Navegar pela cibersegurança: Informações e dicas de Niel Harper, CISO da Doodle

À medida que as nossas vidas se tornam mais interligadas com o mundo digital, a necessidade de uma cibersegurança robusta nunca foi tão grande. Desde a proteção de dados sensíveis da empresa até à salvaguarda das nossas informações pessoais, os riscos nunca foram tão elevados.

Falámos com Niel Harper Diretor de Segurança da Informação e Responsável pela Proteção de Dados da Doodle, para compreender melhor este cenário em constante evolução. Ele ganhou recentemente um Prémio Profissional Sénior da ISC2 uma organização líder sem fins lucrativos especializada em formação e certificações de cibersegurança. No início deste ano, um anúncio do New York Times da Lacework também o destacou como um líder excecional em cibersegurança.

Nesta entrevista, discutiremos a sua experiência e função na Doodle, as tendências da cibersegurança, como proteger os dados dos clientes e como as pequenas e médias empresas (PME) se podem proteger neste cenário em constante evolução.

Conheça Niel Harper, CISO da Doodle

Fale-nos de si e do que o inspirou a seguir uma carreira na cibersegurança.

A minha inspiração para seguir uma carreira na cibersegurança resultou do meu interesse em criar redes e sistemas de TI resistentes.

A minha carreira começou há cerca de 20 anos, quando obtive o meu diploma universitário em sistemas de informação com especialização em telecomunicações. Foi aí que tive contacto com a área e recebi formação prática na implementação de serviços comerciais de Rede Digital de Serviços Integrados (RDIS).

O meu primeiro emprego efetivo foi na Cable & Wireless, onde fui técnico de telecomunicações envolvido nas operações diárias de um fornecedor de serviços Internet em Barbados. A minha última função no sector das telecomunicações foi como gestor de operações de rede na AT&T Wireless, onde dirigi uma equipa responsável pelas operações e manutenção de uma rede móvel GSM.

Em 2002, obtive a minha primeira certificação relacionada com a cibersegurança - Certified Information Systems Auditor (CISA) - e, no ano seguinte, fiz a transição para a cibersegurança como Diretor de Auditoria Interna e de TIC para um fornecedor de serviços de telecomunicações nas Antilhas Holandesas.

Em 2022, entrei para a Doodle e, desde então, tenho liderado as equipas de Operações de TI, Segurança e Conformidade.

Niel Harper, CISO da Doodle, em destaque no New York Times. Fonte: Lacework.

As ameaças mais prementes à cibersegurança

Quais são, na sua opinião, as ameaças de cibersegurança mais prementes que as empresas enfrentam atualmente?

O ransomware - um tipo de software malicioso que bloqueia ou encripta os dados de uma vítima e exige o pagamento de um resgate para restaurar o acesso - continua a ser uma grande ameaça. No entanto, tornou-se ainda mais prevalente à medida que os agentes de ameaças concentram a sua atenção na extorsão cibernética.

O atual clima geopolítico também contribui para que as organizações sejam cada vez mais visadas por adversários patrocinados pelo Estado, altamente experientes e bem organizados.

Além disso, muitas empresas continuam a não estar preparadas para lidar com os riscos que enfrentam de terceiros (como ataques à cadeia de fornecimento).

Por fim, a utilização de IA generativa por funcionários e agentes de ameaças externos é uma oportunidade e uma ameaça, mas muitas empresas ainda não compreendem totalmente as implicações.

Garantir a segurança dos dados dos nossos clientes

Como é que a Doodle garante a segurança dos dados dos seus clientes, especialmente com os seus produtos?

Na Doodle, não dependemos de ferramentas de segurança como substitutos de controlos de segurança robustos. A nossa atenção centra-se principalmente em obter os princípios básicos da cibersegurança - gestão de identidades e acessos (IAM), gestão da configuração, gestão de activos, gestão de vulnerabilidades, testes de penetração e gestão de riscos de terceiros, entre outros. Qualquer ferramenta é colocada no topo para suportar a orquestração, a automação e a defesa em profundidade.

O risco cibernético é um tema recorrente nas reuniões de direção e executivas e um elemento-chave na estrutura de gestão de riscos empresariais (ERM). A Doodle também é submetida a auditorias anuais SOC 2 Tipo II, Cyber Verify e GDPR.

Criar uma cultura de sensibilização para a segurança

Qual é a chave para criar uma cultura de sensibilização para a segurança entre os funcionários?

O aspeto mais crítico da criação de uma cultura de sensibilização para a segurança é um forte "tom a partir do topo". A sensibilização para a segurança deve começar com a liderança, influenciando a cultura da empresa e orientando as acções das suas equipas.

Por exemplo, na Doodle, o conselho de administração e a direção executiva são sensíveis e estão sintonizados com o potencial impacto dos riscos cibernéticos em várias dimensões da empresa. O seu apoio em termos de apropriação do risco, mensagens eficazes, financiamento adequado e liderança pelo exemplo é fundamental para incutir as práticas de segurança corretas entre o pessoal.

Também fornecemos um programa dinâmico de formação de sensibilização para a segurança que utiliza a aprendizagem online, dicas e truques regulares, simulações de phishing, exercícios de mesa e formação específica para cada função.

Novas tendências em cibersegurança

Quais são as tendências ou tecnologias emergentes em matéria de cibersegurança que mais o entusiasmam ou preocupam?

Estou particularmente entusiasmado com a grande quantidade de atenção dedicada à criação de capacidades cibernéticas. Estamos a assistir a uma concentração significativa de recursos para reforçar as capacidades dos Estados-nação para se protegerem melhor das ameaças em linha.

Tenho de elogiar os principais intervenientes, como o Fórum Global para a Ciberespecialização (GFCE), o Banco Mundial, a União Europeia, o Fórum Económico Mundial, a Organização dos Estados Americanos (OEA), o Cyber Peace Institute e outros, pelo seu trabalho nesta área.

Entre as preocupações no horizonte das ameaças que estão na primeira linha da minha mente contam-se os riscos dos grandes modelos linguísticos (LLM) e da IA, a Internet das Coisas (por exemplo, dispositivos inteligentes, automóveis conectados, cidades inteligentes, etc.), a criptografia de segurança quântica e a ciberguerra e ciberespionagem patrocinadas pelo Estado.

Ideias e conselhos para as empresas

Que conselhos daria às empresas, nomeadamente às PME, para melhor protegerem os seus dados e manterem a confiança dos clientes?

As PME devem ter alguém a nível executivo e operacional que compreenda e assuma o risco cibernético como um risco comercial estratégico. Quero com isto dizer que a responsabilidade pela cibersegurança não deve ser delegada a um gestor de TI ou administrador de sistemas, porque é muito mais do que um risco tecnológico.

Um indivíduo qualificado e experiente deve trabalhar no desenvolvimento e execução do roteiro de cibersegurança da empresa. Se este conjunto de competências não estiver disponível internamente, as empresas devem considerar a contratação de um CISO (Chief Information Security Officer) virtual ou fraccionado para supervisionar a gestão dos riscos cibernéticos.

Tal como referido num comentário anterior, as organizações não devem encarar as ferramentas sofisticadas como uma panaceia ou um substituto para uma cibersegurança eficaz. Devem criar um inventário dos seus sistemas e dados críticos ("jóias da coroa") e implementar controlos sólidos com base na importância desses sistemas e activos de informação para a empresa.

Obrigado, Niel, por partilhar as suas ideias e conhecimentos!