“Não pode haver Cibersegurança, sem Ciber-Resiliência”

“A resiliência é a capacidade de sobreviver ou minimizar o impacto num incidente. A cibersegurança, pode impedir ataques a um sistema, mas se este não tiver a resiliência suficiente, quando um ataque for bem-sucedido, o sistema irá falhar”, revela João Manso, CEO da Redshift Consulting, que, numa longa entrevista à Revista Pontos de Vista, abordou diversos pontos a ter em conta no que concerne à Cibersegurança em Portugal e no universo empresarial, sem esquecer o conceito da Ciber-Resiliência.

1680

Sabemos que a Redshift Consulting é uma marca presente no mercado há mais de dez anos, e que atua em diversas áreas, – banca, saúde, telecomunicações, transportes, – tendo assim um crescimento exponencial e de relevo. Qual é o segredo para todo este sucesso, ainda que o país esteja numa fase difícil a nível económico e social fruto das vicissitudes provocadas pela pandemia? O que distingue a Redshift Consulting das restantes marcas?
A marca Redshift e não apenas a empresa Redshift Consulting, identifica-se no mercado pela inovação, capacidade e qualidade das soluções que representa e mais ainda pela qualidade de serviço e profissionalismo diferenciador que os nossos técnicos garantem e que é reconhecido pelos clientes. Nestes 18 meses de pandemia, nós decidimos por nós, com alguma ajuda do estado e da banca, reinvestir em novas soluções, criar serviços inovadores, alargar a nossa equipa e dar-lhe condições quer de infra-estruturas quer de formação, tornando-a mais forte. Isto permitiu-nos na fase inicial difícil com a economia totalmente parada e dedicada quase exclusivamente à saúde e apoio social, continuar a operar normalmente com recurso à capacidade financeira que tínhamos conseguido consolidar e com um planeamento atempado e coordenado entre a nossa equipa diretiva e os clientes, para não ter quebras significativas de negócio. Passada a fase inicial, retomámos os nossos planos, agora mais restritos a Portugal, e continuamos a crescer. Retomámos o plano de expansão internacional para os PALOP e Espanha. Com muito esforço e dedicação da equipa de gestão, administrativa e operacional conseguimos entrar na pandemia a crescer e estamos a sair da pandemia a crescer ainda mais. Entrámos com 49 colaboradores, estamos agora com mais de 70, terminamos 2020 a crescer dois dígitos e estamos a terminar 2021 com um muito forte investimento, mas ainda assim a crescer outra vez acima dos 20%. No mercado da Cibersegurança o crescimento onde tivemos o maior investimento de sempre em pessoas e infra-estrutura, estamos com crescimento a rondar os 40%. E a juntar a isto e para aumentar ainda mais a confiança dos nossos clientes e parceiros, fizemos um extraordinário esforço de normalização e certificação da empresa no âmbito total e estamos a terminar a certificação de toda a operação em ISO 9001:2015 e ISO 27001:2013, com um sistema de gestão de Segurança de Informação, Qualidade e Privacidade, robusto e com uma estrutura dedicada à sua sustentação. O que nos distingue é todo este investimento em qualidade de serviço e dedicação ao cliente e à inovação.

O objetivo da Redshift Consulting passa por se tornar uma referência em Redes de Dados, Segurança da Informação, Gestão da Informação e Consultoria Ágil de Desenvolvimento de Software Empresarial no mercado português, dando apoio aos clientes na escolha e implementação das melhores soluções neste sentido. Porque é que a cibersegurança é cada vez mais importante, não só para o universo empresarial como para a generalidade das pessoas? Considera que as tecnologias podem realmente tornar-se perigosas se não lhes dermos o devido acompanhamento ao nível da segurança?
A segurança é um fator importante em todas as áreas de atividade. É a forma como temos de definir que modelos devemos ter em conta para gerir o risco, introduzindo os processos e a tecnologia necessária, para que o risco seja reduzido, minimizado, mas acima de tudo monitorizado e controlado. Em Cibersegurança é exatamente o mesmo. Tudo o que é tecnológico e principalmente tudo o que comunica ou que está exposto pode ser atacado. A cibersegurança, sendo a segurança aplicada ao mundo cibernético, são os métodos, processos, pessoas e tecnologia aplicada em defender os sistemas das ameaças à sua integridade, disponibilidade e confidencialidade, garantindo que estes continuam ao serviço de quem deles necessita. A Redshift implementa desde o seu início o lema de “Security by default” em todos os modelos e implementa esforços continuados para que todos os seus clientes percebam a necessidade de investir em cibersegurança (ou segurança de forma genérica) para defender e reforçar a maturidade de todos os seus processos e modelos de negócio, seja no desenvolvimento de aplicações (desde o seu desenvolvimento e durante todo o seu ciclo de vida e de forma continuada e sistemática), seja na proteção da informação nos processos de transformação digital, seja na proteção dos seus processos de produção. Hoje temos o governo a falar e a dedicar recursos para investir na transformação digital do país. Agora, finalmente, com a cibersegurança como um dos temas essenciais, a Redshift tem tido uma ação consultiva para auxiliar os clientes a implementar essa transformação segura, ou a corrigir a transformação mal implementada há mais de cinco anos. Todos os desenvolvimentos tecnológicos necessitam de modelos de segurança, para que possam ser utilizados corretamente. A Inteligencia Artificial e o Blockchain são áreas de intervenção, também elas e principalmente elas, da cibersegurança, para que esta esteja presente e possa tirar partido também destas novas capacidades e conhecimento, desenvolvendo novas tecnologias que possam estar a par da necessidade de segurança de novas soluções que apareçam no mercado.

Sabemos que as pequenas e médias empresas (PME) estão tão ou mais expostas quanto as grandes empresas, principalmente pela falta de recursos especializados na hora de lidar com a segurança digital (ou a falta dela). Quais são as maiores dificuldades que as PME encontram no que concerne à cibersegurança?
As PME são atualmente o principal problema para a cibersegurança, pois as suas fragilidades, são utilizadas como o elo mais fraco nas cadeias de abastecimento e na capacidade de penetrar nas defesas das grandes empresas.
A Redshift, muito embora não tenha no seu modelo trabalhar para PMEs, pois isso requeria um esforço muito maior do que a sua capacidade permite, tem desenvolvido ao logo dos últimos anos um conjunto de atividades para ajudar a identificar, enquadrar e melhorar a maturidade das PMEs. Temos de forma continuada comunicado esta extrema fragilidade do nosso tecido empresarial e sempre que possivel, junto de instituições do estado, demonstrar a preocupação e apoiar atividades que possam contribuir para a visibilidade do problema e instigar o estado a desenvolver políticas que possam trazer melhorias. Junto das empresas nossas clientes, tipicamente grandes empresas e o estado, mostrar o risco de exposição à fragilidade das PME do seu tecido operacional, e apresentar opções para as ajudar a reduzir o risco, mas acima de tudo identificar as suas fragilidades de forma que possam ser intervencionadas, ou instigadas a investir na sua maturidade. Nos últimos dois anos, a Redshift juntou-se a um conjunto de pessoas e empresas (PME) que desenvolveram um projeto de Cibersegurança para PME a nível europeu. Um projeto ambicioso e inovador que pretende criar um modelo para aumentar a maturidade de cibersegurança das PME em rede, com tecnologias inovadoras, de forma dedicada, mas acima de tudo tendo em conta um modelo financeiro adaptado à capacidade das PME, evitando ao máximo impor um esforço financeiro desequilibrado. Este projeto está na sua fase inicial de lançamento e financiamento e achamos que será algo muito importante para as PMEs, para as grandes empresas, mas também para os países. Estamos obviamente muito alinhados e associados ao esforço que o estado e principalmente o CNCS tem feito nesta área.

As tecnologias de informação estão profundamente enraizadas na vida de todas as pessoas, como também na vida profissional das mesmas. E por isso é que a Redshift Consulting se torna essencial, para que as empresas consigam estar preparadas para lidar com ameaças desta natureza. Para si, o que vem em primeiro lugar no mundo empresarial: a Ciberseguranca ou a Ciber-Resiliência? O que as diferencia e o que as une?
Nada consegue ser seguro se não for resiliente. Por isso não pode haver Cibersegurança, sem Ciber-Resiliência. São duas características de qualquer modelo que se pretende que tenha a maturidade necessária para estar exposto a qualquer tipo de ameaça, seja ela um ciberataque, uma falha ou um erro, seja de tecnologia, seja humano. A resiliência é a capacidade de sobreviver ou minimizar o impacto num incidente. A cibersegurança pode impedir ataques a um sistema, mas se este não tiver a resiliência suficiente, quando um ataque for bem-sucedido, o sistema irá falhar.

Porque é que a ciber-resiliência se tem tornado cada vez mais importante? E de que forma é que o universo das PME podem melhorar a sua Ciber-Resiliência, de maneira a livrarem-se da falta de segurança a que estão habitualmente expostas?
A Ciber-Resiliência como conceito, é ter um sistema, infra-estrutura ou organização, preparada para sobreviver a ou, de forma mais genérica, a ameaças que se possam concretizar, através da sua exposição ao mundo cibernético, por utilizarem comunicações, mais ou menos abertas. As PMEs ou qualquer organização por maior que seja, estando exposta, não consegue “livrar-se” da falta de segurança, mas todas conseguem investir em melhorar a segurança, reduzindo ao máximo a “insegurança” (o risco). As PMEs podem melhorar, se tiverem a capacidade de investir de forma direcionada e adequada à sua dimensão e operação na segurança que mais impacto tenha em reduzir o seu risco, as suas fragilidades, e apoiar a sua melhoria de resiliência e capacidade de impedir, detetar e responder a um incidente. Tudo começa em ajudar as PME a conhecerem melhor os seus problemas, ajudar a prioritizar a sua mitigação, dar-lhe visibilidade e os mecanismos de apoio a que possam recorrer com maior facilidade. Basicamente não deixar que elas fiquem perdidas no meio do oceano no meio da tempestade, sem saber que têm um problema, saberem o que fazer e a quem pedir ajuda.

A Redshift Consulting detém uma equipa altamente especializada em áreas como Comunicação e Tecnologia da Informação, Segurança da Informação e Gestão da Informação. Considera que o facto de ter um leque de profissionais com toda esta especialização e experiência, faz toda a diferença no momento de realizar um trabalho exímio e de excelência no contacto com as empresas? De que forma?
As empresas como a nossa são principalmente as pessoas que a compõem. A Redshift é o resultando da fórmula que multiplica o somatório da capacidade da equipa, pelo somatório do seu profissionalismo e elevado ao valor mínimo da ética dos elementos da sua equipa. Por isso temos que trabalhar em contínuo na promoção da capacidade da equipa, do seu conhecimento e potencial, mas também temos que cultivar e promover a melhoria constante das pessoas da equipa, das suas softskills, e manter um nível elevado de formação, acompanhamento e monitorização pois uma qualquer quebra de ética pode levar ao colapso total do mérito obtido pela organização como um todo. Por isso, investimos sempre nas pessoas, na sua capacidade, satisfação e disponibilidade. Os nossos profissionais são dos melhores que se podem encontrar, não só em Portugal, nas suas áreas de atuação. Nós temos a confiança como equipa que conseguimos enfrentar qualquer desafio com a segurança necessária de que iremos atingir os objetivos. É essa confiança que tem permitido aos nossos clientes, manterem-se nossos clientes e reconhecerem a nossa capacidade de entrega.

É inevitável abordar o assunto mais falado dos últimos dois anos. Sabemos que a pandemia da Covid-19, infelizmente, afetou um pouco todas as áreas. Que impacto é que esta pandemia aportou à Redshift? Uma vez que todas as empresas tiveram que começar a lidar ainda mais com as tecnologias, houve uma maior procura por parte das mesmas no sentido de garantirem uma maior segurança nos negócios e gestão dos mesmos?
Passados 18 meses, pode dizer-se que o caos inicial, dos primeiros seis meses, que se notou de forma transversal nas empresas públicas e privadas, se calhar muito mais do que seria aceitável, mas infelizmente não de forma inesperada, está agora a transformar-se, lentamente, num esforço em resolver problemas antigos para ultrapassar dificuldades do presente. O problema é que parece que está tudo a achar que o futuro será diferente (ou seja, que isto já não se vai repetir) e por isso não estão a fazer o esforço de forma metódica para se conseguir resistir a eventos similares. A Redshift reagiu e preparou-se antecipamente e por isso conseguimos não só reduzir o impacto como crescer. O investimento na preparação da resposta para a retoma foi o ponto mais importante.

Considera que a eficiência do trabalho da Redshift Consulting, aliado ao menor custo nas operações e a conformidade com as normas de Privacidade e Segurança de Informação, faz com que cada vez mais as empresas procurem este tipo de “apoio”? Atualmente a mente dos líderes das empresas já permite aceitar que vivemos num mundo onde a segurança tem que estar no topo das prioridades na hora de gerir uma empresa?
É importante uma empresa de cibersegurança demonstrar que cumpre, internamente, de forma alargada, as normas internacionais para a Gestão de Segurança de Informação e Privacidade, assim como as de qualidade. A Redshift está a associar essa característica às suas capacidades, demonstrando a todos os seus clientes e aos novos clientes, que pode contar com uma empresa preparada e gerida de acordo com as mais exigentes normas. Isto dá confiança aos gestores/líderes das empresas que nos avaliam, para sermos ou continuarmos a ser parceiros.
Nas empresas portuguesas a aceitação da cibersegurança como uma necessidade e principalmente como um investimento, ainda é muito frágil. Temos visto uma melhoria de perceção, mas muitos ainda consideram a cibersegurança como um custo, que em alguns casos nem se compara a um seguro… depois vemos o discurso do desespero quando a tempestade os ataca e nem seguro, nem preparação para a tempestade.
Continua a faltar muito para que os líderes e gestores, na sua generalidade e o ideal seria a maioria, deixarem de olhar para a cibersegurança como uma “chatice” necessária, mas como um fator de conetividade e de reconhecimento no mercado de que os seus serviços/produtos foram e estão desenhados com a segurança em mente e que não irão ser postos em causa por causa de uma pequena perturbação que poderia ser evitada.
Mas algumas empresas, mais empurradas pela regulação e em alguns casos pelas leis, começam a incluir, em esforço, a cibersegurança e a segurança de informação genericamente, como um fator critico para o negócio, desde o início. Essas, são ainda poucas, mas são um exemplo a seguir.
Temos algumas, poucas infelizmente, que são recentes e já incluíram a cibersegurança no desenho do negócio e na estrutura da empresa, desde a sua génese. Estas são o exemplo de excelência.
Mas ainda existe um deserto de ideias e uma cegueira muito grande, nas empresas e em algumas áreas do estado.

A Redshift tem a sua atividade repartida em duas empresas: A Redshift Consulting e a Redshift II Solutions. Estas duas empresas atuam em conjunto? O que as diferencia?
A Redshift Consulting é a empresa mais antiga e opera principalmente em tecnologias de informação (Networking, Computação, Datacenter, Cloud, entre outros.) e cibersegurança, seja na vertente de integrador, consultor ou prestador de serviços e a Redshift Solutions na vertente de Sistemas de Informação, ou seja, desenvolvimento, fornecimento, implementação, gestão de sistemas e soluções de gestão de informação.
São empresas distintas, mas não muito diferentes, pois têm muitos pontos e valores comuns. Partilham da mesma gestão e de processos integrados, concorrendo em conjunto a projetos e partilham recursos técnicos.
São empresas separadas para haver um posicionamento claro para o mercado onde operam e haver um maior enfoque nas equipas que as compõem.

Há alguma área em que a Redshift gostasse de atuar e que ainda não atue? Se sim, qual e de que forma está a ser preparada esta estratégia?
A Redshift continua a alargar a sua oferta, quer na área de Cibersegurança e infraestruturas, alargando o seu modelo de negócio de Managed Services, seja principalmente no modelo as-a-service com a introdução no mercado do seu NSOC. Está também a alargar a sua especialização para outras áreas da Cibersegurança como é o caso da “Intelligence”, com o desenvolvimento de parcerias fortes com soluções de referência no mercado, promovendo soluções especializadas, mas também desenvolver um “as-a-service” que possa endereçar o nosso mercado de forma mais alargada. Do outro lado, e por pressão dos nossos clientes, iniciamos uma unidade de negócio especializada em fornecer recursos humanos especializados, geridos por uma equipa altamente reconhecida e conceituada e que promete inovar na oferta ao mercado.
Também temos feito um investimento adicional na investigação, com a criação do uma equipa especializada e dedicada apenas ao desenvolvimento com recurso a novas tecnologias de soluções e produtos a introduzir no mercado.
A Redshift está em constante evolução, não só empurrada pela exigência do mercado e dos nossos clientes, mas também pela ambição da equipa, que quer sempre melhor e mais longe.

A terminar, relembre-nos porque a ciber-resiliência é hoje, cada vez mais, um conceito a ter em consideração?
Tal e qual como vacinarmo-nos é importante para resistirmos (sermos resilientes à doença) à ameaça dos vírus e nomeadamente no caso do COVID-19 permitir que a sociedade possa retomar a sua atividade “normal”, a Ciber-Resiliência é o conjunto de ações necessárias para protegermos a nossa organização, empresa, família e a nossa informação, de ameaças que a possam colocar em perigo. Por isso necessitamos de vacinas para reforçar a ciber-resiliência. A Cibersegurança é uma das mais importantes, quase tão importante como sabermos bem qual o nosso objetivo, missão, negócio. Se não soubermos o que estamos a fazer dificilmente saberemos o que precisamos para continuar a cumprir a nossa missão. ▪

O que significa escolher a RedShift?
A escolha da Redshift tem perspetivas diferentes dependendo do prisma em que a analisamos. Para os clientes, significa, sem falsa modéstia, escolher o melhor que o mercado tem para oferecer nas nossas áreas de especialização. Para os parceiros, significa escolher quem melhor pode promover, integrar e sustentar o que de melhor tem cada uma das soluções. Para os colaboradores, significa o melhor local para potenciar e melhorar as capacidades técnicas e humanas e para desenvolver a atividade profissional nos projetos mais desafiantes.