Conversamos com Antonio Grimaltos, do Serviço de Segurança da Informação da Conselleria de Sanidad da Comunidad Valenciana, sobre a importância da implementação do Esquema Nacional de Segurança

Após a recente certificação da Sothis, com um estatuto elevado no Esquema Nacional de Segurança, conversamos com Antonio Grimaltos, Técnico do Serviço de Segurança da Informação da Conselleria de Sanidad Universal y Salud Pública de la Generalitat Valenciana. Anteriormente, entre outros cargos, foi Chefe de Secção de Sistemas da Confederação Hidrográfica do Júcar e Responsável de Segurança (2016-2018). O seu trabalho consiste em gerir incidentes de segurança, analisar os dados fornecidos pelas sondas IDS, coordenar as soluções para as vulnerabilidades e na implantação do ENS

Pergunta: Como foi o seu início no mundo da segurança da informação?

Resposta: O meu início não começou na universidade, já que não havia matérias responsáveis para falarmos de cibersegurança. E mais, estas não existiam na minha época, que sou da segunda edição do politécnico, nem acredito que exista agora. Penso que é uma falha a ser corrigida.

No meu caso, na Administração, nomeadamente na Agricultura, recebíamos relatórios por parte do CSIRT-CV em 2011. Graças a esta informação, começámos a ter noções sobre alguns aspetos em matéria de segurança, invasões, ataques, acessos não autorizados, etc.
Foi-me atribuída a tarefa de trabalhar na manutenção do cumprimento das boas práticas estabelecidas pela ISO 27002 e a seguir, foi formado o departamento de segurança da DGTI, no qual foi incluído.

P: Como viveu a evolução das tecnologias da informação?

R: No Twitter publiquei há pouco tempo: “Reconheço que sou um dinossauro”. Programei em Pascal, em Cobol, assisti à evolução do Visual Basic, etc. Considero-me uma pessoa com sorte por ter vivido toda esta evolução. É preciso ler, e muito. Devemos aprender todos os dias, já que em Tecnologias da Informação tudo muda a uma velocidade supersónica e, na cibersegurança, ainda mais.

P: Qual é que acha que é o Estado da Cibersegurança atual em Espanha? Existe um elo de ligação entre ENS, REGULAMENTO PIC, NIS, RGPD, etc?

R: O estado atual é bom. Exceto em casos pontuais, não há ataques em grande escala. Mas é importante salientar que uma empresa nunca reconhecerá o ataque, já que isso teria impacto na sua imagem e repercussão no seu prestígio. Mas, de um modo geral, está tudo bastante controlado.

Todos os regulamentos relacionados com Segurança da Informação (ENS, PIC, NIS, RGPD, LOPD-GDD) fizeram com que a aplicação obrigatória melhorasse o estado em que nos encontramos em matéria de cibersegurança.

P: As Administrações Públicas estão a adaptar-se corretamente ao ENS?

R: Se entendermos por adaptação que o último passo e final é a certificação, eu diria que não. Se, por outro lado, entendermos por adaptação ao ENS e a implementação de medidas, então sim. Embora não sejam auditorados, estão a ser implementados controlos de segurança.

P: No início da implementação do ENS, como delineou as primeiras reuniões?

R: As primeiras reuniões serão delineadas com o Conselho de administração ou com a Direção do Organismo. Deve ficar bem claro quais são as atribuições de responsabilidades. Se for feito corretamente, apenas devemos reunir-nos com os responsáveis das diversas “parcelas” estabelecidas. Esse é o princípio básico: determinar os interlocutores de quem assume que funções de cada domínio.

P: Em relação à proteção da informação, qual é o ponto mais fraco numa organização?

R: É sempre o erro humano. Mas, em cibersegurança, diz-se que é o utilizador e acaba-se por fazer pouco. Dever-se-ia sensibilizar mais. Com apenas uma formação de uma hora, soluciona-se muitíssimo numa organização.

Estamos em guerra. Os leitores podem perguntar aos seus firewalls, às suas proxis, aos seus antivírus, etc. É uma guerra das organizações contra quem se aproveitar das facilidades que oferecemos, podendo chegar a semear-se o caos. Quem ganhará a guerra?
A cibersegurança é um muro, responsável por proteger a ordem do caos. As pessoas em cibersegurança não são suficientes para travar os atacantes. Precisamos dos utilizadores para ganhar a guerra.

Se, por exemplo, consciencializar uma organização de 32.000 utilizadores de que quando recebem um email com um anexo de alguém que não conhecem devem enviá-lo diretamente para o lixo, acaba por criar um ambiente com 32.000 firewalls. Graças à ideia do Human Firewall livramo-nos de 32.000 dores de cabeça e, deste modo, consegue-se estabelecer o elo mais forte.

P: Quais considera serem os erros principais num Sistema de Gestão de Segurança da Informação?

R: Na verdade, um SGSI por si só não tem erros. Quem cria os erros são as pessoas. A manutenção do SGSI é essencial e por vezes esquecemo-nos disso. Na Administração, acho que esta é uma falha importante, já que, com as mudanças de pessoal ou rotações, o pessoal responsável por manter o SGSI corretamente depara-se com um mundo desconhecido. O SGSI é como um monstro que precisa de ser alimentado.

P: Que função tem para si a Análise de Riscos dentro do SGSI?

R: O AARR é um elemento-chave para comparar como evoluiu. O ponto culminante passa por dispor do seu inventário de forma adequada, deste modo os riscos são considerados de forma adequada. Um inventário atualizado, com as ameaças pertinentes, permite ver o que lhe pode afetar. Um inventário de ativos atualizado é fundamental.

P: Como vê o futuro do setor da segurança da informação no âmbito privado e público?

R: No âmbito privado bem. No público, é preciso que as Administrações Públicas levem a sério o tema da cibersegurança. Os postos de trabalho estabelecidos como exclusivos de segurança da informação são muito poucos.

Na medicina, por exemplo, a pediatria é uma especialidade. Existe uma grande variedade de postos que exigem uma especialização. Em cibersegurança, os postos são de informática, mas não é qualquer um informático que se pode dedicar a isto. Existem muitos postos de chefes, mas faltam perfis mais técnicos de cibersegurança. Ou seja, há muita gestão e falta de resposta. Deve-se mudar a perspetiva para não acabar num panorama negro.

Opinião dos especialistas

Em relação ao Esquema Nacional de Segurança, apoio a afirmação de Antonio de que é a ferramenta mais potente de que dispomos. E, trata-se de um conjunto de princípios e requisitos que poderiam ser exigentes no momento de implementá-los, quer seja pelas alterações operacionais que implica quer seja pelos recursos exigidos, mas que têm como consequência vários benefícios tais como, por exemplo:

• Implica a implementação de produtos de segurança certificados e qualificados.
• Permite uma gestão da segurança nas atividades diárias.
• Contribuiu para o cumprimento dos requisitos legais que sejam aplicáveis.
•Proporciona mais garantias aos cidadãos durante a utilização dos meios eletrónicos.

Depois de implementado o ENS numa organização, o principal objetivo de todo o SGSI, é automaticamente aplicável. Este objetivo passa por “conhecer o estado de segurança dos sistemas de informação”, e para isso é necessário uma estrutura documental e maturidade na organização que, perante uma auditoria, reflita um estado verídico, comparável e atualizado desta.

Embora seja verdade que a estrutura governamental implementada envolve para a entidade medidas de segurança, salvaguardas e outra documentação de apoio, a respetiva aplicação não é suficiente. É da responsabilidade da Direção transmitir esse conhecimento a todos os funcionários circunscritos no âmbito, proporcionando, assim, uma mais-valia à pirâmide organizativa.

Detetar e analisar as lições apreendidas de cada um dos processos, permite identificar novas necessidades no que diz respeito à segurança. Em relação ao futuro da segurança da informação nos setores públicos e privados, vejo uma grande evolução no primeiro setor em relação aos últimos anos. No entanto, não se deve cair no erro de entender que uma organização fica completamente abastionada através de um único projeto de segurança. A Melhoria Contínua é um processo transversal que implica constante inovação e renovação para nos tornarmos, como diz Antonio, em dinossauros.

Por isso, a partir da SOTHIS, como fornecedor de serviços de segurança às Administrações Públicas, e a cumprir o ponto 48 do Guia 830 ÂMBITO DE APLICAÇÃO DO ESQUEMA NACIONAL DE SEGURANÇA, reflete-se o evidente compromisso perante a Segurança da Informação, através da certificação obtida na categoria ALTA para os sistemas de informação que apoiam a prestação de serviços de Consultoria e auditoria em matéria de segurança da informação, cumprimento normativo e legal, gestão de riscos e formação; Serviços Geridos 24×7 de Monitorização, Operação, Administração de Sistemas, Comunicações e Centro de Atendimento a Utilizadores; Centro de Operações de Segurança (SOC); e Projetos e serviços geridos de Soluções de Cibersegurança.