“A cibersegurança surge na minha vida, em 2007, pela necessidade de especializar-me, não me especializando”, conta Paulo Moniz. “Sempre fui, e sou, muito ecléctico nos meus interesses e gostos, pelo que, no que diz respeito ao meu percurso profissional nas tecnologias de informação, já fiz programação, administrei sistemas e bases de dados, configurei redes de computadores, entre outras tarefas neste domínio”, recorda. Tirou um Master in Science em Carnegie Mellon em Information Security (Dual Program com o Mestrado da Faculdade de Ciências) que lhe deu confiança que esta seria a sua “especialização especial”. Hoje é CISO no Grupo EDP.
Security Magazine – Como é que a cibersegurança surgiu na sua vida?
A cibersegurança surge na minha vida pela necessidade de especializar-me não me especializando. Sempre fui, e sou, muito ecléctico nos meus interesses e gostos, pelo no que diz respeito ao meu percurso profissional nas tecnologias de informação fiz programação, administrei sistemas e bases de dados, configurei redes de computadores, entre outras tarefas neste domínio. Em todas as funções sempre gostei de investigar e perceber como funcionam as coisas desde a sua raiz, pelo que a especialização focada apenas em determinado domínio sempre me assustou.
A cibersegurança surgiu na minha vida em 2007, juntando a todo este conhecimento transversal um propósito e um papel fundamental que percebi que este tema iria ter no futuro das sociedades, pelo que optei por tirar um Master in Science em Carnegie Mellon em Information Security (Dual Program com o Mestrado da Faculdade de Ciências) que me fez dar confiança que seria esta a minha especialização especial.
Quais são actualmente as suas funções principais?
A minha principal função é desempenhar o papel de CISO no Grupo EDP. As responsabilidades do CISO são bastante conhecidas. Contudo, gostaria de destacar uma delas, – porque, muitas vezes, fico com a sensação que não é suficientemente realçada, – o CISO é um gestor de Risco, no caso em concreto do risco de cibersegurança! Isto quer dizer que tem de entender o contexto de negócio bem como o apetite ao risco da organização, traduzindo-o num edifício de políticas e controlos que são implementados através de um plano estratégico que tem de ser continuamento monitorado e avaliado. Também implica fazer uma análise de risco permanente sabendo traduzi-lo em linguagem de negócio de modo a que os responsáveis da organização possam tomas decisões baseadas no risco de cibersegurança.
Quais os aspectos mais estimulantes nesta área?
Esta área tem muitos aspectos estimulantes, desde logo a multidisciplinaridade, na medida que abordamos temas que vão desde o comportamento humano, até questões geopolíticas passando pela inovação tecnológica e constante evolução das ameaças cibernéticas. No entanto, o ponto que importa realçar, e que penso que ser o factor motivacional primordial, é a oportunidade de fazer uma diferença real na segurança das organizações, assim como na protecção dos direitos fundamentais das nossas sociedades.
Que características considera essenciais na liderança em cibersegurança?
Existem algumas características fundamentais na liderança da área, sendo que vou destacar duas: a primeira é a capacidade de traduzir a complexidade do tema da cibersegurança em linguagem de negócio, mais concretamente conseguir comunicar o impacto do risco de cibersegurança aos níveis mais elevados de gestão. A outra é, efectivamente, ter um perfil bastante abrangente em termos de curiosidade e conhecimento, sendo que para esse efeito considero ser fundamental ter uma visão holística das organizações e da sociedade.
Qual o seu lema de vida?
Não ter apenas um lema de vida. Não sou do tipo “um lema de vida”, “a música de vida” ou “o vinho preferido”. Acredito que cada circunstância, cada momento, requerem diferentes qualidades. Assim como uma determina refeição, num certo contexto, poderá assentar bem com um tipo de vinho e uma música ambiente especifica, também existem situações de vida onde um lema se aplica mais que outro, de modo a conseguirmos alcançar o objectivo de podermos ter uma vida boa da perspectiva filosófica.
Posso enumerar dois lemas que me ocorrem de momento e que aplico com regularidade, um que é um uma frase de marketing que retirei de uma gigante marca desportiva: “Just do it”, e outro retratado numa frase atribuída ao génio de Albert Einstein: “Everything should be made as simple as possible, but not simpler”.
Observando os desafios actuais em matéria de cibersegurança, quais são, na sua perspectiva, as grandes tendências que marcam esta área e que merecem maior atenção por parte dos seus profissionais?
Na minha perspectiva os grandes desafios e tendências prendem-se com a crescente complexidade das infra-estruturas tecnológicas, resultado do desenvolvimento de novos serviços, desenhados para satisfazer as necessidades das organizações e sociedade, serviços esses totalmente dependentes de tecnologia e que se interligam entre si. Esta complexidade representa uma grande oportunidade para os atacantes e um enorme desafio para quem tem de proteger a infraestrutura tecnológica.
Por outro lado, também temos de considerar com uma das grandes preocupações o aumento da sofisticação de ameaças, por exemplo até utilizando os desenvolvimentos na inteligência artificial por parte dos agentes mal-intencionados.
Finalmente, destacaria todo o contexto que instrumentaliza a cibersegurança como factor determinante para atingir objectivos políticos, militares, terroristas ou económicos, o que provoca uma grande pressão nas organizações e na forma como estas se posicionam nestes palcos, que necessita de ser cada vez mais colaborativa, flexível, mais automatizada, informada e ao mais alto nível na organização.
Esta entrevista faz parte da edição especial de cibersegurança. Para receber em primeira mão subscreva a nossa newsletter.
