Matt Lewis, Research Director do NCC Group, esteve recentemente em Portugal, a propósito da conferência CISO Council Lisboa. Numa entrevista exclusiva à Security Magazine destacou a importância dos Chief Information Security Officers (CISO). Presente em Portugal com uma equipa de profissionais, Matt Lewis adiantou que está previsto o alargamento da equipa actual com novos consultores durante este ano e novas contratações para a equipa de vendas em 2024.
Security Magazine – Na sua perspectiva, qual a importância que os CISO deverão ter dentro de uma organização? Qual o seu papel e que proximidade deverão ter relativamente ao board da empresa?
Matt Lewis – Embora as funções e as responsabilidades do CISO possam variar radicalmente em diferentes organizações, na minha opinião, o papel principal de um CISO é a gestão da Governança, dos Riscos e da Conformidade na organização e nos seus ativos de dados e de TI.
Os CISOs devem ajudar a operar o Sistema de Gestão de Segurança da Informação da organização com o objectivo de procurar constantemente a melhoria da maturidade cibernética, potenciada em grande parte por inspirar e incutir uma forte cultura de cibersegurança em toda a força de trabalho.
A importância da função do CISO nunca foi tão crítica, dado o mundo cada vez mais conectado em que vivemos e a contínua evolução da tecnologia e dos cenários de ameaças. Relativamente a este último aspecto, existe uma miríade de actores maliciosos que podem causar grandes disrupções ou até mesmo a aniquilação de um negócio através de ataques como ransomware, violação ou exposição de dados em massa ou negação de serviço.
Devido aos elevados níveis de ameaças de cibersegurança, é crucial que os CISOs estejam próximos ou até mesmo dentro do Board da empresa – cabe aos CISOs entender e expor com clareza ao Board os riscos enfrentados pela organização, garantindo o apoio de cima para baixo em termos de cultura e orçamento para ajudar a organização a reduzir riscos e manter níveis adequados de maturidade cibernética.
Considera que as questões da cibersegurança devem ser encaradas como algo estratégico para os negócios das organizações? Essa importância tem vindo a mudar? Como vê a evolução dessa importância nos próximos tempos?
As questões de cibersegurança devem ser geridas táctica e estrategicamente pelas organizações. Tacticamente para o curto prazo, já que o inevitável “apagar fogos” irá ocorrer em incidentes de segurança. Em termos de maturidade, isto deve ser visto como uma actividade BAU (Business-as-Usual) de oposição a algo inesperado ou fatídico.
Estrategicamente, as organizações devem melhorar a sua maturidade em cibersegurança de forma compatível com a tecnologia e os cenários de ameaças em constante mudança. Isto requer um bom entendimento do roadmap de tecnologia da organização e uma boa gestão de riscos e de governança em relação às futuras operações de negócio planeadas.
Já é crucial ser táctico e estratégico no pensamento e no planeamento de cibersegurança para permanecer dinâmico face às várias ameaças vindas de várias áreas, muitas das quais podem não estar sob controlo directo da organização, como a segurança das cadeias de fornecimento, por exemplo.
Quais serão os grandes desafios que os CISO terão de enfrentar nos próximos tempos?
Navegar nos cenários de ameaças e de tecnologias em contínua evolução será sempre um desafio para os CISOs e provavelmente vai aumentar devido à natureza conectada e em crescente desenvolvimento das redes e dos sistemas.
Além disso, a regulamentação e a legislação em constante mudança afectarão alguns sectores mais do que outros. Os CISOs que operam em sectores altamente regulados deverão encontrar mais desafios para manter uma operação eficaz e minimizar a fricção entre utilizadores e clientes, apesar das elevadas exigências em controlos de segurança, processos e requisitos de auditoria.
Um grande desafio para os CISOs será sempre o orçamento – convencer o Board da necessidade de investir em competências, formação, controlos de segurança, serviços de segurança geridos, etc. é uma tarefa difícil, pois a segurança não é um produto óbvio que pode mostrar valor directamente do ponto de venda – sendo a segurança um processo, é um verdadeiro desafio justificar por que esse processo precisa de investimentos constantes como parte de um mecanismo geral de redução de riscos.
Ao nível do NCC Group, por onde passa a sua aposta no mercado português? Que investimentos estão previstos para este mercado e por onde pretendem crescer em Portugal? Qual a oferta que têm hoje em Portugal? Contam com escritórios próprios no país? Está previsto o alargamento da equipa com novas contratações? Caso afirmativo, para que áreas?
Portugal é um país com um cenário recente de graves ataques a grandes corporações. Existe uma mudança de postura nas empresas para gerir os orçamentos limitados no ano de 2023, enquanto encontram a melhor forma de investir em ciber resiliência.
O NCC Group aposta no Cyber Security Improvement, um serviço à medida que transforma relatórios de segurança em programas de acções. Ao analisar os três elementos críticos de pessoas, processos e tecnologia, a nossa equipa de consultores de risco entrega um plano prático para lidar com ameaças específicas e a nossa equipa técnica trabalha com o cliente na implementação do plano, a priorizar as correcções de vulnerabilidades críticas identificadas.
Garantimos durante todo o processo que a equipa do cliente tem as competências necessárias para o sucesso a longo prazo, pois durante o projecto tem acesso a uma equipa multidisciplinar de especialistas em segurança de nível internacional que orientam e treinam as equipas dos nossos clientes para proteger os seus negócios e dados.
O NCC Group está a apostar também nos serviços de segurança geridos, especialmente o Microsoft XDR. Actualmente, não temos escritório em Portugal, mas temos uma equipa local com Gestores de Projecto, Pentesters e equipa de vendas. Está previsto nos nossos planos actuais o alargamento da equipa com novos consultores até ao fim deste ano, e prevemos também novas contratações para a equipa de vendas em 2024.
Se gosta desta notícia, subscreva gratuitamente a newsletter da Security Magazine.