Abordar o tema da cibersegurança está ao alcance de qualquer organização e, no caso das autarquias, até o mais pequeno município poderá fazê-lo. Quem o diz é Luís Lobo e Silva, managing partner da Focus2Comply, uma consultora especializada em Governance, Risk and Compliance. O especialista defende que estamos a entrar num “novo paradigma” em que a cibersegurança deve estar alinhada com as actividades das organizações. Além de uma maior segurança, abraçar esta nova realidade é também, uma “oportunidade para a requalificação” de recursos humanos, diz o responsável.
Tem mais de 20 anos de experiência nas áreas de cibersegurança e privacidade. Ao longo desse tempo, com que frequência as cidades têm sido tema?
Confesso que não tenho visto muito. Nos últimos anos, a cibersegurança, por si só, tem vindo a ser paulatinamente abordada e começa a tornar-se, efectivamente, um tema de preocupação, e até numa óptica de prevenção. A segurança, no seu mais amplo conceito, não está só na Internet ou no digital. Obviamente que o digital terá outras ferramentas e elementos, mas [em termos de segurança] muitos dos conceitos já existem; é só aplicá-los àquilo que é o digital. Confesso que gostava de ver as próprias organizações mais preocupadas com isso. Em Portugal, tenho ouvido muita coisa sobre projectos de cidades sustentáveis e há municípios que tomam isso em consideração, mas não tenho visto muito ao nível da cibersegurança para as chamadas sociedades sustentáveis ou cidades inteligentes.
Porque é que acha que isso acontece?
Talvez porque o próprio tema da cibersegurança seja ainda relegado para segundo plano e visto como acessório. Faço uma analogia com as próprias tecnologias de informação e comunicação (TIC): tivemos um [primeiro] estágio, a nível mundial, em que passámos para o digital e as pessoas começaram a utilizar ferramentas tecnológicas, como os computadores; depois, as organizações começaram a perceber que estas tecnologias tinham de passar a estar alinhadas com aquilo que é a estratégia do negócio das organizações. [Isto é,] A direcção de sistemas de informação ou de informática nas organizações deixou de ser um acessório, uma peça que configura computadores para a organização e pouco mais, e passou a ser algo – nomeadamente com as componentes das aplicações – que tinha de ser IT aligned to business. No caso, as organizações devem passar a entender o conceito de cibersegurança aligned to business.
Como se introduz aí a cibersegurança?
As pessoas associam muito a cibersegurança à tecnologia e talvez tenhamos de trazer a cibersegurança para esta nova realidade que é a cibersegurança alinhada com as organizações, com o negócio, ou, no caso das cidades, com as actividades. Acho que temos de passar também para este paradigma e entender que [a cibersegurança] é uma peça-chave naquilo que são as cidades do futuro – até porque falamos de ecossistemas que passarão a estar cada vez mais interligados entre si, de forma digital. Mais do que a tecnologia, a cibersegurança é algo que traz aspectos culturais que têm de ser discutidos e colocados em cima da mesa, a par de muitas outras situações – numa óptica de governance e de boas práticas, quer para quem está a conceber as infraestruturas, quer para quem está a utilizá-las. Julgo que terá de haver um momento em que a segurança tradicional e a segurança física – as forças policiais, as autoridades, por aí fora – vão ter de estar, de alguma forma, alinhadas com isto.
Faria sentido criar-se algum tipo de entidade a nível municipal que assegurasse a cibersegurança?
Não. Acho é que as autoridades municipais existentes têm de, porventura, passar a ter e acumular [esta] com outras competências. Haverá certamente uma área especializada, que os municípios já terão, uma vez que estão, neste momento, obrigados a isso por força do Decreto-Lei n.º 65/2021, aprovado há poucos meses, que aborda vários temas relacionados com a cibersegurança. Este diploma impõe às entidades públicas e a algumas entidades privadas, nomeadamente aquelas que são consideradas, no âmbito da directiva europeia NIS, operadores críticos – ou seja, entidades públicas ou privadas que possam pôr em causa a soberania do Estado –, a obrigatoriedade de um conjunto de procedimentos e de boas práticas de cibersegurança e de prevenção em termos de segurança digital e de gestão de segurança da informação. Essas áreas especializadas deverão, depois, ter uma estratégia também para sensibilizar e formar os agentes operacionais, que dão a cara e que estão diariamente no terreno, para que [os municípios] possam estar aptos.
“A ‘entidade municipal’ de cibersegurança é algo amplo, transversal ao município e que é responsável por salvaguardar a componente tecnológica e também por definir uma linha de acção e uma estratégia que tem de ser transversal, reforçada e sponsorizada pelos responsáveis autárquicos.”
Portanto, a cibersegurança é uma preocupação que deve estar em toda a estrutura municipal?
A “entidade municipal” de cibersegurança é algo amplo, transversal ao município e que é responsável por salvaguardar a componente tecnológica e também por definir uma linha de acção e uma estratégia que tem de ser transversal, reforçada e sponsorizada pelos responsáveis autárquicos, para que essas várias entidades operacionais possam, depois, adquirir competências, boas práticas, hábitos e condutas a definir.
Sabemos as dificuldades relativas à falta de recursos qualificados nestas áreas que existem nas autarquias. Isto pode ser um problema?
Do ponto de vista da necessidade de recursos, diria que há uma componente tecnológica, mas há também uma componente de processos e uma componente cultural. Na óptica da tecnologia e dos procedimentos, obviamente que são necessários recursos financeiros – e, nesta matéria, talvez o Plano de Recuperação e Resiliência (PRR) possa ajudar.
Nesse caso, as câmaras municipais têm de ir adquirindo recursos e competências tecnológicas – mesmo que a velocidades diferentes, o que tem a ver com os seus budgets, que estão obrigatoriamente relacionados com as suas dimensões. Mas, depois, existe também uma componente processual que depende muito de serviços de consultoria para ajudar a implementar um conjunto de boas práticas e de procedimentos que acompanhem a tecnologia e não só. Tendo uma estratégia de cibersegurança definida, com o backoffice, a tecnologia e as áreas especializadas, as competências e qualificações das pessoas, nomeadamente as [que têm funções] operacionais, são uma questão, sobretudo, cultural e de formação e uma oportunidade de requalificação profissional.
Do ponto de vista da qualificação, com excepção da de quem está a assegurar as infraestruturas tecnológicas, é isto que temos percebido enquanto promotores de um cluster de governance no ciberespaço, criado recentemente, e tendo dialogado com alguns parceiros especializados em psicologia comportamental que participam em projectos internacionais.
É possível, então, trabalhar com os recursos existentes?
Há aqui um conjunto de valências e de qualificações que são, de facto, importantes para definir estratégias, que, uma vez mais, têm de estar alinhadas com a tecnologia. Portanto, não depende só da tecnologia. Já na aplicação e naquilo que são os operacionais tradicionais, é uma questão de, obviamente, adaptá-los e de fazer essa requalificação.
O nosso entendimento, por força da experiência que temos no cluster e noutros fóruns, é que existe uma tendência para dizer que as pessoas estão desqualificadas porque já estão com determinada idade e estão muito habituadas a determinada profissão, mas essas são as pessoas que, nestas áreas comportamentais e que têm a ver com boas práticas e processos, são as mais facilmente adaptáveis, porque são pessoas que, até pela experiência de vida e desenvolvimento cognitivo, estão mais aptas para questões organizacionais e para aquilo que são as boas práticas e os processos. Por exemplo, os mais jovens, recém-licenciados, estão muito focados na tecnologia ou em temas demasiado técnicos, na teoria, e falta-lhes a componente organizacional.
Diria que isto é uma oportunidade para fazer requalificação. Aliás, é uma das coisas que este cluster defende: de facto, para além dos novos cursos, novas carreiras académicas e novos currículos que possam surgir, há aqui uma oportunidade para requalificação profissional de pessoas que já estão no mercado de trabalho.
Voltando aos municípios: não se trata, então, de um bicho de sete cabeças; qualquer município, até o mais pequeno, conseguirá abordar o tema da cibersegurança?
Consegue! Obviamente, cada um à sua dimensão, mas, do ponto de vista daquilo que são os mínimos dos mínimos, [é possível]. O Centro Nacional de Cibersegurança (CNCS) definiu, há uns dois anos, o Quadro Nacional de Referência para a Cibersegurança; é uma framework assente em referenciais internacionais e que define um conjunto de fases para chegar à conformidade com as boas práticas na cibersegurança. O CNCS tem também uma versão mais light, para organizações com menos capacidade de implementação de processos e de tecnologia, que é o Roteiro das Capacidades Mínimas para Cibersegurança.
Nestes mínimos, uma das coisas mais importantes é ter uma análise de risco, tal como acontece, por exemplo, na segurança tradicional. Mais uma vez, a cibersegurança não inventa. Por muito que algumas entidades e alguns agentes e players no mercado tentem inventar novos conceitos, até por questões comerciais e de marketing, os conceitos [base] já existem.
Obviamente que as necessidades são diferentes, mas não estamos a inventar a roda; só estamos a aplicá-los a novas realidades e a novos elementos que fazem parte deste ecossistema. Portanto, eu diria que qualquer entidade poderá fazê-lo, incluindo os municípios pequenos.
Qual deve ser o primeiro passo?
Começar por uma análise de risco é o mais importante. Identificar os activos de risco, do ponto de vista dos contentores de informação. Têm de ir à componente da tecnologia, obrigatoriamente; perceber como é que está a segurança da tecnologia, que arquitectura de redes é que têm, como é que esta está pensada do ponto de vista da tecnologia. Isto é algo que as áreas das informáticas e dos sistemas de informação dos municípios já farão. Depois, devem olhar à óptica daquilo que são as boas práticas para poder identificar onde é que estão os contentores de informação que têm de ser protegidos e salvaguardados.
“Eu não vejo isto como uma questão de alarme; tudo faz parte. Temos de saber gerir estas coisas com o devido bom senso e conscientes do que pode acontecer e do que temos a fazer. Tal como quando entramos num avião ou num carro estamos conscientes do que pode acontecer.”
Quanto mais elementos tecnológicos houver numa cidade, maior será o risco?
Mais vulnerável fica.
Qual seria o pior cenário?
O pior cenário já está colocado de forma implícita, a nível europeu, através da [Directiva] NIS e naquilo que são os requisitos para salvaguardar a informação, que é, no fundo, a soberania dos Estados. No caso de uma cidade, pode ser criado o caos, por exemplo, no fornecimento de água, de energia, etc. Pensemos nas cidades do futuro e aqueles cenários que víamos, até há alguns anos, com algum cepticismo na ficção e que, hoje, já percebemos que podem ser reais… Até os acessos podem ficar condicionados! Já é possível que uma pessoa entre numa unidade de saúde e tenha o seu cadastro médico alterado. Vamos pensar no caos: eu entro numa unidade de saúde para ser operado a um determinado problema e sou operado a outro, porque a minha informação foi adulterada por um ataque informático. Há filmes com isso, mas a ficção, hoje, já é possível.
Devemos ficar alarmados?
Eu não vejo isto como uma questão de alarme; tudo faz parte. Temos de saber gerir estas coisas com o devido bom senso e conscientes do que pode acontecer e do que temos a fazer. Tal como quando entramos num avião ou num carro estamos conscientes do que pode acontecer.
Existe oferta suficiente em Portugal para ajudar os municípios a responder a este desafio?
Diria que temos já algumas qualificações e alguns pares preparados para responder, sobretudo a nível tecnológico. Do ponto de vista da consolidação dos planos tecnológicos com as boas práticas e com as políticas de utilização e de operação nestas matérias, diria que não há assim tantas. Há muitas entidades a dizer que fazem – no LinkedIn, todas são entidades especialistas em RGPD e em cibersegurança, mas a cibersegurança é um universo. No nosso caso, o posicionamento da Focus2Comply é muito focado em governance, em conformidade, isto é, tudo o que tem a ver com boas práticas, processos e standards reconhecidos internacionalmente. Temos um ADN tecnológico, não para estar na operação da tecnologia, mas para entender e poder fazer consultadoria numa óptica de 360º.
A nível nacional, haverá trabalho a fazer nesse campo.
Há um caminho a fazer, sim. Já foi identificada a necessidade de o mercado ter uma chancela que ajude os clientes – que podem ser entidades públicas – a identificar determinada empresa prestadora de serviços como uma entidade adequada ou que, pelo menos, tem um conjunto de requisitos para poder ajudá-los. De facto, hoje, todos são entendidos e há esta dificuldade.
Nós somos fornecedores de empresas de consultoria que estão no naipe das big four conhecidas internacionalmente, no entanto, somos uma empresa de nicho, muito focada em determinadas coisas. Nós dizemos que somos uma boutique de serviços, e entendemos que a cibersegurança é tão ampla que deve haver gente especializada para cada um desses nichos. Nesta área, quando as empresas tendem a ser generalistas, corre mal.
Olhando para o que poderá ser o papel do cidadão e relacionando com a tal questão comportamental, haverá alguma conduta que as pessoas devam ter, no que diz respeito aos seus dados que estão “ligados” à cidade, que possa contribuir para que o ciberespaço seja mais seguro?
Eu penso que sim. O cidadão é uma peça importante aqui, até porque este passa a ser um utilizador, à semelhança do que acontece nas organizações, em que um colaborador pode ser a porta de entrada para os sistemas da organização, ainda que inadvertidamente, porque a sua máquina ou e-mail foi hackeado e daí conseguiram entrar nos sistemas da organização.
[Ao ser um utilizador da cidade,] O cidadão passa a ter acesso, com as suas credenciais, a determinados serviços que estão alojados numa infraestrutura num ecossistema. O utilizador/cidadão tem de estar consciente e deve ser sensibilizado, à semelhança daquilo que já se tenta fazer relativamente aos seus próprios equipamentos, às formas de utilizar o telemóvel ou o computador em casa, à forma como se interage com uma smart TV, etc. Há que continuar essa sensibilização.
Como isso pode ser feito?
A questão, uma vez mais, é a consciencialização do cidadão para este tipo de situações, quer para si próprio, do ponto de vista dos seus dados e dos equipamentos que usa, quer do ponto de vista de agente ou de elemento que participa neste ecossistema.
O CNCS tem tido aqui um papel de promotor de boas práticas e tem já alguns workshops gratuitos para o cidadão. Depois, eventualmente, há que implementar políticas, extrapolar aquilo que são, ou que foram no passado recente, algumas iniciativas do CNCS com alguns municípios, no âmbito escolar. Há cerca de dois anos, houve uma dinâmica [nesse sentido] nas escolas do primeiro ciclo, porque os miúdos hoje têm acesso e navegam com muita facilidade em computadores e noutros dispositivos.
Diria que é quase como uma formação de cidadania para começar também a incutir [o tema da cibersegurança] nos nossos jovens desde o primeiro ciclo. Esse trabalho já foi feito num passado recente nalgumas escolas básicas de alguns municípios. E, se calhar, tem de ser estendido a uma escala nacional.
Neste momento, está a ser desenvolvida uma Estratégia Nacional de Smart Cities. Como é que estas questões deveriam constar neste documento?
O que eu posso dizer em relação a isso é reiterar que muito do que possa ser a prevenção em matéria de cibersegurança já existe – já existem várias ferramentas, sejam tecnológicas, sejam boas práticas para implementar nas organizações, nas cidades, o que seja – e que, obviamente, uma estratégia nacional para as smart cities deverá obrigatoriamente reflectir aquilo que já existe do ponto de vista da segurança. É uma questão de adoptar e de incluir as entidades que hoje já estão envolvidas com esses mesmos temas nessa estratégia nacional.
Este artigo foi originalmente publicado na edição nº 34 da Smart Cities – Janeiro/Fevereiro/Março 2022, aqui com as devidas adaptações.