BRANDS' ECO “Não é se, mas quando uma organização vai sofrer um ciberataque”

A Digital Operational Resilience Summit (DORS) está a decorrer hoje em Lisboa e reúne especialistas nacionais e internacionais para debater os grandes desafios da cibersegurança. A iniciativa, promovida pela NOS, surge num momento em que regulamentações como o DORA e a diretiva NIS2 estão a impor novas exigências às organizações, obrigando-as a reforçar processos, tecnologias e estratégias de proteção digital.

Com foco na resiliência operacional, o evento apresenta conferências e workshops dedicados a temas como third-party risk, Zero Trust, ransomware e governação em conformidade com as normas em vigor. Um espaço de debate e partilha que procura aproximar empresas, fabricantes tecnológicos e especialistas de implementação em torno de soluções práticas.

Para perceber a importância desta conferência e os objetivos que a NOS quer alcançar, conversámos com Manuel Ramalho Eanes, Administrador da NOS, que sublinha o papel do DORS como ponto de encontro para elevar a maturidade de cibersegurança das organizações em Portugal.

O que motivou a NOS a organizar o DORS e quais são os principais objetivos que pretendem alcançar nesta edição?

O DORS é uma conferência centrada em resiliência operacional digital, na vertente de cibersegurança e segurança de informação. As exigências são cada vez maiores, e muitas organizações precisam de apoio em saber como atingir os níveis de maturidade exigidos nesta questão. A NOS, na sua missão de ser o parceiro de cibersegurança das organizações portuguesas, entendeu que faltava um espaço de conhecimento e de debate no cruzamento da cibersegurança e compliance. Daí ter nascido esta iniciativa nacional.

Como espera que o DORS contribua para esclarecer o papel de regulamentações como o DORA e a diretiva NIS2?

Mais do que esclarecer o papel, porque as normas estão em vigor e o tema é regularmente debatido nos meios de comunicação, o DORS assenta numa visão prática de como utilizar as tecnologias de cibersegurança de última geração complementadas com políticas, processos e procedimentos, sempre alinhadas com os referenciais de mercado, para endereçar os requisitos obrigatórios. É um dia repleto de conhecimento e debate com especialistas de infraestruturas críticas, com os maiores fabricantes globais, e com os especialistas de implementação.

De que forma o público presente no evento poderá beneficiar dos debates e workshops previstos no programa?

Os participantes poderão adquirir conhecimento essencial pelas conferências de especialistas nas várias áreas e organizações e pela interação com pares para debater ideias e desafios.

Entre os temas anunciados — gestão de risco de terceiros (third-party risk), governação segundo o DORA/NIS2, Zero Trust, resiliência contra ransomware — qual considera que será o mais desafiante para as organizações portuguesas e porquê?

Qualquer dos temas é pertinente, mas depende de onde as organizações sentem maiores necessidades. Por exemplo, entender como endereçar determinados requisitos obrigatórios para cumprir o NIS2 ou o DORA, ou elevar as defesas e a preparação contra ransomware, que continua a ser a principal ciber ameaça das organizações.

Que iniciativas ou práticas já se destacaram (ou estão a ser preparadas) dentro da NOS para se alinharem com os requisitos de resiliência operacional digital exigidos pelo DORA e NIS2?

A NOS encara positivamente o surgimento destes regulamentos, que irão decerto aumentar a resiliência da organização, quer por via direta, quer indireta pelo efeito na cadeia de abastecimento. Desde a publicação das diretivas, existe um grupo de trabalho multidisciplinar dedicado a estes regulamentos.

Tal como acontece noutros regulamentos ou certificações, os requisitos foram avaliados e mapeados na estratégia de Cibersegurança do grupo. Esta estratégia tem prioridades claras com base em risco, tendo em conta a evolução das ameaças e a maturidade dos controlos de segurança. Tratando-se de regulamentos, existe também risco regulatório, que se pode traduzir em impacto operacional, estratégico ou financeiro, que estão a ser igualmente endereçados.

No contexto de incidentes de cibersegurança crescentes, como é que a NOS vê o papel da inteligência artificial, machine learning ou outras tecnologias emergentes no reforço da deteção e prevenção de ameaças antes e depois de outubro?

A Inteligência Artificial está a ser amplamente utilizada por agentes de ameaça, para tornar mais eficazes os vetores de ataque como por exemplo phishing ou a exploração de vulnerabilidades zero day. Também a própria adoção da IA vem trazer novos riscos que têm de ser endereçados. Existem novas abordagens de defesa que fazem uso da IA para mitigar estes riscos, e neste dia vamos ter os mais referenciados fabricantes globais a demonstrar as últimas inovações.

Para além do aspeto normativo, que incentivos tecnológicos e de investimento (internos ou externos) serão discutidos no DORS, de modo a que as organizações consigam implementar as mudanças exigidas sem comprometer operações ou competitividade?

Acima de tudo as organizações devem entender que esta é uma oportunidade única para elevar a sua maturidade de cibersegurança, seja porque já existe essa preocupação da gestão que os ciber riscos são os riscos mais críticos a endereçar, seja por via regulamentar por obrigações especificas para os órgãos de gestão.

Que mensagem gostaria de deixar às empresas portuguesas que ainda veem resiliência digital como algo opcional, em vez de como parte essencial da sua estratégia de negócio?

Na comunidade de cibersegurança há um ditado que diz “não é se, mas quando uma organização vai sofrer um ciber ataque”. As tecnologias têm um papel muito importante, mas a ciber resiliência atinge-se também pelo grau de preparação das organizações para continuar a operar em caso de um ciber ataque. É importante para proteger o negócio, a marca e as pessoas da organização. É um exercício de cidadania corporativa e de respeito pela confiança de clientes e parceiros nas nossas organizações.