José Alegria é atualmente board advisor da Redshift Global e strategy advisor da Competitive Intelligence & Information Warfare Association (CIIWA). Com um currículo de mais de três décadas ligado à área das tecnologias da informação e cibersegurança, com passagens por empresas como Altice e IBM, o especialista defende em entrevista ao DN que o novo regime jurídico de cibersegurança é uma ajuda, mas não que nã vai resolver tudo. Os principais problemas, segundo Alegria, passam pela falta de "governadores de cibersegurança", mas também pela falta de atenção das empresas à gestão do risco. Outra questão por resolver visa a falta de atualização de softaware e do material informática de empresas que atuam em setores críticos..Como avalia o novo regime jurídico de cibersegurança que está em consulta pública até 31 de dezembro?O principal benefício deste diploma é aumentar a responsabilidade de quem manda nas empresas. Infelizmente, durante muitos anos, a responsabilidade da cibersegurança estava entregue a um manager intermédio, um responsável de um departamento, que era um subdepartamento de uma organização maior, que era a área dos sistemas de informação, e muitas vezes as comissões executivas estavam muito distantes do problema e não sentiam isso como um problema da sua governança. Agora, a Europa obriga as governanças das empresas, de um leque grande de empresas - e esse leque aumentou - que são responsáveis, o que faz com que vá existir muito mais atenção ao problema da governança da cibersegurança. Mas isso vai pôr um problema que o diploma não resolve..Qual é?O problema é a falta de governadores da cibersegurança, porque uma coisa é haver o técnico, cá em baixo, que lida com questões, com tecnicalidades, mas o problema da cibersegurança está também a um nível mais acima, que é como é que se faz uma governança holística do problema. E, obviamente, esse governador, entre aspas, que é o chief information security officer [Ciso], tem de ter experiência e maturidade, que não há muito no mercado..Ainda é uma realidade distante ter gestores capazes de lidar com essa governança holística?Sim. Não é só em Portugal, é um problema internacional. É que o tempo que demora a uma pessoa adquirir a maturidade e o conhecimento para fazer uma função holística da governança de cibersegurança, porque ela tem, na minha opinião, cinco dimensões: a governança em si, uma boa relação com os stakeholders principais, com a comissão executiva - tem de ter uma reputação, credibilidade e empatia, até intelectual, com quem manda na empresa, para confiar nessa pessoa - e essa pessoa não pode ser aquela do Pedro e do Lobo, porque tem de de gerir com grande frieza os problemas da cibersegurança; depois há o problema da prevenção, que é um ato de maior investimento que a maior parte das empresas descuram - um dos principais riscos das organizações é o obsoletismo tecnológico, a quantidade de empresas que tem um parque informático com sistemas que já não são suportados, esse é o principal ponto de entrada dos atacantes; depois é a proteção e prevenção, que são inibidores..E qual é a quinta dimensão?A recuperação, que está muito descurada em Portugal. Por mais que se cubram as outras dimensões, a probabilidade de um ataque se materializar e ter sucesso e ser mal contido não é zero. Pode-se investir e diminuir essa probabilidade, mas nunca será zero. Uma coisa comum aos ciberataques de 2022 foi que depois demoraram muito tempo a recuperar..O que significa gerir essas cinco dimensões?Para gerir isto com um orçamento finito é muito complexo, até porque hoje a maior parte das grandes empresas não pode acusar a administração de não lhes fornecer o orçamento adequado. Eles têm que se culpar a eles próprios de não conseguirem executar os projetos. Existe uma inércia. Vejamos: vamos a correr resolver um problema, faz-se um contrato de três anos com uma série de tecnologias, no primeiro ano, consumiram-se as licenças e não aconteceu nada. É preciso uma maturidade e experiência, quer nas áreas da IT [tecnologias da informação], quer nas áreas de segurança, gestão, quer na política interna, porque tem que se gerir politicamente o problema. Não há segurança a 100% e gerir o equilíbrio numa ótica de gestão de risco, manter os stakeholders informados e ter uma política de melhoria contínua e comunicação... Não é qualquer coisa que um jovenzinho consiga fazer. Muitas vezes nem as pessoas mais experientes de gestão têm os conhecimentos técnicos. O problema é o tempo que demora a construir essa experiência e conhecimento. Construir uma pirâmide alicerçada em conhecimento científico desta área, adquirido por gestão e também aquela componente política na comunicação humana, é uma coisa que não é fácil acontecer. Existem os Ciso que, tipicamente, trabalham já em grandes organizações, mas há um grande gap no país, e noutros, para fazer cumprir com sucesso essa iniciativa..Deverão surgir incentivos e apoios às empresas, de forma complementar a este diploma, para combater a obsolescência do material e dos siststemas e para apoiar numa formação rigorosa?A pressão legal que vai existir será só por si um incentivo, sabendo que através de conhecimento interno ou através de consultores que ajudam a dizer às empresas que têm que resolver o obsoletismo dos equipamentos, particularmente aqueles que estão em zonas mais críticas ou que suportam informação mais crítica, era um incentivo para fazer uma balança em que tenha responsabilidade civil e, do outro lado, é só uma questão de encontrar o orçamento. Se houver um incentivo para fazer isso, com campanhas, com os próprios fabricantes, vai ajudar bastante..Mas não deveria também ser uma permissa do Governo criar medidas para apoiar no cumprimento do diploma?Mas o diploma não identifica estratégias para resolver o problema, diz apenas o que tem de ser feito..Daí a minha questão. Infelizmente, há muitas pessoas na minha profissão que têm uma visão muito monocromática da cibersegurança e não veem as coisas com um ponto holístico que aqui tem a ver com a prevenção. É como a saúde pública, tem que haver uma atitude preventiva que passa por eliminar o obsoletismo, mas não eliminar apenas o obsoletismo e estourar o orçamento da empresa naquilo. Imagine-se que uma empresa tem dez mil servidores, todos eles estão obsoletos, mas atenção, há uns que põem em risco a empresa e outros não põem tanto. E como há uma incapacidade humana de corrigir esses 10 mil ativos, de uma forma rápida, tem que se escolher por onde se começa. Tem que haver uma triagem. E a própria tecnologia, do ponto de vista do mercado, às vezes não ajuda muito os técnicos a decidir o que é primeiro, segundo, terceiro... Uma coisa sabemos: é humanamente impossível corrigir tudo em tempo útil, até porque muitos sistemas têm negócios a funcionar e não se consegue desligar o sistema para fazer um upgrade porque um diretor comercial não deixa..O diploma também contribui para a valorização de todas as profissões ligadas à cibersegurança.É um ponto positivo, mas dá ênfase ao que se chama bottom-up, à infraestrutura, e não à componente de governança, que é uma coisa um bocadinho mais subtil. Aliás, há uma lacuna no tecido académico e espero que um dia comecem a aparecer MBA especializados, mas focados na gestão de risco. Não é só cibersegurança, é também a gestão de risco técnico. O diploma vem ajudar, porque se não existisse este diploma, estávamos a observar um fenómeno que é preocupante e que não tem sido falado, que é a normalização dos incidentes..Haverá também um novo quadro sancionatório, em que os gestores serão responsabilizados diretamente. Poderá isso persuadir, sobretudo as grandes empresas, a investir mais em cibersegurança e ter a tal visão holística?Irá haver uma tendência que infelizmente neste país tem sempre alguma inércia associada, aparecerque é função de Ciso, porque muitas empresas não têm nada disso. O erro é pensar que o Ciso tem que ser uma função a tempo inteiro. Não tem. Aliás, eu não consigo perceber como é que justificaria o meu tempo a 100% numa pequena empresa. Bastava ter uma manhã por semana. O trabalho de um Ciso é não é mais do que meio dia por semana. Mas é um mercado que vai abrir e vamos ver os Ciso a estabelecerem os próprios seguros, como já existe nos EUA. O mercado não está aberto a isso ainda. O CISO é, tipicamente, o bode expiatório quando acontece qualquer coisa, Por isso, tem de estar protegido ou pode ter um problema legal sobre ele. Outra coisa, tal como nos jogos matemáticos, a cibersegurança é um jogo assimétrico. Por um lado temos quem ataca, e muitos dos ataques são oportunísticos, não são dirigidos que é o que acontece quando, por exemplo, se pretende roubar propriedade intelctual. A maior parte dos ataques de ransomware que ouvimos falar são oportunísticos. Os atacantes andam à procura, fazem-no por zonas, vão país a país ou setor a setor..Assimétrico, porquê?Tipicamente, o atacante tem muito mais competências do que quem defende. E, depois, o problema dos stakeholders internos. Um gestor de cibersegurança tem de gerir recursos internos, tem de lidar com o diretor de vendas, com o diretor de marketing, portanto, muitas vezes é para esquecer a segurança porque está quase aí a Black Friday. A pressão interna é um choque e o Ciso, que muitas vezes não faz parte de um board, vai ter uma grande dificuldade em ganhar atenção. O responsável pela cibersegurança tem de lidar com todas as frentes, e todas elas têm agendas específicas..E agora o NIS 2, a diretiva europeia que dá corpo ao novo regime jurídico de cibersegurança, vem acrescentar responsabilidade ao CISO.Sim, nestas coisas o diretor comercial ou o de marketing não serão envolvidos, se houver um problemas será o presidente executivo ou o administrador com o pelouro da tecnologia a responder, e depois por baixo o responsável da cibersegurança. Vamos ver como acontece..Com o diploma surge também a promessa de munir a Centro Nacional de Cibersegurança (CNCS) dos meios necessários para atuar, ou seja, para a supervisão ser mais forte...Adorava ver isso, mas sou um bocadinho descrente. Já vi isto no passado. Prometemos muito, fazemos muitos power points, mas depois olhamos para a gestão orçamental do país e não temos meios suficiente..Não será diferente agora? É que a lógica da supervisão na cibersgurança tem sido mais pedagógica que sancionatória, e com este diploma parece haver uma vontade de mudar isso, e traçar linhas vermelhas, até pelo novo quadro sancionatório.Sim, mas o problema tem de ser definido. Uma coisa é a incúria de uma empresa responsável por sistemas críticos, por serviços públicos, ter tecnologia obsoleta. Outra coisa é uma empresa que cumpre, como gosto de chamar, os mínimos olímpicos – tem os riscos controlados - mas mesmo assim sofreu um ataque. O bom senso é perceber o que é incúria e o que não é. Existe um leque muito grande entre a incúria óbvia e qualquer coisa que levou a um ataque, mesmo que o Ciso tenha o controlo, que haja auditprias periódicas, testes, e mesmo assim houve um ataque..Com o novo regime jurídico surgem mais setores que serão fiscalizados. Setores como a energia, o espaço ou serviços financeiros já cumprem regras de cibersegurança próprias, muitas vindas também de diretivas da UE. O novo diploma pode tornar excessiva as regras de cibersgurança?As empresas passam a vida a preencher formulários para satisfazer as regulações. Muitas delas intercetam-se. Com o tempo, as empresas tornam-se hábeis a responder a esses formulários. Um atacante competente adora empresas compliant, porque descansam depois de preencherem a papelada e de serem verificadas pelas entidades. Ou seja, há períodos de maior stress porque têm que prestar algumas declarações, mas depois cria-se uma sensação de segurança um pouco ilusória. O que esta regulação garante é que as empresas têm um mínimo ciber-higiene, mas esse mínimo não é suficiente. Estatisticamente eleva no país a maturidade das várias organizações de um estado muito lamentável há uns tempos, para um patamar mais aceitável. Mas pode criar também uma ilusão. Garantir compliance, forçar por legislação e por regras que a ciber-higiene seja o mínimo para uma empresa fá-la subir de nível, mas isso não faz com que a empresa se proteja de forma adequada. Em relação aos regulamentos adicionais, há uma parte que, obviamente, ajuda porque muitas vezes cobrem áreas setoriais que o regulamento base não cobre, mas arriscam-se a serem excessivos, redundantes..E isso poderá criar uma certa confusão na hora de reportar, isto é, a quem é que se reporta primeiro quando há um problema?Sim, e isso existe porque muitas vezes os próprios reguladores querem competir com o Centro Nacional de Cibersegurança..Do ponto de vista da regulação, seria melhor haver uma harmonização na hora de reportar?Não é só desse ponto de vista. Posso dar este exemplo: salvo-erro, está determinado que a Anacom é que vai ter um papel proativo neste tema, para além do CNCS. Ou seja, já está a criar uma hierarquia e em cibersegurança isso é mau porque provoca um intervalo de tempo na hora da resposta a um incidente. E estas coisas têm de ser resolvidas rapidamente. Preferia ter uma organização onde está embutida a Anacom, assim como o CNCS tem embutida a PJ e o SIS, trabalham em equipa....Este novo quadro jurídico poderá ser dissuasor do lado do atacante?Não. O atacante até terá mais informação para saber que empresas são NIS 2 compliant. Significa que quem ataca tem um desenho mais claro da maturidade de uma empresa, mas as fragilidades continuam a existir, na parte humana. O documento não torna as pessoas mais cautelosas. E há o risco da empresa-alvo estar convencida que está protegida. O atacante não vai mudar de profissão, há muito trabalho a fazer neste ecossistema para garantir que a NIS 2 está a ser cumprida e que os controlos estão bem. E isto é um ato contínuo porque há vulnerabilidades que não se conheciam no dia em que se comprou tecnologia.