É no Tagus Park, em Oeiras, que está localizado o quartel-general do Instituto de Informática da Segurança Social. Este organismo, integrado no perímetro do Ministério do Trabalho, Solidariedade e Segurança Social, é responsável por cumprir toda a função TIC de suporte à actividade daquele Ministério, bem como toda a operação “Segurança Social”. A Security Magazine esteve à conversa com a sua vice-presidente do Instituto de Informática, Carla Coelho, que sublinhou a importância da segurança neste instituto. “Falar do Instituto de Informática sem falar de segurança é impossível”, disse. Depois de um ano e meio de grandes desafios, trazidos pela pandemia, o Instituto de Informática está agora empenhado no desenvolvimento do novo Security Operation Center (SOC), o qual deverá estar operacional no próximo ano.
Security Magazine – O que é e qual a principal actividade do Instituto de Informática da Segurança Social?
Carla Coelho – O Instituto de Informática é um organismo que faz parte do perímetro do Ministério do Trabalho, Solidariedade e Segurança Social e tem na sua missão desempenhar e cumprir com toda a função TIC de suporte à actividade do Ministério e toda a operação “Segurança Social”.
Por exemplo, para a Segurança Social fazer o pagamento e tramitação de todos os pedidos de prestações e de apoio social é preciso que o sistema de informação dê resposta a todas essas necessidades. É o Instituto de Informática que mantém e desenvolve o sistema.
Todos os mais de dez mil colaboradores do Ministério em todo o país, precisam de suporte, equipamentos, condições de rede e infra-estruturas e somos nós, no Instituto de Informática, que prestamos também esse trabalho. Ou seja, tudo o que possamos imaginar ligado às tecnologias de informação, é o Instituto que tem a responsabilidade de prestar esse serviço no âmbito do Ministério.
Temos cerca de 300 colaboradores internos, alguns deslocalizados pelo país. Por termos uma actividade muito grande, recorremos também à contratação de recursos externos, sendo que chegamos a ser mais de 500 pessoas a trabalhar diariamente para que a operação “Segurança Social” funcione.
É no Tagus Park que se encontra o quartel general do Instituto de Informática?
Sim, apesar de agora estar menos ocupado pois estamos num regime híbrido devido à pandemia. Porém, como somos uma casa TIC foi relativamente fácil adaptarmo-nos a esta nova realidade.
Essa tem sido, aliás, a tendência de muitas organizações, nomeadamente nesta área de actividade, relacionada com tecnologias de informação…
O mercado nesta área tem estado muito “quente”, em termos de recursos TIC. Com o Plano de Recuperação e Resiliência e todas as iniciativas que trará, nomeadamente em vários países europeus, não existirão recursos humanos suficientes. Neste sentido, se formos conservadores no modelo de trabalho não conseguiremos captar e manter recursos.
No fundo da sala temos um painel onde surge a palavra segurança, entre outras tantas. Qual a importância que a segurança assume dentro do Instituto de Informática?
Falar do Instituto de Informática sem falar de segurança é impossível. É algo que levamos muito a sério. Falamos de múltiplos sistemas, tecnologias, dados pessoais, muitas pessoas que trabalham e interagem com os nossos sistemas, sendo a segurança uma das nossas principais preocupações, a qual está sempre na linha da frente como tema a ser trabalhado, treinado e evoluído.
Temos dado alguns passos importantes em termos de segurança. Há uns anos, criámos a área de Segurança da Informação, onde tratamos todas as temáticas relacionadas com a segurança, – não só da informação, mas também do RGPD e do alinhamento com tudo o que são os regulamentos europeus. Criámos, inicialmente, esta área não estando integrada em nenhum departamento.
Posteriormente, começámos a perceber que era necessário imprimir uma dinâmica diferente, ou seja, percebemos que, por vezes, é difícil alinhar o que está vertido nos regulamentos e normas europeus num plano de acção operacionalizável. Neste sentido, no final do ano passado, alterámos a configuração da nossa área e aproximámo-la da área de Sistemas e Infra-estruturas.
O que irão alcançar com essa aposta?
Acreditamos que, assim, seremos mais rápidos na implementação. Temos um plano de acção e um conjunto de medidas alinhadas com o nosso plano estratégico e fazemos o acompanhamento trimestral da execução desse plano.
No último ano e meio estivemos praticamente dedicados a tempo inteiro ao Covid-19. Desde que começou a pandemia, houve um conjunto de iniciativas que, sendo críticas e importantes, não eram as mais urgentes para o momento. Naquela altura, o mais urgente era dar resposta a todas as necessidades dos cidadãos e empresas que precisavam de apoios, porque ficaram impedidos de trabalhar.
Neste momento, pensamos fazer esta alteração. Queremos crer que a pandemia está a acalmar e, mesmo que haja alguma evolução menos positiva, em termos de prestações sociais, as coisas estão estáveis.
Face a tudo o que surgiu no início da pandemia, nomeadamente as constantes indicações e alterações por parte do Ministério em matéria, por exemplo, de apoios sociais, como decorreram esses momentos no Instituto?
A maior parte dos colaboradores da Segurança Social, do perímetro do Ministério, foi para casa e precisou de condições para trabalhar em segurança nos seus lares. Nas primeiras semanas, depois de sermos atingidos pela pandemia, em menos de duas semanas criámos mais de sete mil acessos VPN, movimentámos centenas de equipamentos para casa, – e nem todos os colaboradores tinham portáteis, sendo que em alguns casos foram levados desktops. Demos apoio para termos certeza de que estes colaboradores acediam em segurança aos sistemas. Além disso, em poucos dias criámos uma aplicação que deu resposta às necessidades do layoff. Posso afirmar que as pessoas incríveis que temos nas nossas equipas deram tudo para que tudo fosse feito, nomeadamente em matéria de apoios sociais.
Isto porque, no fundo, todos estávamos um pouco dependentes, directa ou indirectamente, destes apoios, além disso, a operação “Segurança Social”, não pode parar…
Exacto. A Segurança Social e a Saúde não podem fechar a porta.
Neste momento, que há um certo regresso à normalidade, foram retomados alguns projectos ao nível da segurança no Instituto?
Desde o final de 2020, começámos a olhar para as actividades que ficaram mais atrasadas. A área da segurança colocámo-la em cima da mesa com prioridade máxima.
Temos uma área nova, novos recursos e continuamos activamente à procura de mais recursos para integrar a nossa equipa de Segurança da Informação. Fizemos também outros movimentos interessantes que já estão a dar frutos, ou seja, integrámos a área de Segurança de Informação na área de Monitorização.
Aqui ao lado temos um centro de controlo de operações (CCO), ou seja, uma sala onde juntamos todas as valências técnicas, base de dados, sistemas, infra-estrutura e segurança, com recursos que estão 24/7 a monitorizar sistemas e infra-estruturas que dão suporte à actividade do Ministério.
Somos muito rápidos a detectar um incidente, porém, queremos reforçar esta monitorização através de um SOC (Security Operations Center). Estamos a ultimar os últimos passos para lançar um concurso público para a criação do SOC para o Ministério do Trabalho, Solidariedade e Segurança Social. É uma iniciativa muito importante para nós porque não chega monitorizar a camada de infra-estrutura e aplicações, ou seja, é preciso uma monitorização activa e capacidade de resposta a incidentes de cibersegurança.
Estamos muito expectantes e acreditamos que 2022 será um ano de grande evolução em matéria de segurança da informação no Instituto de Informática com a instalação do SOC junto do CCO, integrado na área de Segurança da Informação.
Nestas questões da cibersegurança, os cibercriminosos, por assim dizer, estão sempre um passo à frente?.
Esse é o grande desafio. Nos últimos anos temos assistido a uma aceleração da transformação digital, o que é óptimo e muito positivo, – e é com satisfação e agrado que podemos todos dizer que a administração pública tem feito um caminho muito interessante a esse nível. Porém, há um revés da moeda, ou seja, quanto mais serviços digitais temos, mais expostos estamos a ataques e incidentes de cibersegurança. Portanto, não chega criar mais e melhores serviços. É preciso estarmos preparados para a eventualidade de sermos expostos ou atacados.
Sermos resilientes?
Esse é o grande desafio que queremos alcançar com o SOC, ou seja, não só monitorizar. Temos planeado contar com equipas 24/7 com capacidade para reagir e estancar os ataques.
Pontualmente, temos sofrido alguns ataques, mas nada de grande dimensão, felizmente. Temos agido rapidamente, mesmo sem SOC, uma vez que temos uma série de procedimentos e mecanismos normalizados. Além disso, as nossas equipas estão sempre muito atentas, sendo fácil acompanhar e sanar este tipo de incidentes. Penso que quem se dedica a estas matérias tem consciência social.
Além da cibersegurança, ao nível da segurança física, das pessoas e instalações, que preocupações são consideradas pelo Instituto?
Temos muito cuidado com a nossa segurança, e encaramo-la como um todo. Para nós, não há segurança da informação ou física, ou seja, para nós tudo é segurança. Neste sentido, estes temas da segurança estão muito bem trabalhados e rotinados. Desde sempre que existe um plano de emergência que é revisto anualmente, fazemos e participamos em exercícios para testar não só a segurança física, como dos sistemas.
Destaco também um simulacro anual que realizamos, bem como os testes de PCM mensais. O simulacro anual permite-nos testar e validar se a actualização do plano está de acordo com as nossas necessidades e dos parceiros.
Posso afirmar que o simulacro deste ano correu muito bem e recebemos o relatório externo que destaca o grande nível de maturidade existente, não só de conhecimento de procedimentos internos, como facilidade de comunicação entre equipas e pessoas. O nosso nível de maturidade e acção é elevadíssimo fruto de um trabalho contínuo que fazemos sempre e desde sempre e nos deixa muito satisfeitos.
Participaram também no exercício anual do Exército, o Ciber Perseu. O que significa a participação nestas iniciativas externas?
Participar no Ciber Perseu faz todo o sentido porque é sempre interessante integrarmos um exercício com um cenário mais alargado, com outras instituições, permitindo-nos exercitar o alinhamento preciso.
De facto, se tivermos perante um cenário de catástrofe global, sozinhos não conseguiremos resolver tudo, ou seja, podemos até resolver parte dos nossos problemas mas acabamos por ser contaminados com os restantes incidentes que afectam outras áreas, como por exemplo o fornecimento de energia.
Neste sentido, faz todo o sentido para nós treinarmos este nível de maturidade e alinhamento com entidades externas, – privadas, administração pública, forças policiais e CNCS (com quem trabalhamos em estreita colaboração sempre).
Se gosta desta notícia, subscreva gratuitamente a newsletter da Security Magazine.