“Queremos ter uma fábrica de CISOs”

Cibersegurança e InfoSec Conteúdo Premium Notícias

A ScorpionShield Cybersecurity está a trabalhar o mercado desde Julho, tendo sido constituída no início de Outubro. A consultora tem uma forte componente na cibersegurança e o foco principal é a área empresarial, nomeadamente o mercado corporate e médias empresas. A empresa quer revolucionar a forma de contratação de CISOs no mercado português e introduzir o conceito de CISO – on – demand As a Service.

“A área da cibersegurança está a ter uma grande evolução e assim continuará nos próximos cinco a dez anos”, aponta José Sequeira Martins, Chief Operating Officer (COO) da empresa, acrescentando que “esta é vista como uma oportunidade de negócio, nomeadamente devido ao potencial de crescimento que existe em Portugal”.

O tecido empresarial enfrenta hoje uma pressão crescente ao nível da cibersegurança, com novos casos de insegurança a surgirem quase que diariamente. O responsável defende que as empresas devem elevar o papel dos Chief Information Security Officers (CISO) a um novo patamar. “O CISO deve reportar directamente ao CEO – ou funcionar com um modelo de reporte ao CTO (Technology), ao CRO (Risk) ou a um Counsel (Jurídica), desde que dado o empowerment global sobre a cultura da organização e alinhamento da segurança com o negócio –, só assim será possível implementar uma verdadeira cultura de segurança dentro de uma organização”, justifica.

Para José Sequeira Martins, “a cibersegurança começa no board e, neste sentido, tem de existir alguém dentro da organização, próximo do board, com conhecimento suficientemente amplo do negócio e de segurança que consiga implementar essa cultura em toda a organização”.

O responsável reconhece que, face a outros mercados, – nomeadamente ao norte-americano onde um CISO pode receber um milhão de dólares de salário – o mercado português ainda não está no mesmo grau de maturidade. “Ainda não fomos confrontados com casos extremos, como os que já se viveram em cidades em que a população ficou às escuras devido a um ciberataque, por exemplo”.

Não há dúvidas que os ataques, além de mais freqüentes, estão a ter impactos mais devastadores, cuja reposta é, muitas vezes, lenta. “Esta situação está a levar a que as próprias autoridades comecem a repensar o posicionamento das empresas e das pessoas no caso de pedidos de resgate, como os que tipicamente sucedem com nos ataques de ransomware. “São pensados durante muito tempo e, por vezes, já estão dentro da empresa há anos”, diz. Como acrescenta, no caso do phishing, por exemplo, “actualmente é cada vez mais difícil uma pessoa não cair num esquema de phishing pois estão cada vez mais elaborados e direccionados”.

Face a todo o cenário existente, José Sequeira Martins não tem dúvidas que as empresas devem preocupar-se com este tema. Neste sentido, acredita que a aposta deve passar muito pela formação dos seus colaboradores. A par desta visão, a empresa encetou uma parceria com a EC-Council para o mercado nacional tornando-se Accredited Training Center e Test Center. “A EC-Council tinha, até então, pouca expressão em Portugal, o que não acontece noutros mercados. No fundo, queremos também dar maior exposição a uma marca que é a única com um curso certificado de CISO no mundo e que colabora, por exemplo, com entidades como o FBI ou a NSA”.

Cibersegurança é core

Para já a ScorpionShield lançou dois cursos de Certified Ethical Hacker, a realizar em Novembro e Dezembro, e de Certified CISO, no início de 2020, com uma carga horária de 40 horas. “O nosso foco são empresas e profissionais com necessidades de conhecimento. Queremos que as empresas enviem os seus colaboradores responsáveis pela sua segurança e os elevem a um C-level ou B-level”.

Ao contrário de outras entidades formativas no mercado nacional, José Sequeira Martins esclarece que “o core business da ScorpionShield é a cibersegurança e não divergimos para outras áreas”, além disso, esclarece que “o foco são as empresas e os seus profissionais, pelo que, as formações destinam-se a um público que detém conhecimento sobre o tema e mais homogéneo”.

O primeiro curso decorre em Lisboa, inclui materiais do EC-Council e certificado internacional reconhecido pelo mesmo como C|EH, após exame. O programa inclui simulação de 340 ataques, 140 labs e disposição de mais de 2200 ferramentas.

Uma das outras apostas da empresa é a introdução do conceito de CISO-on-demand As a Service em Portugal. A empresa quer formar CISOs, dotá-los de todas as ferramentas necessárias e colocá-los à disposição do mercado. “Existem em Portugal muitas pessoas que conhecem a linguagem da indústria e que, por razões diversas, estão obsoletas e fora do mercado. Apostando nas suas soft skills, essenciais nesta área, e capacidades técnicas queremos coloca-las de novo no mercado”. No fundo, diz, “queremos ter uma fábrica de CISOs”. Quanto às questões de confidencialidade inerentes ao próprio negócio, o responsável acredita que tal situação não se colocará, visto que cada CISO ficará obrigado ao sigilo profissional.

O serviço funcionará como uma base de dados, através da qual, qualquer empresa pode ter à sua disposição um profissional capacitado para lidar com as questões de cibersegurança. “Num estágio inicial as empresas necessitam de um CISO a tempo inteiro, porém, à medida procedimentos são implementados, a necessidade passa a ser mais espaçada e pontual”, diz. Como acrescenta, “com o CISO-on-demand é possível às empresas terem um profissional capacitado, durante o tempo necessário, reduzindo custos inerentes a um contrato a tempo inteiro”.

José Sequeira Martins considera que a função de CISO deve integrar, não só a componente digital, como também a segurança física das instalações, nomeadamente no que toca à videovigilância, por exemplo. “A videovigilância deverá estar dependente do CISO, o qual deverá trabalhar com um DPO”, refere. Além disso, considera que uma equipa de cibersegurança numa empresa deve contar com uma red team (offensive security) e uma blue team (defensive security), bem como com o responsável de regulation e compliance (DPO), sendo que apenas assim é possível ter uma segurança efectiva.

A ScorpionShield é detida por José Sequeira Martins e por José Pedro Salas Pires (CEO). Com uma aposta muito forte em Portugal, a empresa não descarta a aposta noutros mercados e tenciona exportar os seus serviços para outros países.