CNCseg não será “uma representação nacional”

Pode ser um “conselho estratégico”, diz José Carlos Martins, director do CNCseg, entidade que irá participar na administração da ENISA.

 

Entre várias entidades e personalidades com responsabilidades na matéria não há ainda um consenso claro sobre a criação do cargo nacional de Chief Information Security Officer (CISO). Este até poderá ter a forma de conselho estratégico, diz o director do Centro Nacional de Cibersegurança (CNCseg), José Carlos Martins.

Até ao final do ano, a estrutura que lidera desenvolverá trabalhos na avaliação de riscos, na definição de planos de contingência, e quer evitar problemas vários de outros centros: ser intrusivo e promover redundâncias são dois dos principais. E ser autónomo é condição para ser aceite por todos, refere na segunda parte desta entrevista ao Computerworld.

Computerworld ‒ Um ponto de partida fundamental de uma estratégia de cibersegurança é a avaliação de risco à escala nacional. Esse trabalho está feito ou em processo de execução?

José Carlos Martins ‒ Alguns trabalhos como a avaliação de risco estão a ser estudados por equipas internas, e colaboradores externos, que estão a contribuir de forma quase pro bono neste projecto. Dificilmente, num processo destes, quando o centro se constituiu há 15 dias, podemos ter algum trabalho [para mostrar].

CW ‒ Mas faz parte dos planos do centro ter resultados a seis meses, a um ano?

JCM ‒ É um trabalho a ser preparado. Em dois meses e meio, até ao final do ano, será um período no qual vamos trabalhar muito nessa matéria e na estratégia de cibersegurança. Vamos ter um tempo de “brainstorming”, de maturação, de tomada de decisões, de congregação de sinergias, de entidades que podem dar contributos.

CW ‒ Há planos de contingência já estabelecidos?

JCM ‒ É outra matéria a trabalhar, mas é muito prematuro falar disso para o centro.

CW – Mas será o centro a geri-los?

JCM ‒ A gestão é sempre um aspecto muito complexo. Alguma entidade vai ter de o fazer, mas há áreas de actuação claras, há responsabilidades definidas quanto a infra-estruturas críticas. O centro assumirá as suas responsabilidades na sua área. E quanto às outras, será o mais colaborativa possível, para permitir a todas as outras partes assumirem as suas responsabilidades.

CW ‒ A imprensa revelou, há meses, que as Forças Armadas preparam uma unidade de intervenção ‒ Comando de Ciberdefesa ‒ para desenvolver ciberataques, ligada ao Centro Nacional de Cibersegurança. Isso está previsto?

JCM ‒ Confesso que não temos nenhum plano especial. E não me quero pronunciar sobre esse assunto por não conhecê-lo com profundidade necessária. Isso foi falado mas desconheço o [seu] estado de evolução. Mas vemos as Forças Armadas como parceiro estratégico óbvio, tal como outros da Administração Pública.

CW ‒ Um dos objectivos do centro é tornar-se autónomo?

JCM ‒ Penso ser inevitável que isso aconteça.

CW ‒ Dependente apenas da Presidência do Conselho de Ministros?

JCM ‒ Sim. Acho que faz sentido a forma como o centro nasce. Há quem ache que deveria nascer independente, mas penso que uma estrutura destas dificilmente deveria nascer sozinha, por si só.

Até podia ser assim mas o tempo necessário até se afirmar, de alguma forma, seria mais demorado. Estar no Gabinete Nacional de Segurança [GNS], organismo dependente do centro do Governo, permite ter abrangência nacional, e foi a solução mais indicada. O GNS criará as estruturas necessárias para o centro começar a funcionar e depois, em 2017, como previsto – talvez seja antes – o centro ganhará autonomia.

CW ‒ O que está previsto é nesse ano ser reavaliada a situação do centro.

JCM ‒ Na minha opinião, a autonomia será quase inevitável.

CW ‒ É o seu objectivo pessoal?

JCM ‒ Não tenho objectivo pessoal nenhum. O meu objectivo é que o centro seja, enquanto entidade não jurídica, um contributo válido e sério para a segurança nacional, e permita congregar capacidades, hoje tresmalhadas. E para isso o centro terá de se tornar autónomo, até para conseguir uma penetração mais plena na sociedade civil.

CW ‒ Para não impedir a colaboração com um potencial parceiro?

JCM ‒ Para ter capacidade de aceitação por todos.

Ainda não há CISO nacional

CW ‒ Os papéis das entidades na estratégia de cibersegurança estão bem definidos?

JCM ‒ Estão relativamente bem definidos. Terão de ser feitos alguns ajustamentos durante o nosso percurso, mas dificilmente, com as condições disponíveis para o centro se constituir, poderia haver melhor definição. Alguns serão até informais.

CW ‒ Há actualmente um Chief Information Security Officer (CISO) nacional já definido?

JCM ‒ Não há.

CW ‒ Mas é recomendável haver, não concorda?

JCM ‒ Sim. É uma matéria a ser trabalhada, e eu gostaria de não entrar neste tema. Existem opiniões diferentes nesta matéria. Há entidades ou personalidades que defendem outras formas de proceder. É um assunto em avaliação.

CW ‒ Há quem defenda a existência de um conselho em vez de um CISO, é isso?

JCM ‒ O conselho poderá ser uma possibilidade.

CW ‒ Que está a ser equacionada?

JCM ‒ Exactamente.

CW ‒ Seria um conselho de cibersegurança, de segurança de informação…?

JCM ‒ Poderá ser um conselho estratégico, mas não está delineado.

CW ‒ Mas estará sedeado no CNCseg?

JCM ‒ Participaríamos nele, poderíamos dar apoio, mas não creio que tenha de estar aqui sedeado.

CNCseg vai participar na administração da ENISA

CW ‒ No final do ano, os recursos humanos do centro vão atingir os 20 elementos?

JCM ‒ Comigo, somos actualmente 13 pessoas. Está previsto que logo no início do ano tenhamos outros nove elementos e depois mais tarde haverá mais.

CW ‒ Estão a ser formadas?

JCM ‒ Sim, todas têm muitas valências mas a formação é constante aqui. Estamos a dinamizá-la, porque temos pessoas muito focadas na sensibilização e outras muito tecnológicas. E é bom todas aprenderem algumas coisas destas [duas] áreas.

CW ‒ Mas o centro vai ter um vocação operacional?

JCM ‒ Sim.

CW ‒ E estão a ser formados segundo que boas práticas?

JCM ‒ Segundo as boas práticas internacionais. Temos de nos orgulhar muito das capacidades técnicas dos nossos recursos humanos, porque alguns têm um grau de competências muito elevado.

CW ‒ Como é estabelecida a relação com a organização europeia de segurança ENISA?

JCM ‒ Há pouco tempo, eu substituí o vice-almirante Torres Sobral no cargo de representante português na organização.

CW ‒ A partir de agora será sempre o centro a estabelecer a ligação de Portugal com a ENISA?

JCM ‒ O centro estabelecerá uma relação com a ENISA porque esta é um parceiro fundamental, para suporte, partilha de informação, com outros centros. Mas não sei se o representante de Portugal será sempre do centro.

Vamos ter participação na administração da ENISA. A organização está empenhada no sucesso do centro.

CW ‒ Uma vantagem de quem começa mais tarde é evitar os erros de quem começou mais cedo. O que pode o centro português evitar?

JCM ‒ Ao pensar a estratégia de cibersegurança e na afirmação do centro, tentar não cair em algumas redundâncias, na assumpção de papéis, na forma mais intrusiva como diversas entidades foram chocando umas com as outras, noutros países. Vamos tentar ser mais “polite” [cordiais], um pouco mais tranquilos na afirmação do centro, até porque percebemos onde outros erraram.

E houve uma altura em que, na ENISA, se pensou que a aposta devia ser muito tecnológica, mas neste momento a aposta é muito mais na sensibilização, na educação e formação. É algo que não dará frutos logo, mas dará a nossa tranquilidade futura.

Tags , , ,

Artigos relacionados

O seu comentário...

*

Top