Entrevista/ “A inteligência artificial será cada vez mais utilizada tanto na defesa como nos ataques cibernéticos”
Bruno Morisson, Partner & Offensive Security Services Director da Devoteam Cyber Trust
“As empresas devem incorporar as medidas de cibersegurança como um fator de custo produtivo, sem o qual não podem operar no mercado, qualquer que seja o setor ou a indústria”, defende Bruno Morisson, Partner & Offensive Security Services Director da Devoteam Cyber Trust.
O Conselho de Ministros aprovou no início deste mês uma nova proposta de lei da cibersegurança que procura reforçar a capacidade e robustez dos sistemas informáticos e digitais e das defesas das empresas e entidades públicas em Portugal. Esta proposta de lei é a transposição da diretiva NIS2 [Network and Information Security], que deveria ter sido transposta até outubro de 2024, mas que Portugal – à semelhança da maioria dos países da União Europeia – não o fez. A NIS 2 impõe novas obrigações a vários setores de atividade que, antes, não estavam abrangidos pela NIS original, de 2016.
Mas terão as empresas portuguesas conhecimento desta diretiva? Segundo um estudo da Agência Europeia para a Segurança das Redes e da Informação (ENISA), cerca de 12% das organizações em Portugal ainda não tem conhecimento sobre a diretiva de cibersegurança NIS2 e 40% das suas lideranças não está envolvida em formação sobre o tema. Na União Europeia o conhecimento da diretiva é generalizado, com 92% dos inquiridos a sugerirem estar cientes das linhas gerais da NIS2.
O Link to Leaders falou com Bruno Morisson, Partner & Offensive Security Services Director da Devoteam Cyber Trust, para perceber de que forma a transposição da diretiva NIS2 pode ser uma oportunidade para reforçar a resiliência das redes e sistemas de informação em Portugal e qual deve ser o modelo que as empresas devem seguir para que a cibersegurança seja uma realidade.
Qual tem sido o papel da Devoteam Cyber Trust?
A Devoteam Cyber Trust posiciona-se como um parceiro estratégico na proteção dos ativos digitais das organizações, ajudando-as a navegar no crescente panorama de ameaças cibernéticas. Para além de fornecer serviços técnicos, como testes de intrusão, Red Teaming ou gestão de vulnerabilidades, ajudamos os nossos clientes a alinhar a cibersegurança com os seus objetivos de negócio. Trabalhamos com setores diversificados, incluindo a banca e a indústria, oferecendo soluções personalizadas que combinam inovação tecnológica com uma abordagem estratégica e contínua, de forma a melhorar a resiliência das organizações face às ameaças.
“A disparidade nos dados pode dever-se ao facto de algumas organizações ainda encararem a cibersegurança como um tema exclusivamente técnico, em vez de um pilar estratégico para a sustentabilidade e resiliência do negócio”.
Cerca de 12% das organizações em Portugal ainda não têm conhecimento sobre a diretiva de cibersegurança NIS2 e 40% das suas lideranças não estão envolvidas em formação sobre o tema, segundo estudo da agência europeia ENISA. Na União Europeia, o conhecimento da diretiva é generalizado. A que se deve este desconhecimento e o que é preciso fazer?
O Centro Nacional de Cibersegurança (CNCS) e outras entidades têm desempenhado um papel fundamental na sensibilização e capacitação das organizações sobre a diretiva. A disparidade nos dados pode dever-se ao facto de algumas organizações ainda encararem a cibersegurança como um tema exclusivamente técnico, em vez de um pilar estratégico para a sustentabilidade e resiliência do negócio. Adicionalmente, o nível de preparação varia bastante consoante o setor e a dimensão das empresas, sendo as PME as mais desafiadas a adaptar-se aos novos requisitos.
Para mitigar estas diferenças, é essencial continuar a investir em ações de formação e sensibilização que demonstrem os benefícios de longo prazo da conformidade com a NIS2. Além disso, reforçar a colaboração entre empresas, associações setoriais e o CNCS pode acelerar o alinhamento das organizações portuguesas com os requisitos europeus. Este esforço conjunto não só ajudará a fechar algumas lacunas existentes, como também criará uma cultura de segurança mais robusta e resiliente em Portugal.
De que forma a transposição da Diretiva NIS 2 poderá ser uma oportunidade para reforçar a resiliência das redes e dos sistemas de informação em Portugal?
A NIS 2 obriga as organizações a adotarem medidas de segurança mais rigorosas e a reportarem incidentes de forma estruturada. Isto fortalece a cultura de segurança, incentiva boas práticas e torna o ecossistema digital mais resiliente. Além disso, as exigências da diretiva forçam as empresas a avaliarem as suas vulnerabilidades e a investirem em soluções mais eficazes para proteger os seus dados e infraestruturas. Frameworks como a Alert Readiness Framework (ARF) permitem que as organizações estruturem a sua abordagem ao risco, garantindo que as medidas implementadas são eficazes e alinhadas com as necessidades do negócio.
“A conformidade com a NIS 2 não deve ser vista apenas como um requisito legal, mas como uma oportunidade para melhorar a maturidade da segurança”.
Estar em conformidade com a legislação em vigor é uma oportunidade para seguir as melhores práticas?
Sem dúvida. A conformidade com a NIS 2 não deve ser vista apenas como um requisito legal, mas como uma oportunidade para melhorar a maturidade da segurança. Implementar frameworks reconhecidas, como o NIST Cybersecurity Framework ou a ISO 27001 não só garante o cumprimento da lei, mas também reforça a resiliência organizacional, aumenta a confiança dos clientes e parceiros e reduz a probabilidade de incidentes graves.
O que é preciso para que as empresas adotem a diretiva NIS 2 de forma eficaz?
Para uma adoção eficaz, é essencial o envolvimento da liderança, garantindo que a cibersegurança seja uma prioridade estratégica. As empresas devem começar por avaliar os seus riscos, identificar vulnerabilidades e definir planos de mitigação. A Alert Readiness Framework (ARF) pode ser uma ferramenta valiosa para ajudar as empresas a implementar uma abordagem contínua à gestão do risco e a garantir conformidade com a NIS 2.
A formação contínua dos colaboradores também é fundamental para criar uma cultura de segurança. Além disso, a monitorização constante e uma resposta eficaz a incidentes são essenciais. Trabalhar com especialistas em cibersegurança pode ajudar a implementar soluções mais robustas e adaptadas às necessidades da organização.
“Regulamentos como o RGPD, a DORA e a NIS 2 impõem regras mais rigorosas, exigindo medidas proativas de mitigação de riscos e um maior escrutínio sobre a cadeia de fornecimento e terceiros”.
Como caracteriza a evolução da regulação nos processos de gestão e das operações de segurança da informação nas organizações?
A regulação tem evoluído no sentido de tornar a segurança da informação uma responsabilidade de toda a organização. No passado, era vista como um tema técnico, mas hoje é um pilar estratégico para o desenvolvimento de negócios. Regulamentos como o RGPD, a DORA e a NIS 2 impõem regras mais rigorosas, exigindo medidas proativas de mitigação de riscos e um maior escrutínio sobre a cadeia de fornecimento e terceiros. Para acompanhar esta evolução, frameworks como a ARF permitem que as empresas adotem uma abordagem dinâmica e ajustável à gestão do risco, garantindo que a conformidade regulatória não seja apenas um exercício burocrático, mas um verdadeiro motor de melhoria contínua na segurança.
Quais os desafios que se colocam à segurança do ciberespaço na UE? O que falta fazer e qual o modelo a seguir?
Os maiores desafios incluem a crescente sofisticação dos ataques, a escassez de talento em cibersegurança e a necessidade de maior cooperação entre os países. A União Europeia deve continuar a reforçar a colaboração transfronteiriça, promovendo a partilha de inteligência sobre ameaças e harmonizando as regulamentações. Além disso, é essencial investir na formação de profissionais para colmatar a falta de especialistas na área.
Considera que a simulação de ciberataques, conhecida como Red Teaming, é um processo crucial para as empresas?
Sim, sem dúvida. O Red Teaming permite testar a eficácia das defesas de uma organização, simulando ataques reais para identificar falhas, avaliar a capacidade de resposta e fortalecer os mecanismos de deteção e mitigação de ameaças. Deve ser encarado como um processo contínuo e não apenas como um exercício isolado.
“Os ataques de ransomware continuarão a evoluir, recorrendo a novas técnicas de extorsão”.
Quais as tendências em cibersegurança que identifica para 2025?
A inteligência artificial será cada vez mais utilizada tanto na defesa como nos ataques cibernéticos. O escrutínio sobre a segurança da cadeia de fornecimento será maior, impulsionado por regulamentações como a NIS 2. Os ataques de ransomware continuarão a evoluir, recorrendo a novas técnicas de extorsão. Além disso, a computação quântica e a criptografia pós-quântica vão trazer novos desafios e oportunidades para a proteção de dados.
Que conselhos dá às empresas para garantirem um ambiente digital seguro e robusto para todos?
As empresas devem adotar uma abordagem de segurança proativa, incorporando a segurança desde a conceção dos sistemas. A formação e sensibilização dos colaboradores são cruciais para reduzir riscos associados ao erro humano. A monitorização contínua permite detetar ameaças em tempo real.
Testes regulares, como Red Teaming e auditorias de segurança, ajudam a identificar vulnerabilidades antes que sejam exploradas. Por fim, garantir a conformidade regulatória fortalece a postura de segurança e assegura a resiliência organizacional a longo prazo. As empresas devem incorporar as medidas de cibersegurança como um fator de custo produtivo, sem o qual não podem operar no mercado, qualquer que seja o setor ou a indústria.
Comentários
