A poucos dias do CDAYS 2019, conferência anual do Centro Nacional de Cibersegurança (CNCS), a Security Magazine, enquanto media partner desta edição, falou com Lino Santos. O coordenador do CNCS destacou a sensibilização e treino de comportamentos seguros e a capacitação técnica e organizacional como os grandes temas deste ano, cujo foco principal está nas Pequenas e Médias Empresas. O CDAYS decorre a 26 e 27 de Junho, no Centro de Congressos da Alfândego do Porto.
Security Magazine – Quais as expectativas para a edição deste ano do CDays?
Lino Santos – Antes de mais, gostaria de salientar que continuamos no modelo de sair de Lisboa e realizar as nossas conferências anuais noutras capitais de distrito, de forma a levarmos a nossa mensagem e darmos oportunidade aos actores e intervenientes locais de participarem e contribuírem na prossecução dos nossos objectivos.
A nossa expectativa para a conferência CDAYS é, antes de mais, bater o record de cerca de 700 participantes da última edição. Pretendemos ultrapassar os 1000 participantes nesta edição. Esta expectativa prende-se com o excelente local escolhido para a sua realização – o centro de congressos da Alfândega do Porto – e com o tema central focado na cibersegurança das Pequenas e Médias Empresas (PME). Acreditamos que o nosso tecido empresarial e particularmente a região Norte e, mas especificamente, do Porto irão, certamente, ajudar a chegar a este número.
Olhando para o programa da conferência que temas destaca para quem queira visitar e marcar presença nesta edição?
Queremos manter um modelo de conferência de dois dias e colocar os temas que consideramos importantes partilhar com parceiros e a comunidade de cibersegurança, o que é um exercício extremamente difícil.
Neste sentido, ao longo dos dois dias teremos quatro salas com sessões paralelas. Teremos sessões técnicas, focadas em trabalhos de investigação de universidades e da comunidade de hackers de chapéu branco que mostrarão desenvolvimentos novos nesta área. Simultaneamente, teremos temas mais estratégicos, reservados para o grande auditório, com foco nas PME.
O pano de fundo para esta conferência CDAYS é a nova estratégia de segurança do ciberespaço, publicada recentemente. Um dos nossos objectivos passou por olhar para as linhas de acção que a estratégia preconiza e, de alguma forma, através de um programa eclético, endereçar a grande parte dos temas focados. Tendo em conta o seu cruzamento com as PME, destacaria dois grandes temas – a sensibilização e treino de comportamentos seguros para cidadãos e colaboradores de empresas e a capacitação técnica e organizacional das entidades e, em particular, das PME.
Estes são os dois grandes eixos que vamos endereçar. Por isso, estamos também associados à iniciativa nacional para as competências digitais, vamos ter um painel inteiramente dedicado à especialização, formação e investigação em cibersegurança e algumas sessões dedicadas às componentes normativas, quadros de referência e instrumentos que ajudem as nossas organizações a crescer na sua maturidade em cibersegurança, ou seja, o objectivo é capacitar pessoas e organizações em cibersegurança, com grande enfoco nas PME.
Há um grande foco nas pessoas e no quão importantes são em matéria de cibersegurança.
Sim, esse é um dos grandes objectivos estratégicos da Estratégia Nacional de Segurança do Ciberespaço, ou seja, a criação de competências e a retenção desses recursos humanos no território nacional. Prevemos que essa será uma grande dificuldade nos próximos anos. Dentro das competências digitais, as competências digitais em cibersegurança são a área onde há maior diferença entre a procura de recursos e oferta de recursos no mercado.
Fruto dessa escassez de competências, há especialistas que defendem a abordagem destas temáticas desde cedo nas escolas. Concorda?
Nas escolas e em casa. O informar de comportamentos não é mais do que educação. Da mesma forma que fomos ensinados a ter comportamentos seguros neste mundo físico, quer na família, quer nas escolas, temos de aprender as competências necessárias para estar no ciberespaço. O objectivo é que esses comportamentos sejam quase irrefletidos, ou seja, decidir ir a determinado site e comprar determinado artigo deverá ser um processo natural, tendo em conta os valores e quadros adquiridos pelas pessoas.
Um cidadão informado e consciencializado sobre estas matérias terá certamente reflexos na segurança das empresas em que está inserido.
Obviamente. Agora, há um trabalho gigantesco a fazer tendo em conta a quantidade de cidadãos que não tem essas competências e que tem de ganhá-las. Começar a abordar estes temas de cibersegurança nas escolas secundárias não tornará as empresas mais seguras dentro de um ano ou dois. Ou seja, temos de trabalhar também a criação de competências directamente nestas pessoas.
Estamos muito aquém do que seria desejável nessa matéria?
Estamos a trabalhar e temos instrumentos para responder a essa questão. O Centro Nacional de Cibersegurança tem uma forte aposta na área do treino em competências, disponibilizando um módulo gratuito de e-learning (Cidadão Ciberseguro), acessível no nosso site, que fornece aquilo que são as melhores práticas e comportamentos básicos seguros de utilização de tecnologia e de internet, que pode ser usado em contexto residencial e laboral.
Paralelamente, temos uma grande procura de empresas públicas e privadas que colocaram o módulo de sensibilização dentro da formação obrigatória dos seus colaboradores. Para responder a esta procura estamos a treinar uma bolsa de formadores que conta já com mais de 60 pessoas de diferentes pontos do país.
Daquilo que é o seu conhecimento de cibersegurança, como avalia a última década e em que ponto estamos em termos de maturidade em Portugal?
Evoluímos bastante na consciência dos riscos que corremos, ou seja, infelizmente o número de incidentes tem ajudado à criação dessa consciência.
Face há cinco anos, hoje só não está consciente para os riscos que corre na utilização da tecnologia ou de ter o seu negócio exposto no ciberespaço quem é muito desatento ou distraído.
Neste momento, estamos a desenvolver instrumentos para ajudar as empresas a crescer em maturidade. É o que estamos a fazer através do Quadro Nacional de Referência em Cibersegurança, que será apresentado durante o CDAYS e sobre o qual já concluímos o processo de consulta a um conjunto de stakeholders relevantes da academia, administração pública e privado. É um instrumento que servirá de referência sobre o que serão as melhores práticas em cibersegurança a aplicar por qualquer entidade. É por isso que estamos a criar modelos de maturidade que olham para este quadro de referência e definem as prioridades a seguir.
Será possível às empresas perceber em que estágio se encontram em termos de maturidade?
Vamos construir uma ferramenta para auto-avaliação do seu estado de maturidade em quatro eixos – maturidade em prevenção, maturidade em detecção, maturidade em reacção a ciber incidentes e maturidade em gestão da segurança da informação (governance da cibersegurança).
Porém, mais do que avaliar, saber qual o seu estado de maturidade e poder comparar-se com outras entidades do mesmo sector de actividade, a ferramenta dirá o que a entidade terá de fazer para alcançar o nível seguinte, dando-lhe os instrumentos necessários. É, por isso, que estamos a iniciar conversações com a nossa academia para a criação de cursos focados nestes modelos de maturidade. Ou seja, as empresas se necessitarem de quadros para aplicar esses modelos de referência poderão ter à sua disposição nos institutos politécnicos pós-graduações especializadas sobre criação de competências ou construção de capacidades para subir nessa maturidade.
Portanto, passamos a fase da consciencialização e estamos conscientes que precisamos de trabalhar e investir em cibersegurança. Até ao final do ano, iremos criar um conjunto de instrumentos para mostrar às empresas como podem realizar esse investimento.
É possível estarmos seguros sem investimento financeiro?
O exemplo do Cidadão Ciberseguro mostra que com pouco dinheiro conseguimos ter um impacto relevante. No entanto, tenho consciência que dependendo do grau de maturidade de muitas organizações, será preciso investir.
É preciso que as empresas percebam – e penso que já atingimos esse estágio – que se trata de um investimento e não de um custo.
Neste sentido, as entidades têm de saber qual o seu grau de maturidade e o que têm de fazer para crescer. Esse investimento pode ser feito gradualmente, mediante a disponibilidade dos orçamentos e o apoio que possam ter. A União Europeia tem uma forte aposta com o Digital Europe para o período 2021 – 2027, centrado na capacitação em cibersegurança e focado nos operadores de serviços essenciais e administração pública. Em relação às PME haverá instrumentos para responder a essas necessidades.
Para os profissionais que ponderam ir ao CDAYS mas que temem um evento muito técnico, que mensagem deixaria?
Essa ideia é um mito. A cibersegurança tem a ver com tecnologia mas é muito pouco técnica. Tentamos sempre ter uma mensagem o menos técnica possível. Obviamente que há soluções técnicas, mas deixamo-las para os especialistas, vendedores e consultoras.
Importa salientar que temos de trabalhar os colaboradores que têm de ter o mínimo de conhecimentos possível, os quais não são técnicos mas comportamentais.
Como referi, o CDAYS terá uma sala muito técnica, mas no grande auditório a mensagem será transmitida de forma simples e mostrará instrumentos de forma muito prática para ajudar as organizações.
Destaco, por exemplo, a sessão do COTEC que irá apresentar um trabalho sobre modelos de maturidade em inovação, focado na introdução da componente de cibersegurança no processo de inovação, ou seja, a introdução do Cybersegurity by Design no início processo de inovação. Portanto, teremos exemplos muito práticos e com uma linguagem muito acessível, precisamente para atingir as PME.
