Uma nota prévia: esta entrevista foi realizada em 27 de Maio de 2015

A PT Portugal (PTP) é uma das empresas âncora da economia nacional, como comprador e como fornecedor, sendo também um player no apoio à internacionalização de muitas das nossas empresas, especialmente através de um melhor aproveitamento do ciberespaço. O alcance das suas estratégias e das suas acções condiciona as decisões do ecossistema de stakeholders, funcionando, voluntaria ou involuntariamente, como uma bússola e um farol para o mercado, em geral, e para os seus clientes, fornecedores e concorrentes, em particular.

E, dada a natureza da sua actividade e responsabilidade perante estes diferentes stakeholders, a área tecnológica, onde se encontra a Direcção de Cibersegurança, Privacidade e Continuidade de Negócio, tem de garantir a segurança dos sistemas e redes, e assegurar a segurança da oferta dos serviços aos clientes. A sua visão e estratégia no domínio da cibersegurança é crítica para a economia nacional. É pois um privilégio para a CIO ter tido a possibilidade de poder partilhar, nos limites da própria segurança, a visão, política e estratégia da PTP sobre uma matéria tão sensível como crítica, com esta entrevista, ao Director da Direcção de Cibersegurança, Privacidade e Continuidade de Negócio da PTP.

José Alegria é o Diretor desta Direcção desde Janeiro de 2014. Nos últimos dez anos, já na PT, foi Diretor de Segurança e Privacidade, de Performance and Security Engineering, e Diretor de Gestão de Risco Técnico e Segurança. Ainda na PTP, onde está desde 2003, foi Director de IT Business e Director de Sistemas de Informação. Antes esteve como administrador na Oni Telecom, foi Administrador-Delegado do BanifServ (Banif), empresa que fundou, de serviços partilhados de IT do Grupo Banif, e director-coordenador de IT dos bancos BBI/BFE e BPI. Nos anos 90, durante quatro anos, foi membro da Comissão Executiva da IBM, numa carreira iniciada na docência universitária e investigação em Portugal e nos EUA, com mais de 30 anos. Nasceu em Angola e tem como desporto favorito a caça submarina.

CIO PORTUGAL – Comecemos pela própria designação da função. O que é um Diretor de Cibersegurança, Privacidade e Business Continuity? Porquê esta designação? Qual é âmbito das suas funções?
JOSÉ ALEGRIA – Comecemos por cibersegurança (CS). A palavra segurança e o prefixo ciber têm um significado. O termo “segurança”, na nossa língua, é um pouco ambíguo por poder ter múltiplas interpretações em função do contexto. E, sendo o nosso contexto a segurança do ciber espaço e dos ecossistemas que com ele comunicam e interagem, decidimos, para maior clareza adotar explicitamente o termo “cibersegurança” na nossa missão. Este é o nosso âmbito e fronteira, o que significa que vai para além dos Sistemas de Informação.

A privacidade surge na designação porque esta função não pode ser dissociada da CS e é preciso deixar muito claro para todos que a segurança da privacidade é parte integrante e um pilar da acção desta Direcção a PTP. Nesta função queremos que o negócio beneficie da agilidade dos sistemas em rede via internet sem nunca por em causa a segurança de informação sensível dos clientes. É este o binómico complexo de gerir: garantir a agilidade sem atropelar a privacidade. Um dos principais objetivos da CS numa sociedade moderna é garantir a segurança de informação sensível de quem nela participa. Aliás, é uma designação adotada pelos mais reputados centros de Computer Science do mundo.

Isto significa que o âmbito da função é transversal à actividade da PTP e vai para além das funções de IT e MIS (Management Information Systems). Integra ainda a importante componente telco, das infraestruturas e sistemas de rede propriamente ditas, mas também dos produtos de telecomunicações que oferecemos aos nossos clientes e que precisam de ser seguros para além de resilientes e confiáveis. Não existe CS de apenas uma parte de uma organização em rede. A CS tem de ser integrada e holística. Não pode ficar nada relevante de fora.

E a questão do Business Continuity, onde entra nesta visão?
Para poder responder sobre o BC, temos que falar no conceito de Activos Críticos (AC). A nossa política e organização baseia-se nesse conceito. Por exemplo, um conjunto importante de AC para nós são as bases de dados (e os seus sistemas de suporte) onde reside informação sensível de clientes. Outro tipo de AC são os que constituem as nossas infraestruturas críticas de rede enquanto operador. Seguir o conceito de AC significa assumir, como princípio, que a segurança a 100% de todos os ativos de uma organização não é possível e que há que definir prioridades de forma racional.

E a prioridade deverá ser orientada para esses painéis de Activos Críticos. O que não quer dizer que os outros não críticos sejam ignorados. Mas há que definir prioridades e níveis de “readiness” na resposta a eventuais incidentes. Por isso, temos que definir previamente o que é crítico (e não crítico) para estarmos preparados para responder e/ou ignorar, se for o caso. Ao explicitarmos o nome de BC na designação da Direcção, estamos a transmitir à nossa equipa, à organização e ao mercado que estamos a trabalhar para não apenas DETECTAR e PROTEGER mas também estamos prontos para RESPONDER (e RECUPERAR) caso um ataque tenha sucesso e um incidente se materialize.

“O principal desafio em Cibersegurança é garantir uma estratégia holística, integrada e economicamente racional. Não podemos ter uma estratégia por tribo ou por pilar. Nem podemos ser despesistas”.

Shared Security Intelligence

Estamos a falar de análise e avaliação de risco?
Sim e também de uma questão muito importante: a segurança é ou pode ser cara, muito cara. Por isso, se o activo não tem valor relevante, porquê gastar recursos para protegê-lo especificamente? Um activo tem sempre alguma vulnerabilidade. E temos que fazer a avaliação do que pode e deve ser protegido e depois multiplicá-lo pelo nível de vulnerabilidade e da probabilidade de um ataque se materializar sobre o mesmo. Aqui é preciso ter muito bom senso, medir se o montante a investir para proteger especificamente esse activo compensa ou não o que se pode perder. E a arquitetura global de CS tem de saber encontrar o equilíbrio apropriado.

No caso da PTP, existem vulnerabilidade ainda não identificadas em sistemas?
Existem sempre. Em qualquer organização! Por isso é que as estratégias de CS têm de ter em conta esse facto. No domínio da CS estamos perante um problema, um desafio assimétrico, em desfavor das organizações. Existem hoje unidades de crime organizado, ou unidades suportadas por estados nação, que investem bastante na investigação, descoberta e aproveitamento de vulnerabilidades em software usado pelas empresas a nível mundial, que o próprio fornecedor desconhece e claro que não as comunicam pois o seu objetivo é despoletar aquilo a que vulgarmente se chama de “zero-day attacks”. Aproveitam para criar mecanismos de ataque e explorá-la para retirarem o que pretendem. E logo que este tipo de vulnerabilidade é descoberta pela comunidade de CS passam a outra vulnerabilidade ainda não pública. É assim que funciona hoje em dia. E a verdade é que nenhuma organização tem meios para investigar todas as potenciais vulnerabilidades que existem em todas as peças tecnológicas dos seus ecossistemas.

Então como é que é possível minimizar estas ameaças e ataques?
Parte da solução passa pelo que no mercado chamamos de Shared Security Intelligence, isto é, fazer com que as empresas partilhem e colaborem mais nesta área para que os zero-day attacks possam ser mais rapidamente descobertos, identificados e mitigados. Na área da segurança global as empresas não devem competir entre si. Devem colaborar mais e de forma organizada.

“É no âmbito do CNCS que deve estar reunida a informação sobre a CS em Portugal e onde a coordenação deve ser realizada. É o órgão com quem se pode conversar e partilhar de forma aberta e com segurança”.

Em termos concretos, como o podemos fazer?
Em Portugal, a colaboração em CS deve ser coordenada pelo Centro Nacional de CiberSegurança (CNCS). É no âmbito do CNCS que deve estar reunida a informação sobre a CS em Portugal e onde a coordenação deve ser realizada. É o órgão com quem se pode conversar e partilhar de forma aberta e com segurança. É o lugar por excelência para fazer este debate e para tecnicamente centralizar, triar e difundir “security intelligence feeds” com intelligence sobre novas vulnerabilidades, ataques em curso e sua anatomia e fisiologia, etc. Nós fazemo-lo com os nossos clientes mas o CNCS pode desempenhar um papel mais global ao nível nacional.

Porquê?
Porque tem também essa missão para além de ter o know-how e a credibilidade necessária. E não compete com ninguém. E estes são temas que importa serem tratados com sigilo e numa lógica de “need to know”. A profissão de CS tem uma característica que não é normal noutras profissões: os seus técnicos não podem nem devem falar do que fazem fora de certos contextos. São profissionais que são reconhecidos por meritocracia e que se conhecem uns aos outros. Tipicamente a competência de um profissional especialista em CS é reconhecida pelos seus pares e não necessariamente pelo público. E no topo da hierarquia estamos a falar de uma centena no máximo com alguma senioridade. O CNCS é o espaço para falar sobre estes temas: aberto e simultaneamente seguro.

CNCS, PT, Exército e ATEC preparam proposta de curso de técnico especialista em cibersegurança

Referiu que a comunidade de profissionais seniores de CS em Portugal ronda a centena ou um pouco mais. Face aos desafios presentes e futuros das organizações portuguesas, esta oferta é suficiente?
Não, não chega. Este é um dos problemas que temos no país no domínio da sustentabilidade da CS.

E o que se pode fazer para o solucionar ou pelo menos minimizar?
Por isso mesmo estamos, com várias outras entidades como o Exército e a ATEC, a participar num grupo de trabalho, apresentado pelo CNCS, e que tem como objectivo o desenvolvimento de um Curso de Técnico Especialista de Cibersegurança, uma via profissional que venha a ser acreditada pelo IEFP, e que qualifique jovens quadros técnicos, num contexto Nacional, Europeu e NATO.

Com este curso, proposto no âmbito do Projeto NATO MultiNational Smart Defence Project on Cyber Defence Education & Training (MN CD E&T, stream 5#08), pretende-se responder às necessidades de formação e qualificação de técnicos assistentes de CS, tendo em vista a satisfação das necessidades nacionais de quadros médios com conhecimento especializado em Cibersegurança, por forma a capacitar muitas das atividades internas de suporte num Security Operations Center (SOC) 24×7.

Qual é o ponto da situação desta iniciativa?
Um dos vectores, em que estamos a colaborar neste grupo liderado pelo CNCS, visa a criação de um conceito de carreira/profissão de técnico (auxiliar) em CS, com origem em áreas profissionais e do ensino secundário, que tenha uma formação específica e receba um diploma reconhecido pelo IEFP, como referid. Essa formação poderá ser prestada por organismos que já desenvolvem esse tipo de formação ou por organismos tipo ATEC, academia de formação participada pela Volkswagen Autoeuropa, a Siemens, a Bosch e a C.C.I.L.A. (ou AHK – Câmara de Comércio e Indústria Luso-Alemã). Esse tipo de formação será fundamental para equilibrar a base da pirâmide.

Porquê a necessidade deste perfil?
O que hoje temos à saída da maior parte das universidades são mestres com alguma especialização em CB através de quatro ou cinco cadeiras específicas e um projeto de tese na área. Apesar de possuírem uma sólida formação científica, precisam de tempo, pelo menos um ou dois anos, para serem verdadeiramente úteis num SOC 24×7. Por isso precisamos complementarmente de técnicos profissionais que “entrem” mais rapidamente nas funções de suporte.

É uma carreira técnica que temos de “inventar o mais rapidamente possível”. A base da pirâmide de CS deverá ser constituída por este tipo de técnicos. Os níveis médios e superior continuarão a vir naturalmente das nossas universidades e politécnicos mas mesmo aqui teremos de melhorar a produção tanto na quantidade como na qualidade. Vamos ver o que conseguimos fazer.
Por outro lado, não podemos ficar dependentes apenas dos mestres e doutores em ciências da computação com especialização em segurança da informação, como acontece até agora. É como pensar o Serviço Nacional de Saúde como se fosse constituído só por médicos. Os enfermeiros e técnicos auxiliares são essenciais para a sustentabilidade da base da pirâmide da saúde.

Qual será o papel “reservado” a estes mestres e doutores?
Vamos precisar dos perfis académicos mais sofisticados para as áreas tecnicamente mais exigentes e de maior responsabilidade como a arquitetura e engenharia de segurança, a estratégia de deteção e resposta, a condução de peritagens forenses mais complexas ou para investigar e fazer o reverse engineering de novo malware. São áreas que precisam de pessoas com elevada formação técnica e muitos anos de experiência. Mas para aplicar regras standard de análise dos logs de um Web Server e produzir um relatório para um analista, função que é necessária num SOC 24×7, não precisamos de um mestre em ciência da computação, até porque estando overqualified não será possível depois mantê-lo.

Ao fim de “x” meses a trabalhar por turnos num SOC tenderá a procurar outra coisa mais condicente com a sua formação académica, mesmo no estrangeiro onde este tipo de skills está em grande procura. Em síntese, temos um problema de sustentabilidade do ponto de vista de recursos humanos em CS em Portugal e na Europa, especialmente na base da pirâmide de conhecimento, e temos que o resolver, até para assegurar que as funções na pirâmide são preenchidas pelos elementos com a formação adequada, nem underqualified, nem overqualified.

E há mercado em Portugal para absorver todos estes profissionais?
Sim, há. Tanto para o topo da pirâmide de skills como para a sua base onde a oferta é ainda muito escassa. E se não tivermos em Portugal uma estratégia para formar e fornecer a base, com técnicos profissionais especializados, e.g., os nossos enfermeiros seguindo a metáfora anterior, então a pressão crescente sobre os mais qualificados, que hoje têm de fazer de tudo, fará com que estes mais facilmente cedam à pressão contratual por parte de organizações localizadas em centros internacionais, tipicamente anglo-saxónicos, onde a CS tem maior protagonismo, é melhor financiada e está melhor organizada pois também têm de enfrentar uma maior pressão por parte do ciber crime. No topo da pirâmide o turnover de quadros é natural e isso é de esperar.

Alguma razão em particular para isso acontecer?
Há sempre quem internacionalmente pague mais e/ou quem ofereça melhores oportunidades de crescimento técnico. Não escondemos que técnicos com ambições em atingir elevados níveis de competência em cibersegurança dificilmente resistirão a ofertas de empresas globais como a Amazon ou a Google. O que nós temos de garantir é que mantemos organizações equilibradas em termos de subfunções e mecanismos sustentáveis do ponto de vista de reposição de recursos mais sénior que eventualmente saiam para outros desafios.

Governance da Cibersegurança

Onde é que a área da CS deve estar na organização? A quem deve reportar?
Antes de mais, a CS não tem a ver só com a informática e não deve estar dependente da Direcção de Sistemas de Informação. Porquê? Porque o seu âmbito é muito mais alargado que a informática, e porque os objetivos e as prioridades não são inevitavelmente os mesmos. Por exemplo, um CIO tem muitas vezes que dar resposta ao time-to-market do negócio para lançamento de produtos. E essa sendo importante por questões de negócio não é a prioridade máxima da área de CS. É mais normal estar directamente sob a tutela do CTO no caso de empresas de base tecnológica ou do CFO quando os aspetos financeiros e de compliance com normas regulamentares são prevalentes como é o caso da Banca. Depende da organização. Deve é cobrir transversalmente a organização.

E no caso da PTP?
Como somos uma organização de base tecnológica e temos uma acção transversal, reporto directamente ao CTO que coordena toda a área tecnológica.

Como é que se faz a governance da CS? Como é que é a interacção com as outras direcções?
Como já referi, nós gerimos muito por activos, que têm donos. Logo aí temos um canal de comunicação. Uma das apostas da nossa estratégia é ter um sistema de security analytics que nos permite ter números e indicadores que tornam a comunicação mais racional. As conversas com os nossos pares envolvendo questões de segurança são razoavelmente formais e versam sobre questões muito concretas, porque é muito fácil degenerar para questões mais folclóricas. São sempre muito cirúrgicas: projecto, activo e indicadores associados. E tudo é tratado numa base de need-to-know. Outras vezes, são os nossos pares que vêm ter connosco quando têm problemas. Têm uma porta aberta sempre para essas situações. E a lógica é de “meet to engagement”. E temos ainda um Comité de Segurança, que existe também noutras organizações, em que os stakeholders se reúnem uma vez por semestre.

Os estudos que se conhecem na área da segurança de informação, dizem que as administrações preocupam-se mas depois o investimento é baixo e acham que “só acontece aos outros”. E na PTP?
Na PTP isso não acontece. Historicamente os CTO têm uma sensibilidade muito grande para a área. E diria mesmo que a estrutura do board e de gestão tem uma cultura de segurança (CS) muito boa.

Têm muitos ataques diários?
Sim, como em qualquer operador da nossa dimensão. A maioria é de tentativa de DDoS, de baixa e média intensidade, mas alguns são também de phishing, malware de diversa sofisticação e spam. Mas como são logo mitigados por nós e na esmagadora maioria dos casos os nossos clientes nem se apercebem deles.

“Na área da segurança global as empresas não devem competir entre si. Devem colaborar mais e de forma organizada”.

O facto das principais empresas portuguesas serem detidas parcial ou em maioria por capital estrangeiro com origem em grandes países, coloca algum acréscimo de risco sujeita a ataques?
Em termos gerais, penso que não. Pelo contrário. O facto de passarem a estar em rede e poderem beneficiar de novas práticas e processos mais sofisticados, como gestão de identidades, compensa eventuais riscos adicionais.

Tem defendido a importância de ter mecanismos de segurança também à saída da rede e não apenas à entrada desta. O que quer dizer com isso?
Isto está relacionado com as dimensões PROTEGER e DETECTAR da CS e com o bom senso. Se assumirmos que é matematicamente impossível garantir que todos os ataques de malware poderão ser evitados à entrada de uma rede, i.e., que é matematicamente impossível garantir que os sistemas de PROTECÇÃO à entrada de uma rede conseguem DETECTAR e PROTEGER esta contra todos os ataques possíveis de malware, como um dos tais zero-day attacks, então vamos assumir que poderemos ter de lidar com um ataque de malware que se consegui infiltrar com sucesso na nossa rede. Mas esse mesmo malware, instalado na nossa rede, tem que comunicar para fora. E aí existe uma nova possibilidade para esse malware ser então detectado e mitigado. Mas para isso precisamos de tecnologias de segurança também à saída da rede para detetarem e analisarem esse comportamento.

Desafios e processo de decisão em CS

Quais são os principais desafios que um CSO tem de enfrentar?
No caso da PTP, os principais desafios estão relacionados com a capacidade de PROTEGER, DETECTAR e RESPONDER aos eventuais ataques realizados aos nossos Activos Críticos, que necessariamente incluem o ponto de vista da segurança da privacidade dos nossos clientes e colaboradores, da segurança das nossas infraestruturas de telecomunicações e de IT, e das que prestam serviços a clientes, da segurança dos nossos sistemas de suporte ao negócio, entre outros. E o principal desafio é garantir uma estratégia de CS holística, integrada e economicamente racional. Não podemos ter uma estratégia por tribo ou por pilar. Nem podemos ser despesistas.

Neste quadro, como é toma decisões e gere esta direcção?
O processo de tomada de decisão decorre de dois níveis de decisão: estratégica e táctica.
Nas decisões estratégicas temos que garantir que os stakeholders estão alinhados.
Na área de CS, as decisões assentam em cinco vectores, sendo um deles o alinhamento entre a decisão de topo e o departamento, como referi.
A primeira parte da estratégia consiste na identificação e conhecimento do que são os AC relevantes e de risco. É quase um contrato social entre o responsável desta área no board e os seus pares. Por exemplo, controlo privacidade e seus riscos. Se não estiverem alinhados torna-se muito difícil fazer uma orçamentação adequada.

A segunda parte é o pilar sobre a base dos instrumentos de CS. Um exemplo simples é não haver dúvidas sobre ter um sistema antivírus ou uma firewall. É um custo reconhecido e necessário. Não precisamos de fazer um business case a explicar a sua necessidade. Já há muito que passámos essa fase. Isso é comum numa organização. No nosso caso, temos um bom nível de segurança nos acessos às bases de dados mais críticas o que já não é comum em Portugal, e que é um factor diferenciador da nossa empresa. Aliás é conhecido que a maior parte dos incidentes de segurança em empresas de grande dimensão estão relacionadas com o acesso não autorizado a bases de dados com informação sensível. Este segundo vector tem uma componente importante de proteção ativa das bases de dados mais críticas.

E quanto ao nível táctico?
Entramos no nível táctico no terceiro destes cinco vectores, que é a nossa equipa, que tem de ser, e é, activa e eficaz. Temos um blue team que inclui o nosso SOC, uma equipa muito técnica, ligada à organização interna, ao CNCS e à rede internacional de organismos CERT e com uma ligação ao nosso departamento jurídico. É aqui que se coloca o problema da sustentabilidade dos recursos técnicos.

O quarto vetor é garantir que o blue team está sempre “ready” e é eficaz na PROTECÇÃO, DETECÇÃO e RESPOSTA a quaisquer eventuais ataques. Para isso, fazemos um exercício trimestral onde testamos a operacionalidade das equipas e das tecnologias.

Por fim, o quinto pilar, importante, e que obriga a uma discussão mais profunda. Aqui recorremos à metodologia TARA (Threat Agent Risk Assessement), introduzida pela Intel, que usamos para tomar decisões de prevenção contra casos potencialmente extremos, e que, pela sua potencial mas plausível gravidade tenha que sofrer algum foco especial e eventual reforço orçamental.

Pode explicar melhor o âmbito deste quinto pilar?
Basicamente avaliamos que potenciais ataques com consequências extremas são mais plausíveis e que medidas adicionais são necessárias para os prevenir e/ou mitigar. A plausibilidade destes depende essencialmente da plausibilidade de existir uma entidade atacante (threat agent) disposta a investir tempo e dinheiro para nos atacar, tendo em conta um objetivo do seu interesse e capacidade de execução. Nos casos em que esses cenários se apresentem racionais então tomamos medidas específicas para os contrariar. Por exemplo, um laboratório farmacêutico que esteja a investigar a cura do Alzheimer deverá considerar como plausível, e de efeitos potencialmente extremos, ataques de ciber espionagem industrial envolvendo hackers com muita experiência e meios técnicos sofisticados. E, em consequência, deverá tomar, sem qualquer publicidade, medidas preventivas de acordo com esses riscos.

Tem salientado ao longo desta entrevista a importância da questão orçamental…
A CS é muito cara pelo que temos que saber equilibrar o investimento aceitável face ao risco possível e à sua gravidade. Daí a importância da arquitectura holística de segurança. Implica saber onde investir e para quê. Por exemplo, em gestão existe um tema que é o “fear factor”. Um director de CS não pode gerir com base no “fear factor”. Nos últimos 15 anos tivemos dois momentos destes que levaram os CFO a abrir os cordões à bolsa: o ano 2000 e o SOX. E houve pessoas que se aproveitaram dessa situação para fazer certo tipo de investimentos que, se calhar, e com alguma frieza, as empresas não precisariam.

Agora estamos perante um novo motivo: o medo gerado pela crescente onda de ciber ataques. Especialmente nos EUA, e até com alguma racionalidade, estamos a observar uma nova onda de investimento levada pelo medo, mas agora pelo medo da ciber insegurança. Mas em Portugal não há espaço para atuar apenas com base em “receios”.

Temos que trabalhar com racionalidade e com valores razoáveis.
E mesmo que não houvesse um forte sentido de contenção de custos, temos duas limitações no lado da execução: escassez de meios humanos qualificados para garantir a execução acima de determinada ambição e um mercado de oferta de soluções demasiado fragmentado. E não há silver bullets! Estão disponíveis muitas peças tecnológicas importantes mas a maioria são ainda “point solutions” ficando a faltar capacidade de integração para suportar a tal arquitetura holística balanceada.

Défice de integradores, oferta fragmentada

A oferta dos vendors é insuficiente?
Não só existe um défice no mercado de integradores de segurança, agnósticos à tecnologia, como aqueles que o fazem não o conseguem fazer a um preço económico, por exemplo, envolvendo componentes “open source”. E é preciso ter um todo holístico e integrado. Se uma empresa cair no erro de começar a comprar diferentes “point solutions”, por muito boas que sejam, vai ter um conjunto de soluções que não fazem uma solução holística e integrada, e sobretudo vai criar uma imagem de segurança que não corresponde há realidade, porque nas zonas não cobertas têm um problema.

Qual é a solução? Como se ultrapassa essa situação?
É fundamental, neste domínio, ter uma boa capacidade de arquitectura para criar uma solução adequada, particularmente na componente DETECTAR que é para mim central e deve ser transversal. O PROTEGER é essencial especialmente para prevenir alguns tipos de ataque, como ataques DDoS, vírus comuns, SPAM, … Mas mesmo os sistemas vocacionados à PROTECÇÃO têm também de ser capazes de reportar com fiabilidade o que detetaram e estão a filtrar ou a conter. Sem isso a organização fica sem saber o que realmente se está a passar criando uma ilusão perigosa de que não há incidentes a ocorrer. E não se pode ser autista em CS. Portanto, para garantir que se consegue ter uma “situational awareness” adequada, é preciso uma solução integrada e holística em que a componente DETECTAR é central. Não o tendo é importante não criar uma ilusão que se está protegido contra incidentes. E temos que ser inteligentes na análise do ameaçador e das suas verdadeiras intenções e capacidades.

Está a dizer que o mercado não tem resposta para os desafios da CS de empresas como a PTP e outras similares?
O que estou a dizer é que em empresas com a complexidade e exigência de uma empresa como a PTP ou um grande Banco, a oferta de soluções tecnológicas que existe no mercado, “n” tipos de firewall, de antivírus…, é grande mas muito fragmentada e nem sempre fácil de integrar. Persiste o problema de como integrar tudo num SOC 24×7 que seja holístico e simultaneamente eficaz e que garanta uma “situational awareness” correta. Por outro lado, não existem ainda no mercado pessoas em número suficiente e com a maturidade técnica necessária para funcionarem como arquitectos de CS e de desenvolvimento e integração de soluções de segurança. E também que sejam capazes de integrar componentes proprietárias – cuja aquisição é inevitável – com outras peças que possam resultar de software de boa qualidade já existente em universidades e no mundo “open source”, e criem um todo que funcione e que tenha um custo operacional aceitável. Porque hoje não temos forma standard de “colar” as peças tecnológicas que o mercado (fabricantes) oferece.

Então, como é que a PTP faz?
Como fazemos? Temos que ser nós, internamente. Temos uma pequena equipa especializada nessa integração recorrendo às mesmas tecnologias “open source” usadas pelos gigantes globais do mundo da Internet e nas áreas emergentes de DATA SCIENCE. E do ponto de vista do método de trabalho seguimos a escola da agilidade e utilizamos as metodologias SCRUM e KANBAN.

“O outsourcing em CS é e poder ser uma solução, mas há uma coisa que não pode ser entregue ao outsourcing: a responsabilidade”.

Outsourcing, bom senso e IoT…

Neste contexto, qual é ou pode ser o papel do outsourcing na cibersegurança?
É e pode ser grande. Se olharmos do ponto de vista top-down, há uma coisa que não pode ser entregue ao outsourcing: a responsabilidade. Mas há muitas funções operacionais que o podem ser. Por exemplo, um SOC 24×7 ou a execução de peritagens via services providers. O comando e controle não. A análise TARA pode ser apoiada por um consultor, no brainstorming, mas a responsabilidade é do CSO que é o responsável junto da administração. Entregar a 100% não pode. Mas há muitas funções que pode e nós na PTP somos fornecedores desses serviços como, por exemplo, o serviço SOC 24×7.

Costuma falar na necessidade de haver bom senso em CS. O que quer dizer?
O bom senso em CS tem a ver com o sermos capazes de “filtrar” ficção da realidade, sermos capazes de nos focar no que é mais relevante e racional e, muito importante, sermos capazes de comunicar apesar de preconceitos e infundadas expectativas. A CS é uma área muito sujeita a notícias bombásticas e mesmo a alguma ficção. E toda a gente tem uma opinião mesmo sem ter qualquer base técnica… E a última coisa que queremos é investir por medição de emoções. Temos de começar pela definição dos painéis de ativos de risco relevantes e pela definição dos tipos plausíveis de ameaças sobre estes, de uma forma que seja o mais racional que for possível tendo em conta o orçamento verdadeiramente disponível.E depois é também saber comunicar e explicar essas propostas e levá-las a uma decisão mesmo perante outros “medos” acabados de serem lidos, por exemplo, nas redes sociais.

Como? Com conhecimento, com intelligence do sector onde a organização está inserida, a região em que opera, etc. Tendo em conta que se não houver bom senso também não se será credível e facilmente se irá desperdiçar dinheiro na 21ª coisa mais importante.
A CS é cara, muito cara, especialmente se formos sempre atrás do que dizem as últimas notícias.

Nos últimos tempos fala-se muito em Internet of Things (IoT). Que desafios coloca à CS?
Temos que ter algum cuidado com a expressão, porque estamos a falar de algo que já é uma “coisa velha”. O M2M é um caso particular de IoT com algum tempo e é um negócio normal para a PT como para outras empresas. O IoT é uma grande oportunidade e os riscos são perfeitamente mitigáveis.

Uma empresa como a PT pode desempenhar um papel muito importante de broker seguro dos eventos entre as “things/coisas” e os serviços geridos para essas mesmas “things/coisas”. Outro aspecto diferente é alguém disponibilizar na Internet, aberta e não controlada, serviços IoT utilizando protocolos abertos da internet e disponibilizando funcionalidade excessiva nas tais “coisas” ligadas à Internet. Aí o risco é grande, especialmente se, por rapidez de desenvolvimento, as “coisas” forem baseadas em componentes computacionais abertas, tipo um “low cost linux in a box”, com funcionalidade excessiva face às necessidades, funcionalidade essa que depois pode ser malevolamente explorada.

Mas é um mercado que vai crescer. Os fabricantes irão disponibilizar frameworks de desenvolvimento mais adequados e seguros – não vão ter internamente um Linux completo – e os operadores vão também ser capazes de oferecer segurança na comunicação entre as diferentes componentes. Sou muito optimista quanto ao potencial da IoT. É uma onda inevitável. Vamos todos cometer erros mas vamos aprender com esses erros. E depois vamos entrar no bom senso. Por exemplo, o risco de ter um micro-ondas na Internet justifica o benefício? A visão romântica que ainda se tem do IoT há-de estabilizar e o mercado saberá dar as respostas necessárias.

Hoje fala-se do conceito de Segurança Activa…
É um tema ainda muito do domínio académico embora na esfera militar seja central. Basicamente é ter capacidade de contrariar ataques de forma proactiva que passa pela desinformação, i.e., alimentar um ataque com informação falsa sem que o atacante se aperceba disso, e vai até ao despoletar de um verdadeiro contra ataque. Tem obviamente muitos desafios de legalidade e para mim o interesse é puramente académico. Nos EUA está a ser usada desde que não cause danos a terceiros.

A questão é que as empresas estão a ser sujeitas cada vez mais a ataques e precisam de encontrar soluções de resposta. No mundo militar esta questão é obviamente central mas no mundo civil as limitações são óbvias. Há contudo uma técnica que é usada sem problemas legais e que consiste na implementação dos chamados “honey pots” ligados depois em redes de investigação forense (“honey nets”) para atrair ataques para os estudar e encontrar remédios.

Vê o CSI Ciber? Tem alguma alguma cola com a realidade?
Sim, vejo mas muito raramente. Tem alguma cola e fundamento, mas é muito exagerado.

Gestor e líder

Tendo em conta a sua experiência alterava alguma coisa na forma como dirige e gere as suas equipas?
Só não afina e melhora a sua forma de trabalhar quem é pouco inteligente ou dono de um ego excessivo. Felizmente eu não sofro de nenhuma dessas maleitas. A agilidade está no meu ADN. Quando se está a conceber uma solução de CS não sabemos muitas vezes com toda a exactidão qual vai ter de ser a solução final. Sabemos onde queremos chegar, mas a estratégia tem que ser ágil. Outra parte do meu ADN é estar muito por dentro do que se está a ser feito na área técnica e científica nos labs das principais universidades nacionais e internacionais e nos labs da indústria Internet. É o que seguimos internamente. Não sigo tanto os analistas típicos da indústria. Estes estão tipicamente atrasados uns anos nesta área.

Como se definiria como líder?
Gosto de liderar pequenos projetos com equipas muito focadas, com forte componente de inovação, dando passos incrementais com resultados imediatamente úteis. Gosto de gerir equipas pequenas mas de alto rendimento focadas em objetivos periodicamente revistos, introduzindo incrementalmente as novas funcionalidades com maior retorno para o negócio. Daí ser um adepto dos princípios por detrás das metodologias SCRUM e KANBAN. E se utilizar uma terminologia mais militar diria que estou muito mais próximo da cultura das “forças especiais” do que da cultura da “infantaria clássica”. Gosto de criar escola. E sobretudo gosto de formar gente nova e ambiciosa. Tem sido este o meu trajecto profissional do ponto de vista técnico. Na PT aceitamos com regularidade estudantes de mestrado que vêm para cá fazer os seus projectos de tese.