentam ao SOC uma capacidade de reposta a incidentes, alargando o ambiente e atuação do mesmo.
Cooperação como ferramenta na resposta a incidentes
A encerrar a mesa-redonda, Aurélio Blanquet destaca a partilha de informação como essencial na melhoria da resposta individual a incidentes de segurança. “Além da defesa, no sentido da deteção, da resposta e da recuperação a incidentes, o next step é, pelo menos, não estarmos um passo atrás daquilo que é a comunidade que nos tenta agredir, é começarmos a pensar em cibersegurança preventiva”, defende, concluindo que cada um deve “trabalhar em prol do grupo para que depois, no retorno, cada um de nós possa trabalhar melhor para si mesmo”.
Fonte: Marta Quaresma Ferreira em www.itsecurity.pt
