A Balwurk acaba de chegar ao mercado da cibersegurança nacional. Em entrevista à Security Magazine, Paulo Rosado, CEO da empresa, adianta que o principal foco da é a consultoria em segurança aplicacional, onde pretende apoiar as empresas no movimento shift left security.
Security Magazine – Como e quando surgiu a Balwurk?
Paulo Rosado – A Balwurk surge da vontade dos sócios da consultora tecnológica Xpand IT em criar uma empresa de cibersegurança que viesse colmatar as falhas recorrentes de segurança no desenvolvimento de software por parte das organizações. Da experiência ganha na implementação e desenvolvimento de soluções tecnológicas, identificaram que a segurança da informação é muitas vezes negligenciada ou surge demasiado tarde no ciclo de desenvolvimento, conduzindo a atrasos e problemas ou ao lançamento de software com vulnerabilidades.
E, por curiosidade, como surgiu este nome?
O nome Balwurk teve origem na palavra baluarte que, em arquitectura militar, é uma obra defensiva, situada nas esquinas e avançada em relação à estrutura principal de uma fortificação abaluartada. Esta estrutura militar, do qual temos exemplos muito bons em Portugal, tem a capacidade de defesa e de ataque, criando logo uma identificação directa com o nosso portfólio de serviços na área de cibersegurança.
O que o levou a abraçar este projecto?
Apesar de trabalhar desde 2001, só nos últimos 11 anos é que trabalho exclusivamente em projectos de segurança da informação, altura pela qual se começou a dar mais atenção ao tema em Portugal. Felizmente tive a sorte de trabalhar sempre em grandes consultoras tecnológicas, que me permitiram trabalhar em projectos muito relevantes a nível nacional e internacional.
Antes de aceitar este desafio, já sentia a necessidade de fazer as coisas de forma diferente, apesar de trazer vantagens trabalhar numa grande consultora, por vezes, somos formatados e levados a fazer as coisas de forma muito quadrada, alinhada com frameworks proprietárias e com parceiros tecnológicos que nem sempre trazem a melhor solução para os problemas de segurança que os clientes enfrentam.
Quando este desafio me foi apresentado soube que teria de sair da minha zona de conforto, mas que iria ter a liberdade de poder criar um conjunto de serviços que são prementes na área da segurança da informação, a construção da equipa e seleccionar os parceiros tecnológicos que fazem sentido. Senti que era uma oportunidade que aparece uma vez na vida e foi, sem dúvida, o que me motivou e motiva, apesar das externalidades que enfrentamos actualmente.
Qual o principal foco da empresa, nomeadamente ao nível dos serviços prestados no mercado?
O principal foco é a consultoria em segurança aplicacional, onde pretendemos apoiar as empresas no movimento denominado por shift left security, que se traduz em trazer a segurança enquanto requisito mais cedo para o processo de desenvolvimento de software, também conhecido por security by design. É um tema que começou a ganhar relevância com a introdução do Regulamento Geral sobre a Protecção de Dados (RGPD) no “artigo 25.º – Protecção de dados desde a concepção e por defeito”, mas agora com um âmbito mais amplo que engloba todos os desenvolvimentos aplicacionais da organização.
Temos como lema tornar o mundo digital mais seguro, em linha com o que são as orientações das políticas europeias, mas também do ponto de vista da protecção da sociedade, uma vez que quanto mais seguros forem os sistemas, menos os agentes de cibercrime podem lucrar com os nossos dados.
A tecnologia não é neutra e, por vezes, o dinheiro proveniente de ciberataques pode ter impacto na nossa vida de formas inesperadas. Lembro-me de que o ataque terrorista em Bali em 2002, foi em parte realizado com dinheiro proveniente do cibercrime, nomeadamente do roubo de cartões de crédito.
Temos duas áreas de negócio distintas, que apesar de servirem diferentes propósitos na área da segurança, têm o mesmo objectivo comum para a protecção do desenvolvimento do software. Dada a nossa dimensão estas áreas são lideradas neste momento pela mesma pessoa que é o Ricardo Rodrigues, que conta também com uma experiência bastante vasta nos domínios da segurança da informação.
Na unidade de Segurança de Aplicacional temos serviços para a protecção do ciclo de desenvolvimento seguro de software, seja em ambientes mais ágeis que utilizem as práticas de DevSecOps ou que as estejam a adoptar. Pretendemos com recurso a tecnologia proprietária ou de código-aberto, automatizar e optimizar os pipelines de desenvolvimento de forma a controlar e monitorizar da perspectiva de segurança todo o processo. Contamos também com os serviços mais tradicionais de testes de intrusão (penetration test), testes automatizados DAST (Dynamic Application Security Testing), Red Teaming e controlos de segurança em ambientes cloud ou multi-cloud.
Em complemento da área mais operacional da Segurança Aplicacional, temos também a unidade de negócio de Governo, Risco e Conformidade (GRC) com serviços orientados à protecção do ciclo de desenvolvimento. Nesta área damos especial atenção à formação, educação e cultura de quem programa, em tempos pensou-se que a gamificação era a melhor estratégia para ensinar a desenvolver código seguro, mas alguns estudos mostraram que tinha um efeito contrário na aprendizagem.
Outros aspectos importantes passam pelo estabelecimento de modelos de governo robustos para melhorar processos e a comunicação entre as diferentes partes interessadas da organização, realizar análises de lacunas e de maturidade dos diferentes processos da organização para identificar o que está mal e o que pode melhorar (e.g. OWASP Security Assurance Maturity Model), e garantir a conformidade com regulamentos, políticas, normas ou frameworks de referência para a segurança aplicacional (e.g. ISO/IEC 27001, NIST CSF, etc) através de auditorias.
Por último, temos a gestão do risco que é transversal a tudo o que já foi falado e onde contamos fazer a diferença com recurso a métodos de análise quantitativa e modelação de cenários de ameaça (threat modeling).
Tendo com área de actuação a cibersegurança, como classifica a maturidade das organizações portuguesas a este nível?
Nestes anos de trabalho encontrei um pouco de tudo. No sector público são muitos poucos os bons exemplos que conheço, e dos que existem infelizmente estes depois não encontram respaldo noutras áreas, pelas falhas que todos conhecemos.
No sector privado das grandes empresas portuguesas, a maturidade da realidade que conheço pode considerar-se razoável e tem vindo a evoluir felizmente, em alguns casos porque quem gere o negócio compreende os riscos a que está exposto, noutros casos por força da regulação e directrizes europeias que têm tido uma importância muito grande para o nosso trabalho.
O problema maior está quando colocamos a lente nas PMEs que são o grande motor do nosso tecido empresarial, e aqui as coisas estão num nível baixo de maturidade em comparação com as grandes empresas.
Em Maio de 2022, foi publicado pelo Eurobarómetro [1] um relatório sobre “PMEs e crime cibernético” para os 27 países da União Europeia relativo aos meses de Novembro e Dezembro de2021. Neste relatório um dos indicadores mais relevantes é o facto de 48% das empresas portuguesas que responderam ao inquérito, sofreram pelo menos um de oito tipos de crime cibernéticos no período de Dezembro de 2020 a Dezembro de 2021, contrastando com a média europeia de 28%.
Este indicador mostra o desajuste que o nosso tecido empresarial tem em termos de maturidade para a cibersegurança em relação às restantes PMEs na Europa. Apesar dos esforços para a sensibilização que tem vindo a ser realizado pelo Centro Nacional de Cibersegurança, há qualquer coisa que continua a faltar a nível de políticas e incentivos mais estratégicos por parte do governo.
Em 2022 atingimos o recorde no registo de domínios “.pt” com cerca de 150.000 registos[3], o que mostra que temos empresas novas com presença no online, mas não sabemos com que nível de segurança. Há uma mudança de mentalidade que tem de acontecer no gestor português, a segurança não pode ser vista como um custo, mas sim como investimento. No mundo hiper conectado em que vivemos (e com tendência a agravar com a adopção das tecnologias 5G e 6G), quem abre hoje um negócio com presença online e não contar nos custos de investimento na componente de cibersegurança, há uma forte probabilidade desse negócio estar condenado ao fracasso. Num inquérito [1] realizado pela ENISA recentemente às PMEs a nível europeu, revelou que 90% das empresas que sofressem um ciberataque iriam ter um impacto negativo no negócio até uma semana depois do incidente ter acontecido e 57% das respostas a assumir que muito provavelmente teriam de abrir falência ou deixar o negócio. Claramente há um caminho longo a percorrer.
2022 foi “quente” no que ao número de ciberataques conhecidos, gravidade e abrangência diz respeito. Como olha para o ano 2023 nesta matéria?
Podemos considerar 2022 como um ano chave para o despertar das mentalidades em alguns conselhos de administração para o tema da cibersegurança. Assistimos a bons exemplos de como responder em crise a um ciberataque, mas também assistimos a grandes desastres de comunicação.
Em 2023, vamos de certeza continuar a observar ataques às nossas organizações e instituições. O contexto da guerra Rússia-Ucrânia irá continuar a ter impacto e o agravamento das condições de vida podem fazer surgir novas formas de hacktivismo. Vão com certeza surgir novas técnicas e táticas que vêm sendo aprimoradas pelos agentes de cibercrime e com um suporte cada vez maior da inteligência artificial (e.g. deepfakes).
Outro tema muito importante e que está alinhado com os nossos serviços passa pela protecção da cadeia de abastecimento de dependências de software, que a ENISA identificou em número 1 das ameaças emergentes até 2030 [4].
Há semelhança do que é feito com a gestão de activos dentro da maioria das organizações, é muito importante que estas tenham uma visão sobre as componentes que compõem o software que é desenvolvido internamente. O exemplo dos incidentes do Log4J e mais recentemente da violação da biblioteca pytorch, mostram os riscos de segurança inerentes ao compromisso da cadeia de valor do software. Casos como este ajudam a lembrar a importância de contar com tecnologias de Software Composition Analysis (SCA) para monitorizar e identificar as versões de software que estão a ser utilizadas dentro da organização.
Por onde passa a evolução e crescimento da Balwurk durante este ano, nomeadamente em termos de contratações, parcerias, áreas de actuação?
Contamos actualmente com seis pessoas e contamos até ao fim do primeiro trimestre sermos nove e queremos um crescimento orgânico de acordo com os projectos que vão surgindo. Apesar do contexto externo, estamos confiantes no crescimento da empresa até às 12 pessoas até final do ano.
Estamos ao mesmo tempo a trabalhar em certificações de segurança reconhecidas pelo mercado de forma a transmitir confiança aos nossos clientes. O atingimento destas certificações vai depois potenciar a nossa visão de entrada em mercados de outros países europeus.
No campo das parcerias estamos a trabalhar em algumas bastante relevantes com parceiros tecnológicos estratégicos que são líderes nas suas áreas de actuação, de forma a criarmos um ecossistema confiável para os nossos clientes.
A Balwurk vai estar presente no evento da IDC FutureScape que se realiza a 16 de Fevereiro no CCB, onde vamos falar dos desafios da segurança em cloud.
Referências:
- 1-https://www.enisa.europa.eu/topics/cybersecurity-education/sme_cybersecurity
2- https://europa.eu/eurobarometer/api/deliverable/download/file?deliverableId=81718
3- https://www.dn.pt/dinheiro/registos-em-dominio-pt-ultrapassa-os-150000-em-2022-e-atinge-novo-recorde-15597033.html
4- https://www.enisa.europa.eu/news/foresight_2030_infographic.png
Entrevista realizada por email.
Se gosta desta notícia, subscreva gratuitamente a newsletter da Security Magazine.
