Tão habituais que não se traduzem, que é o que fazemos quando um determinado termo se torna parte das nossas rotinas. Mas, no dia 4 de julho, o Data Center projetado pelo arquiteto Carrilho da Graça recebeu um grupo alargado de empresários e gestores convidados para debater a transformação digital das empresas e, sendo este um local onde Network Operacional Center (NOC), Security Operational Center (SOC) e Global Operational Center (GOC) são termos correntes, a segurança foi inevitavelmente um tema em evidência.

Mas comecemos pelo início.

A sessão abriu com a apresentação de João Sousa, administrador B2B da Altice Portugal. O tema central foi a estratégia da operadora no que respeita à relação com clientes e parceiros e a forma como vê a tecnologia como um agregador de várias valências. Até porque hoje a tecnologia é, mais que produto, serviço e estratégia. “Na última apresentação da Apple, lembram-se? O CEO Tim Cook não apresentou nenhum produto novo, o que fez foi apresentar uma rede de parceiros”, referiu João Sousa. “Na Altice Portugal, estamos muito felizes com os resultados da nossa estratégia de parcerias. Sabemos que é impossível estar em tecnologia sozinho”, concluiu o administrador.

O roadshow “Liderar a Mudança” – que arrancou em Lisboa e já passou por Funchal, Braga, Leiria e agora Covilhã – tem espelhado esta estratégia. A discussão sobre transformação digital é o mote e a PT Empresas apresenta-se com um conjunto de parcerias em áreas complementares, como é o caso da Compta, a Microsoft, a Samsung, a Cisco, a HPE, a Check Point, a Huawei e a Poly.

“Somos nós a correr atrás da tecnologia?”

Regressemos ao palco e ao debate. O painel da manhã debateu as oportunidades e as ameaças da transformação digital. “Os hábitos estão a mudar muito rapidamente. Os nossos filhos já não veem televisão como nós víamos. Os processos são pensados para o digital desde a primeira hora” - Ricardo Luz, Diretor de Gestão do Segmento Empresarial da PT Empresas, iniciou assim a conversa com Pedro Pinto Lourenço, Diretor Business Applications da Microsoft, João Medina, Managing Partner da Activetech-Ibshurance e Tiago Andrade, member of the Board of Directors da Compta. “Somos nós a correr atrás da tecnologia e ela a levar-nos para outras utilizações que não tínhamos pensado?”, questionou.

“Temos um grupo de clientes em etapas diferentes, desde aqueles onde estamos a trabalhar ainda ao nível da automação até às fábricas sensorizadas, inteligência artificial, modelos preditivos”, expôs Tiago Andrade, sublinhando que a Compta trabalha com “empresas industriais claramente visionárias”. A experiência alarga-se a outros campos, como é o caso do trabalho realizado com o Hospital do Baixo Vouga de sensorização de energia e temperatura nas salas de cirurgia.

Da indústria e dos hospitais, passámos a uma realidade menos tangível, como é a dos serviços. “Pagar prémios e tratar dos sinistros eram, até há pouco tempo, os pilares da atividade”, referiu João Medina, Managing Partner da Activetech-Ibshurance. Uma realidade que está a mudar a um passo acelerado: “estamos a viver um momento muito interessante nas soluções para companhias de seguros, nomeadamente ao nível do trabalho com dados que sempre foi fundamental nesta área para definir perfis de risco”. A tecnologia entra na equação em vários níveis, desde as ferramentas de análise, até soluções que permitem ter tudo ligado – “o carro ligado, a casa ligada”.

Para Pedro Pinto Lourenço, Diretor Business Applications da Microsoft, o retrato é simples (e otimista, como sublinhou): “há as empresas que já se adaptaram e as que estão a adaptar-se”. A própria Microsoft, referiu, adaptou-se: “passámos de vender office em caixas para vendermos um serviço”. Na perspectiva que apresentou o grande desafio é escalar o processo de transformação digital, não apenas em Portugal, mas em toda a Europa: “o número de patentes na Europa, por exemplo, é ainda muito diferente do que existe nos Estados Unidos e na China e, sendo verdade que 80% dos novos negócios serão de base digital, em Portugal esse número ainda é de 30%”.

O caminho mostra-se, ainda assim, animador. “Quando cheguei à área onde hoje estou na Compta, há quatro anos, faturávamos 600 mil euros, este ano o objetivo são seis milhões de euros”, contou Tiago Andrade. Números que ainda assim comparam com outras realidades, como a que a empresa tem em São Francisco, na Califórnia, onde se encontra a trabalhar num projeto na prevenção de incêndios “com orçamentos na casa dos 20 milhões de dólares”. O que leva o gestor a admitir que “se estivéssemos nos EUA, já estávamos a fazer uma Initial Public Offer da área onde trabalho”.

É também por isso que a agilidade das startups é fundamental no processo de transformação digital. João Medina referiu o caso da Lemonade, uma startup de seguros lançada em 2016, e que tem apresentado inovações a vários níveis, desde o contrato de seguro em open source passível de ser editado e customizado, até a novos produtos. “Há uma grande motivação das seguradoras para trabalharem com startups”, sublinhou.

Mas voltando à questão de arranque no painel: então andamos ou não atrás da tecnologia? “Há tecnologia para necessidades que desconhecemos”, admitiu Pedro Pinto Lourenço, e, ao mesmo tempo, há surpresas diárias com o uso dessa mesma tecnologia. “A Domino’s Pizza, por exemplo, incentivou os seus clientes a criarem a sua própria pizza, depois colocou na sua plataforma as várias pizzas e permitiu que os clientes recebessem royalties em função do sucesso de cada uma”.

Coube a Mário Sousa, Diretor de Produto e Pré-Venda da PT Empresas, uma primeira abordagem ao tema da segurança, pertinente não só pelo espaço, mas também pelas notícias. Esta tinha sido também a semana em que a Fundação Champalimaud foi alvo de um ataque informático que acabou por ser contido em 48 horas sem danos e que teve a Altice Portugal como parceira. Ainda assim, sublinhou Mário Sousa, “50% das empresas não têm sequer orçamento para segurança.

Inês Ferreira, responsável de Produto IoT, focou a apresentação na tecnologia de narrow band-IoT, um standard da rede móvel, que garante maior autonomia dos equipamentos IoT e que é já hoje a solução em áreas como a gestão de estacionamento, a telemetria de água e a gestão de resíduos.

“A mobilidade serve de disrupção”

Tal como a segurança, um dos temas transversais à transformação digital é o conceito de mobilidade. “A revolução dos smartphones nasceu não na área empresarial, mas na geração millennial que já os usava para estudar e para comunicar”, começou por evidenciar Nuno Almeida, Entreprise Sales Manager da Samsung. É essa mesma geração, que hoje já está no mercado de trabalho, que hoje “empurra” a mobilidade nas mais diversas áreas, seja nos negócios, seja na forma de trabalhar.

José Alegria: “Devemos olhar para a gestão da saúde pública como metáfora para a gestão pública da cibersegurança”

Disse que a cibersegurança vai-se tornar um tema mais relevante nas empresas e que vai também globalizar-se em termos dos ataques. Qual é o impacto que antevê desse tipo de fenómeno?

José Alegria - Por detrás dos ciberataques mais relevantes existe tipicamente um objetivo geopolítico quando na origem está um estado nação ou, obviamente, um objetivo económico quando são de origem (ciber) criminal. Pode ir desde a mera ameaça, ou o pedido de resgate em cripto moeda, o roubo de propriedade intelectual valiosa até à desabilitação de infraestrutura e, consequentemente, de operações vitais do alvo. Estes são o tipo de ataques dirigidos mais comuns.  Depois há que contar sempre com situações anómalas, menos comuns, em que algo que não era suposto afetar a sociedade em geral, acaba por o ser, por uma falha de controlo qualquer, desencadeando a sua propagação pela internet. Foi o que, na minha opinião, aconteceu com o Wannacry em 12 de maio de 2017. Eu vou ter de ter sempre um cuidado básico em qualquer das circunstâncias, porque existem ataques descontrolados, que podem inclusive ser desencadeados por jovens por diversão (os chamados script kids). Num primeiro nível básico, as recomendações que faço são de começar com um investimento inicial que garanta uma presença na internet adequadamente segura o que implica como mínimo também uma ciber higiene exposta à Internet adequada (acima do BITSIGHT rating de 740). A avaliação da nossa ciber higiene exposta à Internet não é rocket science mas deve ser obtida de forma robusta, independente e comparável para ser útil. Para isso existem serviços contínuos de avaliação independente que são de relativo baixo custo. Na Altice Portugal usamos e revendemos os serviços da BITSIGHT que é a principal empresa internacional nesta área. Num segundo nível é essencial que se tenha uma noção muito clara dos ativos informacionais críticos a obrigatoriamente proteger (as nossas “crown jewels”) e para estes tipicamente terão de existir controlos específicos eventualmente com orçamentos próprios. Finalmente, num terceiro nível, há obviamente que garantir os ciber controlos necessários ao pleno cumprimento de todas as obrigações legais e regulamentares, como a proteção da informação de clientes e colaboradores tal como requerido pelo RGPD. É claro que uma estratégia eficaz de ciber segurança não se esgota nos três níveis atrás referidos mas estes são incontornáveis.

Uma empresa como a Altice Portugal que tem clientes, que trabalha quer ao nível do consumo residencial, quer ao nível das empresas, que tipo de proteção deve ter?

J.A. - Para uma empresa como a Altice Portugal, a principal preocupação é garantir uma defesa adequada contra ataques que possam por em causa a integridade das suas infraestruturas críticas e suas operações e garantir igualmente a proteção de informação sensível de clientes e colaboradores. Existem obviamente outras preocupações mas já a um nível menor em termos de impacto. Mas no caso da Altice Labs a proteção de propriedade intelectual ganha naturalmente uma importância muito maior devido ao valor da sua investigação aplicada.

Tem responsabilidades ao nível do grupo inteiro, tem conhecimento das várias realidades. Como é que comparamos com o resto?

J.A. – Eu acho que a Altice Portugal compara muito positivamente com o resto do mercado no segmento das telecomunicações. E é evidente que ter um CEO com grande sensibilidade nesta área ajuda muito. Nós temos a melhor e maior equipa de cibersegurança do grupo. Com um âmbito de atuação também mais vasto. E, também muito importante, temos uma excelente relação com universidades e centros de investigação com quem colaboramos frequentemente. Formamos todos os anos entre dois a quatro mestrandos em diferentes áreas avançadas da ciber segurança, tendo já produzido cerca de 25 teses de mestrado. Penso que já temos uma grande tradição com “escola” formada e reconhecida.

Disse no workshop que as empresas devem procurar sensibilizar todos os seus colaboradores internos ou externos (utilizadores) para a prevenção contra riscos de ciber segurança como os sensibilizam para os riscos de infeção humana e sua potencial evolução em epidemia caso não sejam tomadas medidas suficientemente inibidoras...

J.A. – Penso que na macro gestão da cibersegurança tanto nas empresas como na área pública é útil olhar para a cibersegurança, do ponto de vista metafórico, como se olha para a saúde pública. Por exemplo, há analogias muito claras entre os cuidados a ter no combate a potenciais epidemias virais humanas e os cuidados a ter na inibição da auto propagação de malware em ambientes corporativos ou na Internet. Daí eu defender elevados padrões de ciber higiene nas empresas como uma forma primária de prevenção.

Episódios que têm muito buzz mediático ajudam as pessoas a ficar mais sensíveis a estes temas?

J.A. - Receio que a popularização excessiva de certos episódios de cibercrime, por vezes quase em formato de romance de cordel, envolvendo estereótipos ficcionais, tipo super-heróis de banda desenhada, possam levar a maioria das pessoas a ficar com uma visão distorcida dos riscos efetivos que as rodeiam. Por outro lado, a maioria dos verdadeiros especialistas em cibersegurança detestam que os media qualifiquem como “génio” um malandreco qualquer só porque este roubou informação a terceiros e os jornalistas não entendem como isso foi conseguido.

“Os modelos de negócio estão a mudar, seja na forma como abrimos uma conta no banco – já demorou dois dias hoje demora 20 minutos – seja na educação, seja nos negócios. A mobilidade serve de disrupção, é o novo normal”, sublinhou. Exemplos como o uso do MBWay, disponível para os clientes dos bancos através dos seus smartphones, ou, a um nível empresarial, soluções como a adotada pela Levis que desenvolveu uma aplicação de monitorização das vendas em loja através do telefone mostram a revolução em curso. Uma revolução que a Samsung está a abordar com produtos como o Samsung Dex, que permite ligar o smartphone ao computador privilegiando o interface mobile, ou o Samsung Knox que visa dar resposta aos binómios mobilidade/segurança, produtividade/controlo e disponibilidade/compatibilidade.

A apresentação das principais tendências na área da cibersegurança constituíram um dos pontos altos do programa. José Alegria, Chief Security Officer da Altice Portugal, clarificou, logo no arranque, a forma como olha para estes temas: “Vou falar de tendências numa perspectiva utilitária que tem dois pilares, a sobrevivência da empresa (porque um ataque pode parar uma empresa) e os problemas legais (por razões de RGPD)”.

Ao nível mais macro, os números de vários estudos como World Economic Forum, PwC ou Europol, mostram que enquanto a cibersegurança é uma preocupação de topo nos Estados Unidos, na Europa é relegada para um plano secundário. Hierarquizando ameaças, José Alegria passou em revista temas que vão desde ataques por ransonware (em que se integram situações como a que teve lugar com o wannacry) a ataques cirúrgicos a empresas com pedido de resgate por informação roubada, DDoS (Distributed Denial of Service) ou abuso de criptocurrencies, numa panóplia mais vasta que envolve realidades como a Darknet. Em qualquer contexto, José Alegria defende que “a cibersegeurança deve evoluir de controlo para resiliência”.

Aos participantes no workshop, deixou algumas dicas como “não desafiem os atacantes”, “definam uma estratégia”, “tenham quem faça”, “tratem os ataques a utilizadores como se fosse uma epidemia” e “lembrem-se que nas organizações maiores os ataques mais críticos vêm de dentro”.

RGPD, um ano depois

Um ano depois da implementação da nova legislação de proteção de dados na Europa, qual o estado da arte no que respeita à forma como as empresas lidam com este ativo cada vez mais precioso? Para Rui Duro, Sales Manager da Check Point, e Pedro Castro, System Engineer da Cisco, as principais mudanças decorreram, por um lado, ao nível da implementação de processo de forma a garantir o cumprimento da lei, e, por outro, ao nível da consciencialização sobre a informação que cada empresa detém. “Fez sobretudo aumentar a necessidade de saber onde estão os dados em cada organização”, sublinhou Pedro Castro. Para Rui Duro falta, na atual etapa, ser mais claro “quais são as melhores práticas em termos do uso da tecnologia, uma vez que a lei deixa essa interpretação em aberto”. O que será desejável, concordam os dois especialistas, uma espécie de “RGPD versão 2” em que além de processos e receio de multas, exista uma estratégia para a utilização e proteção dos dados.

Uma estratégia que incluirá quase de forma incontornável a partilha de dados e a utilização de soluções de cloud. Frederico Martins, Pointnext Indirect Sales Manager da HPE, trouxe por isso ao workshop uma apresentação sobre os receios e desafios das migrações de informação para a cloud. “As organizações usam em média cinco clouds”, referiu, sublinhando a necessidade de uma estratégia de migração de uma estrutura tradicional para a cloud. Tudo passa a ser visto como um serviço e a tecnologia deve permitir agilidade e inovação na utilização da cloud.

O workshop fechou com a apresentação do caso prático da Prosegur Alarmes, por Manuel Duarte, Diretor Técnico da empresa. O problema que a Prosegur tinha para resolver eram cartões, milhões de cartões SIM – “havia cartões que não sabíamos onde estavam ou que estávamos a pagar e não devíamos”. A solução passou pela adoção de uma plataforma de gestão de informação da PT Empresas que permitiu não apenas controlar dados de forma eficiente como libertar recursos, apoiando-se na tecnologia.

O workshop chegou ao fim, mas a visita ao Data Center começou nesse momento. Ao longo de uma hora, percorreram-se corredores, elevadores e diversos pisos. Cá fora, começámos por ser alertados para o caminho que nos tinha levado até lá. Por estradas suficientemente curvas para não permitirem lançar objetos e suficientemente secundárias para impedir que um carro se lance contra o edifício. Lá dentro, um edifício à prova de bala. Um portão com quatro ou cinco toneladas que nos separa das estradas curvas e secundárias. Arame farpado. A segurança aqui é física – e vê-se.

Continua assim visita fora. Ouvimos falar do palmvein – a tecnologia que controla acessos através da palma da mão e da leitura dos vasos sanguíneos em cada um de nós. Não é tarot, é segurança. Sabemos depois da balança – cada corpo tem uma estimativa de peso, se essa estimativa não estiver de acordo com os parâmetros, uma alarmística impedirá a passagem. Não é controlo de peso, é segurança. Percorremos corredores onde sistemas de energia garantem redundância minuciosa, o tipo de segurança de um sítio que tem em potencial capacidade para fazer download de toda a wikipedia num minuto. Um sítio cujo um dos maiores riscos é aquecer e que tem na refrigeração uma das tecnologias mais eficientes para manter a temperatura nos ótimos 18 a 27 graus. Um sítio onde não se fazem fotografias. Um sítio onde falar de segurança é uma espécie de inevitabilidade – como foi.