João Miguel MesquitaA cibersegurança deixou de ser um tema restrito às equipas técnicas. Hoje, é uma questão de continuidade operacional, reputação e gestão de risco. Esta é uma das principais conclusões do novo “Guia de Sobrevivência do CISO”, lançado pela Prosegur Cybersecurity (Cipher). O documento procura refletir a evolução de uma função que, durante anos, esteve focada na proteção de infraestruturas tecnológicas, mas que agora assume um papel central na estratégia das organizações.
A mudança de paradigma é impulsionada por vários fatores. As ameaças tornaram-se mais sofisticadas, os ataques afetam cadeias de fornecimento inteiras e a entrada em vigor da diretiva NIS2 veio reforçar as responsabilidades das empresas e dos seus órgãos de gestão. Neste contexto, o Chief Information Security Officer (CISO) passou a ser um interlocutor direto das administrações, chamado a traduzir riscos tecnológicos em impactos de negócio.
Em conversa com o Digital Inside, Luís Martins, Diretor-geral da Prosegur Cibersecurity em Portugal, analisa o estado da cibersegurança no mercado nacional, o impacto da NIS2, a crescente adoção de serviços geridos, o papel da inteligência artificial nos centros de operações de segurança e os desafios que as organizações enfrentam para justificar investimentos numa área que continua, em muitos casos, a ser vista como um centro de custos.
A nova legislação de cibersegurança entrou em vigor em abril. O que mudou na prática para as empresas portuguesas?
A realidade é que as grandes organizações, sobretudo aquelas que já estavam abrangidas pela primeira versão da diretiva NIS, prepararam-se atempadamente e estão hoje muito próximas de cumprir os requisitos exigidos. No entanto, a grande maioria das restantes empresas começou apenas agora a olhar de forma séria para as suas obrigações.
Não é um fenómeno exclusivo de Portugal. Em toda a Europa, a transposição da diretiva avançou a ritmos diferentes e isso criou cenários distintos entre países. Temos clientes multinacionais presentes em vários mercados europeus onde as exigências concretas variam consoante a legislação nacional já aprovada.
Existem setores mais pressionados para investir em cibersegurança do que outros?
Os setores considerados críticos já tinham percorrido uma parte significativa deste caminho e, por isso, necessitam de um esforço adicional menor. O maior impacto será sentido por atividades que não estavam abrangidas pela legislação anterior e que agora passam a integrar o perímetro regulatório.
Mais do que uma questão setorial, é também uma questão de maturidade. Há empresas de média dimensão que terão de fazer investimentos relevantes para responder aos novos requisitos, independentemente da área onde operam.
Durante muitos anos a cibersegurança foi encarada como um centro de custos. A NIS2 está a mudar essa percepção?
Algumas organizações sempre olharam para a cibersegurança como uma vantagem competitiva e essas têm uma abordagem diferente ao investimento. Mas continuam a ser uma minoria.
Se analisarmos os orçamentos médios das empresas, percebemos que a tecnologia representa normalmente entre 7% a 15% do orçamento global. Dentro desse valor, a fatia destinada à cibersegurança continua a ser reduzida, frequentemente inferior a 1%.
A NIS2 introduz um novo elemento importante: a responsabilização direta das administrações. No entanto, mais do que o receio de sanções, as organizações devem compreender que investir em cibersegurança gera valor. Protege a operação, reforça a confiança dos clientes e diferencia a empresa da concorrência.
A Cipher nasceu dentro do universo Prosegur. Como evoluiu este negócio e que novidades estão previstas?
A Cipher foi criada a partir de várias aquisições realizadas pelo Grupo Prosegur, inicialmente no Brasil, e acabou por se transformar na marca global de cibersegurança da organização.
Em Portugal temos registado um crescimento sustentado ao longo dos anos. Agora chegámos a um novo momento estratégico: a integração total da Cipher na Prosegur Security.
Esta integração permite combinar segurança física e segurança digital numa única oferta. Existem muito poucas empresas a nível mundial com capacidade para fornecer este ciclo completo de proteção. Acreditamos que isso representa uma oportunidade significativa de crescimento e diferenciação.
Portugal é apenas um mercado local ou também exporta competências?
Continuamos a servir sobretudo clientes portugueses, mas temos igualmente operações em mercados africanos de língua portuguesa e também em Marrocos.
O mercado europeu continua a fazer parte das nossas ambições, embora seja mais competitivo e, em alguns países, mais difícil de penetrar. Acreditamos que a integração na Prosegur Security poderá reforçar a nossa capacidade para expandir essa presença.
Como estão os responsáveis de tecnologia a comprar cibersegurança atualmente?
A nossa experiência mostra que os serviços geridos continuam a ser o modelo mais procurado. As organizações enfrentam duas dificuldades principais: restrições orçamentais e escassez de talento especializado.
Na maioria dos casos, a cibersegurança não faz parte do negócio principal da empresa. Um hospital existe para prestar cuidados de saúde, não para operar um centro de operações de segurança. No entanto, precisa de proteger equipamentos médicos, sistemas clínicos e dados de pacientes.
Criar equipas internas capazes de garantir monitorização contínua, resposta a incidentes e operação de plataformas de segurança é financeiramente difícil para muitas organizações. Os serviços geridos permitem responder a essas necessidades de forma mais eficiente.
A Cipher lançou recentemente o AI Hunter. Os ganhos prometidos dependem da maturidade dos dados dos clientes?
A qualidade dos dados continua a ser importante, mas o nosso foco está sobretudo na capacidade de contextualizar informação já existente.
Muitas organizações possuem sinais de alerta dispersos pelos seus sistemas. O desafio é processar rapidamente grandes volumes de informação, correlacionar eventos e identificar indicadores relevantes antes que se transformem em incidentes.
A inteligência artificial permite acelerar este processo, enriquecendo os dados e identificando padrões que seriam difíceis de detectar manualmente.
O AI Hunter é apenas um acelerador de análise ou já está a alterar o modelo operacional dos SOC?
Está claramente a alterar o modelo operacional.
Quando desenvolvemos a nossa plataforma xMDR, o objetivo foi automatizar grande parte das atividades tradicionalmente executadas pelos analistas de primeira linha. Esses profissionais dedicavam a maior parte do tempo a tarefas repetitivas de triagem e validação de alertas.
Ao automatizar essas funções, conseguimos analisar 100% dos alertas recebidos, independentemente do volume. Isso melhora a capacidade de detecção e reduz significativamente o risco de ignorar incidentes relevantes.
A IA está a resolver a escassez de talento?
Não diria que a resolve, mas ajuda a transformá-la.
Na prática, permite libertar profissionais de tarefas repetitivas e colocá-los em funções mais avançadas, como análise aprofundada, investigação e resposta a incidentes.
Continuaremos a precisar de pessoas durante muito tempo. Os modelos de IA necessitam de supervisão, validação e contexto humano. O que muda é o tipo de trabalho realizado. Em vez de executar tarefas mecânicas, os profissionais passam a concentrar-se em atividades de maior valor.
Como pode um CISO justificar investimentos em áreas como xMDR, Zero Trust ou segurança da cadeia de fornecimento perante um CFO?
A linguagem certa é a linguagem do risco.
Os CFO estão habituados a avaliar riscos financeiros e operacionais. Quando um responsável de cibersegurança consegue explicar claramente que risco está a ser mitigado e qual o impacto potencial de não agir, a conversa torna-se muito mais simples.
O problema é que muitas vezes continuamos a comunicar em linguagem técnica. Enquanto os responsáveis de segurança não traduzirem necessidades tecnológicas em riscos de negócio, será difícil obter alinhamento ao nível da gestão de topo.
Além disso, existe frequentemente um conflito estrutural. Em muitas organizações, os responsáveis de cibersegurança dependem hierarquicamente dos CIO. Naturalmente, o CIO tende a priorizar disponibilidade de serviço e projetos de negócio, enquanto a cibersegurança procura reduzir exposição ao risco. Nem sempre estas prioridades coincidem.
Os ataques à cadeia de fornecimento tornaram-se uma preocupação crescente. Porquê?
Os atacantes procuram sempre o caminho de menor resistência.
À medida que as organizações reforçaram os seus controlos de segurança, os cibercriminosos começaram a explorar fornecedores e parceiros com níveis de proteção mais baixos. Conseguem assim atingir o mesmo objetivo com menos esforço.
É uma evolução natural. Quando um caminho se torna mais difícil, procuram outro.
As empresas estão a avaliar corretamente os seus fornecedores? Ainda existem limitações significativas.
Grande parte das avaliações continua a basear-se em questionários extensos. Muitas vezes, as respostas fornecidas não são verificadas através de auditorias ou evidências concretas.
O problema é que auditorias completas representam custos elevados, seja para o fornecedor, seja para o cliente. Por isso, existe ainda um desequilíbrio entre aquilo que é declarado e aquilo que pode efetivamente ser comprovado.
A pressão regulatória poderá alterar este cenário?
Penso que sim. Aliás, já está a acontecer.
As grandes organizações começaram a exigir níveis mínimos de maturidade em cibersegurança aos seus fornecedores. Com o tempo, isso tornar-se-á um requisito competitivo. As empresas que não cumprirem determinados padrões terão cada vez mais dificuldade em participar em processos de contratação.
“A NIS2 vai provocar uma mudança real”
A NIS2 vai alterar a forma como as empresas compram cibersegurança ou apenas acelerar decisões que já eram inevitáveis?
Acredito que vai provocar uma mudança real.
O objetivo principal da diretiva é reforçar a ciber-resiliência das organizações e das suas cadeias de fornecimento. Muitas das exigências parecem simples: conhecer os ativos existentes, definir responsáveis, implementar processos de gestão e preparar planos de recuperação.
Mas precisamente por serem tão básicas revelam uma realidade preocupante: muitas organizações ainda não possuem estas fundações devidamente estabelecidas.
Se uma empresa não sabe que ativos possui, dificilmente conseguirá protegê-los. Se não tem um plano de recuperação, terá mais dificuldades em responder a um incidente grave.
No fundo, a NIS2 pretende garantir que as organizações estão preparadas não apenas para prevenir ataques, mas também para recuperar rapidamente quando eles acontecem. E isso traduz-se numa melhoria efetiva da resiliência empresarial.
