A AP2SI, Associação Portuguesa para a Promoção da Segurança da Informação, elegeu recentemente os novos órgãos sociais para o próximo triénio. Jorge Pinto, presidente da associação, numa entrevista à Security Magazine, sublinha as mudanças vividas no sector nos últimos anos. “O profissional de segurança de informação passou a ter o seu trabalho mais reconhecido”, refere nesta entrevista à Security Magazine. Ainda assim reconhece que “existem grandes disparidades na cultura e postura de segurança das organizações em Portugal”. Como salienta, “é possível ver ainda no mercado português a procura do jack-of-all-trades da segurança”.
Jorge Pinto recorda que “a segurança da informação e a cibersegurança não são temas tecnológicos” e sim organizacionais. Nesta caminhada da cibersegurança, “a componente humana é essencial”, sendo que as organizações “necessitam de apostar em profissionais que consigam comunicar a crescente evolução dos riscos e ameaças. O ensino desempenha um papel fundamental ao nível da consciencialização em matéria de cibersegurança. “É necessário introduzir o tema em licenciaturas dedicadas a outras áreas”, diz.
E numa altura que crescem os números de leaks de informação, o responsável aponta as cinco principais varíaveis que ajudam a explicar este crescimento do número de ocorrências.
Security Magazine – Em Janeiro de 2022, a AP2SI faz 10 anos de vida. Como avalia a importância desta associação para o sector, nomeadamente para os seus profissionais e empresas, numa década marcada por algumas mudanças em matéria de gestão da segurança da informação?
Jorge Pinto – O aparecimento da AP2SI em Portugal veio alargar o fórum da discussão dos temas relacionadas com a segurança da informação. Deixou de ser um tema apenas discutido por um pequeno grupo de profissionais para ser uma temática mais abrangente e integrada na sociedade.
Este factor acaba também por dar mais visibilidade às profissões associadas. Nos últimos anos, o profissional de segurança de informação passou a ter o seu trabalho mais reconhecido. De acordo com o nosso inquérito de 2019, 53,2% dos 367 inquiridos desenvolviam a sua actividade profissional unicamente nesta área, em mais de 20 funções diferentes o que representa um avanço substantivo pese embora o reduzido número de profissionais no sector, em Portugal.
Recentemente foram eleitos os novos órgãos sociais da AP2SI para mais um triénio. Qual o balanço que faz dos últimos três anos e que projectos estão previstos para os próximos três?
O balanço que fazemos é bastante positivo. No último triénio praticamente duplicamos o número de novos associados, mantendo também o apoio dos associados colectivos.
A pandemia veio complicar bastante os nossos planos no que diz respeito às actividades presenciais, afectando em particular a realização da BSidesLisbon mas temos conseguido manter a comunidade envolvida através de actividades próprias, como a Confraria de Segurança, em conjunto com os nossos parceiros noutras conferências e nas redes sociais ou em actividades mais estruturantes, com parceiros da academia e do Estado.
Pretendemos no próximo triénio, de forma isolada ou em conjunto com parceiros, apostar em actividades junto de jovens de modo a atrair mais pessoas para as carreiras associadas à segurança da informação seja através da via de ensino universitário, da via profissional ou da requalificação de competências.
Sendo o combate à exclusão e a promoção da inclusão temas transversais à sociedade, pretendemos realizar estas actividades num enquadramento que vise também fomentar a igualdade de género e o combate à discriminação.
Pretendemos também manter a realização das conferências BSidesLisbon que regressarão logo que seja viável a organização de eventos presenciais. O Prémio de Mérito para recém-mestres é outra atividade que se manterá.
Durante este triénio trabalharemos também no sentido de criar laços e reforçar os existentes com entidades do ensino superior e profissional em território nacional. Iremos também potenciar as possibilidades de relacionamento com associações similares à AP2SI noutros países de língua oficial portuguesa através de actividades conjuntas.
“Ainda existem grandes disparidades na cultura e postura de segurança das organizações em Portugal“
Jorge Pinto, AP2SI
Como avalia o estado actual da segurança da informação pelas organizações nacionais, públicas e privadas, nomeadamente nas que gerem infra-estruturas críticas?
O facto de este tema estar a ser cada vez mais noticiado e discutido na praça pública potencia também a discussão no interior das organizações. Os responsáveis pela gestão e administração estão mais alerta e conscientes para estas temáticas.
No entanto, ainda existem grandes disparidades na cultura e postura de segurança das organizações em Portugal, derivadas também das características das mesmas:
⦁ empresas multinacionais têm, habitualmente, uma postura mais madura derivada da sua dimensão, exposição e da necessidade de responder a regulamentação diversa emitida pelos vários países têm presença;
⦁ No que diz respeito às empresas nacionais, há diferenças entre as grandes empresas, PMEs e micro-empresas, derivadas da sua capacidade de investimento nestes temas;
⦁ No que diz respeito à segmentação público e privado, e tal como acontece noutros países, existe uma diferença substancial. Os privados são bastante mais céleres a gerir orçamentos de forma a incluir rubricas relacionadas com estes temas levando a uma adopção mais rápida de recursos humanos e tecnologias. Por outro lado, o sector público tem também o ónus de ter políticas salariais e carreiras que não são competitivas, tendo em conta a escassez de profissionais existentes, optando muitas vezes pela requalificação de profissionais.
Especificamente, no que diz respeito às entidades que gerem infra-estruturas críticas, estas sempre tiveram uma preocupação acrescida no que concerne à sua capacidade de manter o serviço, pelo que estão melhor preparadas, do ponto de vista do risco, para fazer face aos novos desafios de segurança. No entanto, também têm os seus desafios, especificamente a crescente interligação entre IT e OT e a operação num mundo cada vez mais interconectado.
“a segurança da informação e a cibersegurança não são temas tecnológicos“
Tendo em conta essa avaliação, e no sentido de reforçarem competências e mecanismos de detecção e resposta, por onde deverá passar o investimento das organizações nacionais nos próximos tempos?
A componente humana é essencial!
A segurança não é um tema que se resolva apenas com aplicação massiva de tecnologias.
É preciso gerir a cultura de risco da organização para gerir os investimentos que são necessários e, para isso, as organizações necessitam de apostar em profissionais que consigam comunicar a crescente evolução dos riscos e ameaças.
Embora existam soluções tecnológicas que devem ser transversais (p.ex.: os antivírus), cada organização tem um modelo de negócio e a segurança deve, tal como as restantes funções, ser adequada a esse modelo.
Acima de tudo, continua a ser necessário (tal como os especialistas têm reforçado na última década) que os decisores queiram ouvir falar em riscos e ameaças.
É necessário que se entenda, finalmente, que a segurança da informação e a cibersegurança não são temas tecnológicos. São temas organizacionais que derivam de avanços tecnológicos e têm que ser discutidos em conjunto com os restantes temas de gestão da organização.
A componente humana é, muitas vezes, apontada como um dos grandes factores de exposição das empresas em matéria de segurança da informação. Concorda com essa abordagem?
Como referido acima a componente humana é essencial. A todos os níveis:
⦁ Uma organização que tenha nos seus quadros de gestão um CEO consciente destas temáticas tem meio caminho andado para ser uma empresa mais resiliente.
⦁ Profissionais formados e especializados conseguem assegurar as operações de segurança de uma forma mais eficiente.
⦁ Colaboradores informados reduzem o potencial de risco através de comportamentos seguros.
De uma forma geral, a aposta nas pessoas acaba por ser mais rentável do que a aposta em tecnologia. No entanto, não é apenas ao nível das organizações que devem ocorrer mudanças.
No nosso entender, os estabelecimentos de ensino ocupam um papel de destaque no modo como a sociedade encara estes temas. Embora existam escolas que apostam na introdução de temas tecnológicos na educação dos seus alunos, ainda há muito trabalho para fazer no que diz respeito à utilização segura da tecnologia.
Também as universidades precisam de trabalhar a forma como os conceitos de segurança são introduzidos nos seus programas. Não nos referimos apenas aos cursos de STEM, onde estes conceitos devem ser transversais nas várias disciplinas leccionadas e não estar restritos apenas a uma disciplina isolada de segurança. Entendemos que é necessário introduzir o tema em licenciaturas dedicadas a outras áreas do saber não tecnológico como gestão, jornalismo, relações internacionais, administração pública, entre outros. Apenas assim se torna o tema ubíquo na sociedade.
Neste sentido, o Security Awareness é uma aposta seguir?
Existem três formas de criar conhecimento:
⦁ a via académica, que já referimos,
⦁ a via profissional, através de formações específicas e orientadas ao saber-fazer e, por último,
⦁ a via da consciencialização que está focada em motivar os pequenos momentos “nunca tinha pensado nisto desta forma”.
Para nós, não faz sentido referir apenas uma forma, todas têm o seu espaço, cumprem objectivos específicos e devem ser equacionadas quando se fala da criação de conhecimento sobre um tema.
Como tem evoluído a disponibilização no mercado português em matéria de Recursos Humanos especializados na área da Segurança da Informação vs disponibilização/abertura das empresas para a sua integração?
Exceptuando as organizações mais maduras, é possível ver ainda no mercado português a procura do jack-of-all-trades da segurança. Alguém que tenha competências técnicas avançadas, unidas à capacidade de dialogar com as várias áreas da organização e que detenha um conhecimento vasto das melhores práticas e standards do mercado.
Deve existir um esforço das organizações e das empresas de recrutamento que as apoiam no sentido de identificar melhor as suas necessidades.
As organizações não vão suprir todas as suas necessidades com uma pessoa, e devem ter consciência dos diversos níveis de especialização que existem actualmente. Como referido anteriormente, no nosso inquérito de 2019 contemplámos mais de 20 especializações.
Que novas funções ligadas à Segurança da Informação surgiram nestes 10 anos?
Funções como Security Champion e SecDevOps foram algumas das que apareceram nos últimos 10 anos em virtude da necessidade de difundir conhecimento dentro da organização e de acelerar os processo de time-to-market dos produtos digitais.
As áreas de análise de dados ligados à cibersegurança, segurança em OT (tecnologias operacionais), segurança na nuvem e Inteligência Artificial aplicada à cibersegurança são outras áreas tem crescido de ano para ano na última década.
Já lhe chamam pandemia de ciber(in)segurança, aquela a que temos assistido nos últimos meses. Como considera que têm evoluído o número de ocorrências de leaks e dimensão dos mesmos nos últimos dois anos?
Infelizmente, os números têm vindo a crescer nos últimos anos, existindo pelo menos cinco variáveis que ajudam a explicar o número de ocorrências:
⦁ Vivemos numa era de “partilha” – Os dispositivos que utilizamos estão, cada vez mais, online. O software que é executado nesses dispositivos recolhe cada vez mais informação sobre nós, e os nossos hábitos. Estamos habituados a partilhar informação e fazemo-lo quase sem pensar.
⦁ Há mais dados e estão mais distribuídos. – Os investimentos das organizações na chamada Transformação Digital têm sido muitos, em quantidade e abrangência, levando a que os dados estejam, cada vez mais, armazenados em formato digital e distribuídos. No entanto, em alguns casos, as mesmas organizações não têm em conta a alocação de recursos dedicados à sua proteção levado a uma maior exposição dos dados à sua guarda;
⦁ O cibercrime compensa. – Os criminosos também têm evoluído organizacionalmente e profissionalmente ao longo dos anos. O chamado cibercrime é tão mais lucrativo quanto mais empresas apostarem na transformação digital. O roubo de dados para chantagem, espionagem ou venda no mercado negro é um modelo de negócio cada vez mais viável e profissionalizado;
⦁ Produtos e serviços inseguros. – A cadeia de fornecimento de serviços e produtos influencia também esta equação. A existência de produtos e serviços que não contemplam mecanismos de segurança e privacidade, desequilibra a balança a favor dos criminosos que irão explorar estas fragilidades para atingirem os seus objectivos;
⦁ Os media noticiam mais.
⦁ Por último, a comunicação social está também mais consciente destes temas o que faz com que sejam mais noticiados e discutidos em praça pública.
Numa sociedade cada vez mais conectada, a que tipologia de ameaças estarão mais expostas as organizações e os cidadãos? O 5G poderá trazer desafios a esse nível, nomeadamente ao nível dos sistemas ciber-físicos?
A crescente complexidade das redes de comunicação e sistemas de informação é um factor que traz riscos, mas seguramente trará também imensos benefícios, como qualquer avanço tecnológico.
Não podemos deixar de inovar, mas sabemos que temos de fazê-lo em segurança. A União Europeia, por exemplo, está a trabalhar em programas de certificação de produtos e serviços com vista à redução dos riscos existentes e futuros.
Sem recorrer à bola de cristal, é perfeitamente possível prever que o cibercrime com mais sofisticação e difícil detecção será algo com o qual teremos que contar a nível das organizações como dos cidadãos. Tal como as burlas utilizando a Internet.
Do mesmo modo as “escaramuças” digitais entre Estados (não quero falar de guerra aqui) farão parte cada vez mais integrante do discurso político e das políticas públicas de segurança a nível mundial.
O 5G, especificamente, como qualquer nova tecnologia ou novo paradigma, trará benefícios e ameaças. No entanto, é uma tecnologia que, ao contrário de muitas existentes actualmente, já incorpora mecanismos de segurança no seu desenho. De qualquer modo, é preciso ter em conta que o 5G é “apenas” uma tecnologia de comunicação não existindo sozinha no espaço da tecnologia.
Mais do que as tecnologias, a aposta tem que passar pelo reforço da componente de segurança no ciclo de vida do desenvolvimento de software.
Se gosta desta notícia, subscreva gratuitamente a newsletter da Security Magazine.
pub
