António Gameiro Marques está na linha da frente e assistiu atento à conferência anual CDays, organizada pelo Centro Nacional de Cibersegurança. O contra-almirante é, desde 2016, director geral do Gabinete Nacional de Segurança, a autoridade nacional de segurança, onde se encontra o CNCS. À margem do evento, no Porto, falou com a Security Magazine sobre esta edição, bem como alguns dos desafios que o sector enfrenta. Defende a partilha e a colaboração e considera essencial a humildade intelectual na busca de mais aprendizagens e conhecimento.
Security Magazine – Acompanha os temas da segurança há algum tempo. Do conhecimento que detém como vê a evolução da cibersegurança nos últimos tempos, nomeadamente com o surgimento do CNCS, e onde nos encontrarmos nesta matéria actualmente?
António Gameiro Marques – A evolução tem sido positiva. Estive na comissão instaladora, em 2012, do Centro Nacional de Cibersegurança (CNCS), o qual existe desde 2014. Se fizesse um gráfico, este não seria linear. Logo após 2012, o assunto esteve parado. Começou, posteriormente, a levantar muito devagarinho. Nos últimos tempos, – e é um lugar comum dizer que foi por causa da pandemia mas, de facto, foi – o assunto da cibersegurança explodiu na sociedade.
Poderá, ainda, não ter tido a dimensão que desejaríamos e anteciparíamos, quer no sector público, quer no privado. Isto porque ainda há quem considere o investimento em cibersegurança um custo. Temos também observado a evolução do pensamento relativamente à cibersegurança, a qual nasce motivada pelas tecnologias. Perdurou, durante muito tempo, que o conceito era um assunto do departamento informático.
E não é assim. Trata-se de um assunto transversal e não apenas tecnológico.
Exacto, o que é bem patente nestas conferências do CDays. Procurámos demonstrar na edição de Novembro do ano passado e reiteramos nesta edição que existem outras ópticas, nomeadamente, a comportamental, ética, riscos e conflitos. A cibersegurança é transversal. Neste sentido, com o tema deste ano “Naturalizar Competências” queremos transmitir que essa é a abordagem que tem de ser feita, tornando-as, e cintando Lino Santos (coordenador do CNCS), endémicas ou inatas.
É importante sabermos viver num mundo como o que temos hoje e termos competências inatas na área digital que nos permitam tirar partido dessa possibilidade e, simultaneamente, sermos protegidos e protegermos. No fundo, são comportamentos.
Quase como fechar a porta de casa ou colocar o cinto de segurança?
Sim. Recordo-me que quando passou a ser obrigatório o uso de cinto de segurança, havia gerações que se recusavam a usá-lo. Hoje é algo automático e se não o tivermos sentimos a sua falta.
Ao longo destes dias, muito se tem falado de partilha na área da cibersegurança. Com a cibersegurança a ser um assunto cada vez mais estratégico, como se consegue conjugar partilha e cibersegurança?
Aos níveis de direcção, direcção intermédia e operacional, a questão da partilha é, talvez, o nosso maior desafio. Porém, nada de interessante se faz sozinho, e até para criar uma vida são necessárias duas pessoas.
Na área da segurança da informação, no geral, e da cibersegurança, em particular, a partilha é tão importante como a água para o corpo humano. Se não dermos nada, não recebemos nada em troca. É isso que também nos diz a física – a uma acção corresponde uma reacção. Na cibersegurança é a mesma coisa, ou seja, se não damos, não recebemos.
Neste sentido, a nossa postura deverá ser de dádiva. Recordo o que aconteceu em Maio de 2017, com o Wannacry, ou seja, soubemos da situação porque outros na nossa rede já tinham sentido os efeitos primeiro.
Quem esta do outro lado da moeda, já actua nessa rede de partilha?
Exacto. Os hackers também partilham experiências. Mas isto trata-se de um desafio também cultural. De uma forma geral, somos adversos a partilhar. Porém, posso dizer-lhe que, em toda a vida profissional, nunca fiquei prejudicado quando partilhei algo. Recebi sempre a mais em troca.
Há um ditado de Confúcio que diz que “quando duas pessoas têm uma laranja e a partilham, no fim, ambas ficam com duas laranjas. Quando duas pessoas têm uma ideia e a partilham entre si, ambas ficam com duas ideias”. A partilha cria valor.
Falou sobre as empresas e administração pública, a nova estratégia vai trazer mais empresas e sectores que terão de estar mais conscientes para estas temáticas?
Há empresas premier league porque, devido à sua dimensão e actividade, já têm estruturas montadas e criadas para fazer face aos desafios do digital. A observar pelo nosso tecido empresarial, não são muitas e há um grande trabalho a fazer. Com os projectos que temos inscritos no Plano de Recuperação e Resiliência, em articulação com a Secretaria de Estado da Transição Digital tentaremos aumentar a capacidade das empresas.
Dividiria o sector público em dois grandes grupos – o central e o local.
E as realidades são muito distintas entre ambos?
São muito distintas e mesmo a nível local falamos de 311 autarquias e 21 comunidades intermunicipais, as quais podem ter um papel muito importante nestas matérias, sobretudo em autarquias de menor dimensão. Uma vez mais, juntando-se e partilhando podem ganhar massa critica e adquirir serviços, os chamados Managed Cibersecurity Services, que são adquiridos pelas comunidades e providenciados às autarquias, numa lógica de partilha e colaboração.
Um dos oradores referiu a importância de mantermos algumas destas questões in-house, em vez de se apostar no outsourcing. Como encara essa realidade?
Regularmente na nossa Casa, falamos sobre essa questão e já a suscitámos no âmbito do C TIC (Conselho para as Tecnologias de Informação e Comunicação na Administração Pública), órgão de governance das tecnologias de informação e comunicação na administração pública.
É uma reflexão que tem de ser inequivocamente feita. Temos de perceber que competências devemos ter no Estado para não ficarmos reféns do sector privado e quais as que podemos externalizar. E essa externalização tem duas tonalidades – uma mais centrada no Estado (externalizada mas com o centro de gravidade no Estado) e outra em que o centro de gravidade está no sector externo.
Quando fui Secretário Geral Adjunto do Ministério da Defesa Nacional tinha na minha responsabilidade directa a gestão do ciclo de vida do sistema ERP da Defesa Nacional – que serve os três ramos, Mistério da Defesa e o Estado- Maior-General das Forças Armadas na componente de recursos humanos, financeiro, logística e business intelligence. Nesse agregado de sistemas que serve toda a Defesa de forma estratégica, tínhamos definido as áreas do ERP que eram do conhecimento das pessoas da Casa – militares e civis – e quais as que eram do conhecimento da entidade com quem tínhamos um contrato de manutenção.
Tendo em atenção também quem são estas entidades e qual a sua proveniência, quando passamos para uma visão muito mais abrangente e falamos de Estados?
E de players geo-estratégicos. Num dos painéis do CDays aludiu-se às questões do AI na vertente geoestratégica, que é uma discussão muito interessante e pertinente. Na cibersegurança é a mesma coisa. Ou seja, imagine que fazemos um contrato de externalização com uma empresa que hoje tem determinada matriz accionista e que amanhã tem outra. E essa nova matriz pode ter várias nuances, nomeadamente, pode ser de Estados que tem uma matriz política parecida com a da UE e de outros Estados que não têm essa matriz política.
É preciso pensar um pouco mais além da vertente económico- financeira exclusiva para responder a esta questão e temos de preocupar-nos com essa situação. Sendo servidor do Estado, tenho de preocupar-me com isso.
Como avalia esta edição do CDays, sendo que estas coisas da cibersegurança não acabam aqui?
É um caminho cujo fim nunca se alcança. Temos de progressivamente naturalizar competências na área do digital e da cibersegurança. É como andar de bicicleta, quando se pára cai-se.
E quando se aprende já não se esquece?
Nesta área, não se tende a esquecer mas tendem a aparecer novos desafios que fazem com que novas coisas tenham de ser aprendidas. Por isso, temos de estar sempre com uma postura de humildade intelectual e vontade de aprender.
O Contra-almirante António Gameiro Marques é licenciado em Ciências Militares Navais, Classe de Marinha. Prestou serviço em vários navios da Armada e, após frequentar a especialização de Comunicações na Marinha, concluiu em 1987 o Mestrado em Electrical ond Computer Engineering que frequentou na Naval Postgraduate School em Monterey na Califórnia, EUA.
Esteve envolvido na equipa de projecto dos sistemas de combate das fragatas da classe Vasco da Gama da Marinha Portuguesa, tendo igualmente feito parte da equipa de treino e avaliação internacional daqueles navios no Reino Unido. Após a frequência do Colégio de Defesa da OTAN em Roma, foi, de outubro de 2004 a outubro de 2007, o conselheiro militar de Marinha do Embaixador de Portugal junto da Aliança Atlântica no respetivo Quartel-General em Bruxelas, onde cumulativamente representou Portugal na estrutura responsável por todos os assuntos relacionados com as tecnologias de informação e comunicação da Aliança Atlântica.
Foi promovido ao posto de Contra-Almirante a 27 de novembro de 2008. Foi o Chief Information Officer (CIO) da Marinha durante cerca de qutro anos, Secretário-Geral Adjunto do Ministério da Defesa Nacional durante os 3 anos seguintes e desde 1 de Setembro de 2016 é o Director-Geral do Gabinete Nacional de Segurança, sendo, por inerência, a Autoridade Nacional de Segurança. O Centro Nacional de Cibersegurança encontra-se na estrutura do GNS. Frequentou o 39º Programa de Alta Direção de Empresas (PADE) da AESE/IESE – Escola de Direcção e Negócios, incluindo as respectivas actualizações em 2016 e 2017.
Se gosta desta notícia, subscreva gratuitamente a newsletter da Security Magazine.