/
 
Lisboa
Edifício Ramazzotti
Av. do Forte, Nº 6 - Piso 2
2790-072 Carnaxide
e-mail: dci@cesce.pt

Porto
Av. Sidónio Pais, 379
4100-468 Porto
e-mail: dci@cesce.pt

Contactos:
Tel: +351 21 302 55 00
Fax: +351 21 302 55 10

"Empresas precisam de estratégias de segurança proactivas e integradas"

O Director de Desenvolvimento de Negócio de Infra-estruturas e Serviços da CESCE SI, Pedro Vieira, respondeu a algumas questões colocadas pelo Jornal 'Semana Informática', para um artigo que foi publicado em Janeiro, numa edição especial sobre Segurança (Semana nº 1052 de 20 a 26 de Janeiro de 2012). Leia a entrevista dada pela CESCE SI na íntegra:


Em época de crise económica existe o risco mais agudo das empresas/entidades públicas reduzirem o investimento em segurança e na gestão de risco?
Pedro Vieira: Efetivamente, se até ao presente as questões relacionadas com a segurança nas tecnologias de informação e comunicação e o seu impacto no risco das atividades das organizações não mereciam em muitos casos a prioridade nos investimentos realizados, é bem provável que no atual cenário de contração esse tipo de projetos sejam preteridos.

Perante as crescentes ameaças acredita que o cidadão comum tem razões para estar preocupado com a segurança da sua informação ?
PV: Pelos diversos casos que têm sido alvo de notícias, parece evidente que os cibercriminosos dispõem de ferramentas cada vez mais sofisticadas e realizam ataques cada vez mais arrojados, visando tanto organizações públicas como empresas privadas que têm na sua posse vários tipos de informação pessoal e confidencial dos cidadãos. Nesse sentido, parece haver razões para preocupação, pois também não sabemos em que medida essas organizações e empresas dispõem dos mecanismos (processos, soluções tecnológicas, etc...) que permitam garantir a segurança dessa informação, protegendo-se das novas ameaças, nem creio que esteja feito algum tipo de avaliação global da situação.

Qual é a maturidade das empresas portuguesas em relação a questões de Security & Risk Management?
PV: Em linha com a resposta dada à primeira questão, genericamente a maturidade ainda é relativamente baixa, tendo as empresas apenas assegurado o essencial da proteção da sua informação e sistemas de negócio. Obviamente que se verifica uma assimetria em termos de mercado, pois normalmente as grandes empresas na área do sector financeiro (banca, seguros), telecomunicações e serviços de TIC estão mais avançadas que as empresas do sector industrial ou comercial, por exemplo.

Quer comparar com o cenário internacional de países mais desenvolvidos?
PV: Há vários estudos internacionais que comparam a situação da segurança das TIC e que revelam o atraso de Portugal nessa matéria, sendo que também, culturalmente, há tendência para se menosprezar a gestão do risco, exceto nos casos mais evidentes. Por exemplo, num país que comporta riscos naturais conhecidos (sismos, inundações, etc..), muitas empresas não dispõem dum plano de contingência que lhes permita garantir a continuidade das suas operações e negócios numa ocorrência que afete os seus serviços.

Há uma grande diferença entre PMEs e médias e grandes empresas?
PV: Em linha com o que já disse anteriormente, as lacunas detetadas são mais evidentes nas PME do que nas grandes empresas, onde por via de uma melhor formação e especialização dos profissionais e decisores nesta área, e também de uma maior capacidade de investimento, já se encontram implementadas medidas associadas à segurança e gestão do risco no negócio e nas TIC.

E como classificaria a maturidade das entidades públicas?
PV: Tal como se passa com as empresas privadas, também nesta área a dimensão influi na forma como esta problemática é abordada. Embora Portugal seja reconhecidamente um dos países líderes na adoção da administração eletrónica e no providenciar via internet dos mais diversos tipos de serviços aos cidadãos, muitas vezes a forma como esses serviços são disponibilizados ainda não segue as melhores práticas de segurança.

Com a proliferação de equipamentos móveis e as crescentes solicitações externas (de redes sociais sobretudo) acredita que as empresas devem definir "perímetros de segurança" e zonas restritas nas suas redes para proteger as infra-estruturas críticas? Como podem fazê-lo?
PV: É uma questão crítica e essencial, tanto na perspetiva da segurança como da produtividade, pois se por vezes se justifica o uso profissional das redes sociais, e deste modo não se deve barrar totalmente o seu acesso, também é verdade que se deve limitar o tipo de atividades que aí se podem desenvolver. Através da definição de processos e metodologias ao nível da gestão das redes e da segurança, e adoção de soluções de controlo de acessos e de conteúdos poderá ser esta questão endereçada. O mesmo se aplica ao uso de dispositivos móveis (smartphones, tablets, etc...) em que muitas vezes se mistura o uso profissional e pessoal/lúdico. Neste caso devem ser definidas políticas de uso e, por exemplo, restringir a utilização de software não autorizado ou a ligação do dispositivo a determinadas redes ou sistemas de modo a reduzir o risco que esses dispositivos podem comportar.

A recente onda de ataques de "hacktivistas" fez com que as empresas ficassem mais alerta para as questões da segurança e da gestão de risco?
PV: Tal como já foi antes referido noutras respostas, tudo o que se passa a este nível e é alvo de divulgação massiva nos media, por vezes até com exagero e elevado grau de sensacionalismo, contribui para despertar a atenção para a problemática da segurança das TIC e os riscos associados, seja ao nível das atividades das empresas ou da sua imagem pública. Nesse sentido, mesmo descontando algum alarmismo que estas situações poderão ter gerado ao nível do cidadão comum, estes factos acabam por contribuir positivamente para uma maior consciencialização de quem tem responsabilidades nestas matérias.

Quais são os principais conselhos que deixaria às empresas para gerirem de forma mais eficiente a área de segurança e gestão de risco?
PV: O essencial é perceber que a gestão do risco e da segurança deverá ser entendida como parte essencial de todos os processos de negócio, e deste modo essas preocupações deverão estar presentes em todas as decisões que se tomem, seja ao nível dos processos como das TIC. Uma vez definidos os requisitos de segurança e gestão do risco, e as prioridades associadas a cada situação ou projeto, deverão ser avaliados os serviços e soluções tecnológicas que se poderão adequar, sempre numa lógica de redução de custos e aumento da eficiência dessas áreas, tendo em consideração que não é fácil associar às mesmas a avaliação do retorno dos investimentos feitos, a menos que as empresas tenham uma quantificação precisa e rigoroso dos custos associados a cada risco identificado que tenha sido coberto pela adoção de soluções ou serviços especializados.

Quais devem ser os principais critérios na tomada de decisão para investimentos nesta área?
PV: Em linha com a resposta anterior, o essencial é ter-se a clara perceção do risco associado a cada processo de negócio, se possível quantificado em todas as sua variáveis de modo a que se possam justificar devidamente os investimentos a realizar.

Quais são as vossas soluções nesta área? Focam-se mais na implementação de soluções de software ou fazem também consultadoria em gestão de risco e formação a equipas e auditoria? Trabalham em parceria com outras empresas nesta área?
PV: A nossa oferta passa por serviços de consultoria e auditoria nas áreas referidas, com o objetivo de ajudar os nossos clientes a melhorar a segurança das suas TIC e reduzir o risco dos seus processos de negócio. Nesta área concreta temos parcerias com empresas que disponibilizam ferramentas que permitem automatizar a gestão de processos, como por exemplo a Sungard Availability Services para a gestão da continuidade de negócio ou a Modulo GRC para a gestão de risco ou compliance. Para além disso, temos uma oferta diversificada de soluções tecnológicas de segurança, sustentadas em parcerias com fabricantes líderes no mercado, que nos permitem atuar na área de integração de soluções, através do seu dimensionamento, fornecimento, implementação e suporte. Por fim, dispomos ainda de uma oferta de serviços de gestão de segurança que permitem às empresas reduzir o risco do seu negócio através da externalização dessa gestão para recursos técnicos especializados, permitindo-lhes focar-se nos processos "core" da sua atividade.

Artigo do Jornal 'Semana Informática' aqui





voltar 
Informação Corporativa CESCE SI

A CESCE SI é uma companhia especialista no desenvolvimento de soluções tecnológicas para infra-estruturas de armazenamento e de segurança, serviços de gestão e consultoria. Com mais de 25 anos de existência, a CESCE SI tem mais de 200 clientes em Portugal e em diversos países de Língua Portuguesa, nos mais relevantes segmentos de mercado, como financeiro, segurador, telecomunicações, distribuição, indústria e administração pública.

A CESCE SI está integrada no Grupo SIA, conta em Portugal com uma equipa de 55 pessoas, e está localizada em Lisboa e no Porto.

Para mais informações, visite o nosso site em: www.cesce.pt

Ccontacto:
Departamento de Comunicação e Imagem
CESCE, Soluções Informáticas, S.A.
dci@cesce.pt
Tel. +351 21 302 55 00
Fax. +351 21 302 55 10
® CESCE, Soluções Informáticas S.A. | Suporte Técnico