O Chief Information Security Officer (CISO) da Caixa Geral de Depósitos (CGD) defende que a regulação trouxe “resiliência e robustez às organizações”. André Costa Alves, que falava durante o primeiro painel da Conferência sobre Cibersegurança no Setor Financeiro, organizada pelo Jornal PT50, destacou o papel dos CISO na prevenção e combate ao cibercrime: “A regulação permite-nos ter organizações mais robustas. Vejam, por exemplo, a questão da figura dos CISO, que reportam diretamente à administração. Isto também advém da regulação. Os bancos têm de ter esta figura independente do CISO, para garantir que não há pressões nem da área de IT, nem da área comercial.”

Para o responsável do banco público, “o CISO tem de ter a capacidade de dizer que não. E, quando essa altura chega, temos de ter essa força — que nos é dada pela regulação”, acrescentando: “Aquilo que a regulação nos traz, no fim do dia, é resiliência. Se eu tiver uma organização que se foca na inovação e na velocidade de entrega de novos produtos aos clientes, mas não for resiliente, ela não vai durar muito.”

André Costa Alves admite que “a regulação no setor bancário é pesada”, mas sublinha que “o setor financeiro é o mais atacado a nível mundial em termos de cibersegurança”. “Não podemos lidar com todas as ameaças ao mesmo tempo. Temos de criar condições para a inovação e, para isso, temos de estar envolvidos desde o início dos projetos. Se só entramos numa fase posterior, quando determinada capacidade está prestes a entrar em produção, aí surge a pressão típica do negócio, que quer avançar sem as medidas adequadas”, afirmou o CISO da CGD, acrescentando: “Não podemos dizer que não à inovação. Temos de a abraçar, adotá-la e criar uma adequada gestão do risco.”

O responsável deu ainda um exemplo prático do que se faz na CGD: “Realizamos campanhas simuladas de phishing. Sabemos que 70% dos ataques bem-sucedidos têm origem em falhas humanas. Estamos continuamente a realizar estes testes, que têm um efeito lúdico e pedagógico na organização.”

E acrescenta: “É curioso passarmos nos corredores e ouvirmos os colaboradores dizer: ‘Epá, ontem caí no teste!’. Na sequência desses testes, partilhamos também um conjunto de informações adicionais com as nossas equipas.” “O que fizemos até agora trouxe-nos aqui sãos e salvos, mas não é suficiente para abraçar os desafios do futuro. Temos de trabalhar de forma a não confundir as pessoas. Elas devem sentir-se à vontade para reportar e identificar riscos de cibersegurança, sem receio”, conclui o responsável.