Entrevista/ “A cibersegurança não é um custo; é sim, um investimento na continuidade e na (boa) reputação do negócio”

“A preocupação da sociedade é legítima: a segurança digital hoje é tão crítica quanto a segurança física”, alerta Bruno Castro, fundador e CEO da VisionWare.

Para o fundador da VisionWare, hoje “a cibersegurança deixou de ser um tema técnico para se tornar uma questão estratégica e social”. Mais , “a cibersegurança deve acompanhar, e muitas vezes, antecipar, a inovação tecnológica, garantindo que os benefícios da transformação digital não sejam anulados por riscos evitáveis”.

Bruno Castro, também o CEO desta empresa tecnológica 100% portuguesa que idealizou enquanto jovem empreendedor, e que já leva duas décadas de atividade dedicadas à segurança de informação e cibersegurança, faz uma análise pormenorizada dos desafios que a transformação digital traz às pequenas e médias empresas e de como estas podem transformar obstáculos em oportunidades. No campo das suas ambições empresariais, o fundador da VisionWare tem um objetivo claro: “queremos ser um hub de cibersegurança na Europa, com foco especial nos países lusófonos”.

Ao longo de 20 anos de atividade, a VisionWare viveu e assistiu a muitos momentos de transformação do mercado, da sociedade… Como olha para o atual contexto tecnológico e para as questões relacionadas com a cibersegurança que tanto preocupam a sociedade?

Nestes 20 anos, assistimos a uma transformação digital profunda que redefiniu setores inteiros. Hoje, vivemos num contexto em que tudo está digitalizado, do setor financeiro à saúde, das infraestruturas críticas à própria democracia. O atual contexto tecnológico é marcado pela aceleração da conectividade, pela proliferação de dados e pela ascensão da inteligência artificial. Tudo isto gera novas oportunidades, mas também traz novos desafios para a gestão de topo. Por um lado, ter de viver no ciberespaço, por outro, ter de saber gerir as ameaças cibernéticas que advêm dessa decisão. A nossa visão é que a cibersegurança deve acompanhar, e muitas vezes, antecipar, a inovação tecnológica, garantindo que os benefícios da transformação digital não sejam anulados por riscos evitáveis. A cibersegurança deixou de ser um tema técnico para se tornar uma questão estratégica e social, e é isto mesmo que a VisionWare pretende transmitir à gestão de topo. A preocupação da sociedade é legítima: a segurança digital hoje é tão crítica quanto a segurança física.

“(…) sentimos que o tecido das PMEs subestima os riscos, estando mais preocupadas com o custo a curto prazo em vez de garantir a resiliência dos seus negócios”.

Numa altura em que proteger sistemas de computadores, redes, dados e informações digitais de contra-ataque e acessos não autorizados e outros tipos de ameaças digitais é cada vez mais uma prioridade, as empresas portuguesas estão a tomar as melhores opções?

Estamos a ver progressos, ainda mais tendo em consideração, para quem está no mercado há mais de 20 anos, constatar que o tema evoluiu bastante. Hoje, qualquer gestor moderno está perfeitamente familiarizado com os riscos e ameaças do ciberespaço, contudo, ainda temos um caminho a percorrer. As grandes empresas e instituições estão mais conscientes e investem em cibersegurança, contudo, ainda sentimos que o tecido das PMEs subestima os riscos, estando mais preocupadas com o custo a curto prazo em vez de garantir a resiliência dos seus negócios. Portugal tem feito progressos significativos na última década, muito em especial, no setor público, na banca e nos serviços essenciais.

No entanto, há uma assimetria clara entre grandes organizações, que já adotaram modelos de governança de cibersegurança estruturados e completamente interiorizados na organização, e o nível de maturidade das pequenas e médias empresas, que representam a esmagadora maioria do tecido económico nacional. Muitas das PMEs continuam a encarar a cibersegurança como um custo ou um tema exclusivamente tecnológico, quando na verdade, é antes um imperativo estratégico na gestão de topo. Falta ainda colocar o tema da cibersegurança junto das Administrações.

Temos procurado ajudar neste processo com implementação de modelos de governação de segurança adequados ao tecido das PMEs, com serviços escaláveis e com forte componente de sensibilização interna, mas também focado na capacidade de responder aos normativos e obrigações legais que o ciberespaço vem obrigar. Mas ainda é necessário um contínuo esforço coletivo para tornar a cibersegurança um tema transversal, tão essencial quanto a contabilidade ou a gestão de risco financeiro. A boa notícia é que há cada vez mais soluções acessíveis e adaptadas à realidade portuguesa. O mais importante é mudar o mindset, isto é, a cibersegurança não é um custo; é sim, um investimento na continuidade e na (boa) reputação do negócio.

Como analisa o atual quadro legislativo, nacional e europeu, relativamente à cibersegurança?

O quadro legislativo europeu tem evoluído de forma consistente e ambiciosa. O RGPD foi um marco importante na proteção de dados pessoais, e a Diretiva NIS, agora na sua segunda versão – a NIS2 -, estabelece exigências mais rigorosas em termos de cibersegurança para os operadores de serviços essenciais e as entidades relevantes. Também o Cyber Resilience Act veio reforçar a segurança em produtos digitais, ao colocar a responsabilidade sobre os fabricantes.

Portugal tem acompanhado estas atualizações, embora nem sempre com a celeridade desejada na transposição e operacionalização das diretivas. Ainda assim, vemos sinais positivos, a criação do CNCS (Centro Nacional de Cibersegurança), a Estratégia Nacional de Cibersegurança e o investimento na capacitação de organismos públicos são passos importantes. O desafio agora está na harmonização prática destas normas e na sua fiscalização eficaz, especialmente junto de setores mais vulneráveis. A legislação é essencial, mas deve ser acompanhada por mecanismos de apoio técnico, programas de sensibilização e incentivos à inovação segura.

“A segurança deve começar no topo e permear toda a organização (…)”

Enquanto especialista nestas matérias, que sugestões a VisionWare daria às empresas portuguesas para cuidarem da sua cibersegurança?

Dividira em três ações imediatas – antes, durante e depois. A primeira sugestão, numa perspetiva do “antes”, é estrutural: encarar a cibersegurança como uma função de gestão de risco organizacional e não como um tema exclusivo do departamento TI. A segurança deve começar no topo e permear toda a organização, e para isso, o implementar um modelo de governance de segurança com o envolvimento da gestão seria importantíssimo, acrescido da capacidade de nos autoavaliarmos na identificação das nossas principais vulnerabilidades. Só com conhecimento de causa sobre as nossas deficiências, e com o envolvimento da gestão de topo, é que seremos capazes de evoluir o nível de maturidade interno no que respeita a cibersegurança.

A segunda medida, na ótica do durante, seria implementar um modelo de monitorização e alarmística que nos permita identificar ações erróneas, suspeitas ou maliciosas a serem realizadas dentro da nossa organização. O objetivo é detetar uma intrusão no menor espaço de tempo e se possível, antes de ações mais destrutivas por parte do cibercriminoso. É sobretudo, ganhar tempo.

Por fim, e finalmente na perspetiva do depois do incidente, será estabelecer uma estrutura de resposta a ciberataque ou ciberdesastre com vista a capacitar-nos de recuperar rapidamente e de forma sustentada após um ciberataque. Já não se trata de saber se vamos ser atacados, mas sim quando, e com que grau de impacto, e nesse sentido, temos de estar preparados para gerir esse impacto, e ter uma estratégia implementada e testada de contenção e recuperação

“(…) sempre acreditámos que a inovação em cibersegurança não é um luxo, é antes uma necessidade permanente, dada a velocidade com que o ciberespaço, e as ameaças que daí advêm, evoluem”.

Qual a “receita” para uma empresa 100% portuguesa conseguir estar duas décadas no mercado sempre a inovar?

Diria que a nossa “receita” assenta em cinco pilares: talento, especialização, experiência, solidariedade com os nossos clientes e, por fim, inovação constante. Ao combinar especialização técnica, mesmo que dispersa por várias unidades operacionais altamente qualificadas, visão estratégica, e compromisso com a excelência do que somos capazes de oferecer aos clientes, permite que a VisionWare se mantenha no mercado com uma posição muito sólida. O facto de valorizarmos a proximidade ao cliente e manter uma abordagem de inovação prática, direcionada essencialmente para resultados, vem também garantir que os nossos clientes nos percecionem com uma mais-valia na organização.

No que respeita à inovação, sempre acreditámos que a inovação em cibersegurança não é um luxo, é antes uma necessidade permanente, dada a velocidade com que o ciberespaço, e as ameaças que daí advêm, evoluem. Investimos desde cedo em I&D, em parcerias com universidades e em formação contínua das nossas equipas no sentido de ter a melhor solução ou abordagem a um determinado desafio. Não ficamos presos à zona de conforto, antes pelo contrário, optamos por ir à procura de soluções inovadoras de forma a estarmos sempre um passo à frente.

Apostámos na proximidade com os clientes, ouvindo os seus desafios e adaptando as nossas soluções à sua realidade prática. Mas o mais importante foi termos mantido uma cultura de integridade, foco e responsabilidade. Ser uma empresa 100% portuguesa deu-nos agilidade e capacidade de adaptação “à portuguesa”, mas nunca nos limitámos ao mercado nacional. Pelo contrário, desde logo, estivemos sempre atentos às tendências internacionais, antecipando ameaças e oportunidades no mercado global. A inovação, para nós, é mais do que criar tecnologia, é construir confiança com soluções ágeis, inovadoras onde a relação custo-benefício para os nossos clientes seja o facto mais preponderante.

Qual o vosso produto/serviço “estrela” para a área da cibersegurança?

Atualmente, e mais uma vez, pela sua inovação, abrangência e flexibilidade para se ajustar à realidade dos nossos clientes, diria que será o SOC (Security Operations Center). É um serviço de cibersegurança que funciona 24/7, numa analogia de “guarda-armada” muito inteligente, com alta rapidez de raciocínio, superpoderes sensoriais que nunca dorme nem se cansa. Combinamos tecnologia avançada, com capacidade de inteligência para analisar e detetar ameaças em tempo real e uma equipa altamente especializada para monitorizar, detetar e responder a incidentes de segurança de forma contínua.

A nossa plataforma de SOCaaS integra soluções de SIEM, NOC, SOAR e gestão de vulnerabilidades que são devidamente personalizadas face à realidade de cada organização. Uma das maiores virtudes do nosso serviço de SOCaaS, para além da inovação envolvida, é que todo o serviço é “tailor-made” para cada um dos nossos clientes. Não acreditamos em soluções milagrosas onde uma solução serve para todos. Todo o serviço é ajustado e parametrizado em contínuo, e de acordo com as particularidades de cada cliente. Acreditamos que o serviço de SOC é uma necessidade crítica para qualquer organização que não seja capaz, por falta de especialização ou disponibilidade, para estar “alerta” 24h/7 dias por semana, de modo que as ameaças cibernéticas possam aparecer sem pré-aviso na nossa organização. Essa é também uma das razões pela tração que esta nossa linha de serviço está a ter tanto sucesso nos últimos dois anos. Para além do serviço ser altamente inovador e disruptivo face à restante concorrência, é também o próprio mercado a pedir este tipo de serviços.

“Queremos ser um hub de cibersegurança na Europa, com foco especial nos países lusófonos”.

Qual a estratégia de desenvolvimento/expansão da VisionWare para os próximos 20 anos?

Vamos continuar a crescer com base em três eixos: inovação dos nossos serviços face aos desafios – estratégicos, normativos e técnicos – que vão continuar a aparecer neste novo mundo digital, internacionalização e parcerias estratégicas. Queremos ser um hub de cibersegurança na Europa, com foco especial nos países lusófonos. Vamos continuar a aprofundar competências em áreas emergentes como a segurança para inteligência artificial, proteção de infraestruturas críticas e ciberesiliência.

Por fim, estamos comprometidos com a antecipação: queremos ser um agente ativo no desenvolvimento de soluções, a maioria para consumo interno das nossas unidades operacionais, para poder responder a novas ameaças, desde ataques alimentados por IA, passando por fraudes baseadas em deepfake ou desinformação, até vulnerabilidades em computação quântica. Para tal, estamos a investir fortemente em I&D, parcerias estratégicas e formação contínua, no sentido de criarmos as nossas próprias soluções no intuito de capacitar ainda mais as nossas unidades operacionais, e por inerência, a qualidade e eficácia dos nossos serviços. O nosso objetivo não é apenas crescer, mas sim contribuir para um ecossistema digital mais seguro, confiável e sustentável onde a nossa oferta, experiência, especialização e inovação seja distinta no setor e em qualquer geografia do mundo.

Que outro tipo de ameaças digitais as empresas podem esperar no futuro? Quais as tendências e o que devem as empresas fazer para se prepararem?

Vamos certamente assistir ao crescimento de ameaças alimentadas por IA, como deepfakes usados para fraudes ou desinformação, engenharia social como spear phishing automatizado fazendo uso de IA, entre outras. Haverá também uma intensificação dos ataques a infraestruturas críticas, e os ciberataques serão cada vez mais formas de exercer poder em contexto de guerra híbrida. Neste sentido, a colaboração entre organizações será cada vez mais importante.

Para se prepararem, as organizações, sejam elas públicas ou privadas, devem apostar numa abordagem de ciberesiliência: detetar cedo, reagir rapidamente e recuperar com eficácia. Devem investir em autoavaliação contínua, avaliar os riscos do seu negócio face à sua maturidade, testar os seus planos de resposta e procurar parceiros que lhes garantam cobertura 24/7. As organizações que sobreviverem aos desafios digitais do futuro serão aquelas que tratarão a cibersegurança como um processo contínuo de adaptação e evolução.

“(…) o ciberespaço trava uma guerra com vários players cada vez mais especializados, destrutivos e rentáveis”.

Quais setores de atividade, ou perfil de empresas, mais suscetíveis de ataques maliciosos?

Todos os setores são vulneráveis, ainda assim alguns continuam a ser alvos prioritários devido ao valor dos dados que processam e à criticidade das suas operações. Falamos, naturalmente, da banca e serviços financeiros, da saúde, da energia, dos transportes e da administração pública. O setor da educação e o setor legal/jurídico também têm vindo a ser cada vez mais visados.

Não é exagero dizer que hoje todas as empresas são alvos potenciais, independentemente da sua dimensão ou setor. Mais uma vez, a cibersegurança deixou de ser uma questão de “se” e passou a ser uma questão de “quando”. Não nos podemos igualmente esquecer que o próprio cibercrime também se adaptou a este novo mundo digital, onde para além de todo contexto geopolítico, temos agora grupos cibercriminosos que para além de serem especializados por mercado, atuam também em prol de uma determinada bandeira política. É realmente um novo mundo onde o ciberespaço trava uma guerra com vários players cada vez mais especializados, destrutivos e rentáveis.

A transformação digital e os avanços tecnológicos mostram-nos que a digitalização traz oportunidades, mas também ciberameaças. Na sua opinião, para onde caminha este setor de atividade?

Acredito que caminhamos para um modelo onde a cibersegurança será incorporada desde a conceção de qualquer sistema ou produto (“security by design”) e muito provavelmente, assente inclusive em validações ou certificações de qualidade no que respeita a cibersegurança. No futuro, e já com regulações e normativas “in-place”, podemos assumir que a segurança digital será um pré-requisito essencial para uma inovação sustentável, para a convivência empresarial multisetor e até na própria confiança social. Vamos assistir, espero, a uma crescente colaboração e ativa cooperação entre entidades públicas, privadas e académicas com vista a um ciberespaço mais confiável para que os Estados e o mercado possam operar de forma fiável.

O papel do ser humano, no entanto, continuará a ser central: na decisão estratégica, na análise contextual, na resposta a crises, na validação do output de soluções de IA, mas também, como o elo mais fraco na cadeia de cibersegurança. Teremos de continuar a lidar com este enorme desafio. Como proteger o fator humano. E, por fim, também me parece que o setor irá finalmente evoluir de uma perceção de função meramente técnica para um formato multidisciplinar necessário, o qual envolve direito, ética, política, economia, tecnologia, no fundo, quase tudo. As ameaças, infelizmente, serão também cada vez mais complexas de detetar, duradouras e disruptivas, e por isso mesmo, acredito que este setor terá cada vez maior relevância e um papel decisivo para a construção de um futuro mais seguro.