Em 2014 a BitSight fixou em Portugal a sua sede de operações para a EMEA depois de ter comprado a AnubisNetworks, estendendo o seu negócio de ratings de segurança à Europa, África e Médio Oriente, onde conta já com mais de 600 clientes e uma receita anual que cresceu 40% em 2021. O objetivo é continuar a crescer e a empresa realizou em Lisboa o primeiro BitSight Xperience, uma conferência com clientes e parceiros que decorreu nos dias 28 e 29 de setembro e da qual o SAPO TEK foi media partner.

“Estamos comprometidos de forma inabalável a liderar este mercado”, afirmou Steve Harvey, CEO da BitSight, na abertura da conferência, adiantando que a empresa vai aumentar o investimento e o número de colaboradores na operação da EMEA, respondendo a uma procura que está a crescer.

A necessidade das empresas terem mais visibilidade sobre os riscos de segurança é reconhecida pelo CEO da empresa que se especializou em ratings de cibersegurança e criou este mercado em 2011, em Boston, nos Estados Unidos. Os indicadores de cibersegurança permitem às organizações terem visibilidade sobre os seus riscos e através das ferramentas da BitSight podem monitorizar de forma contínua as ameaças e vulnerabilidade, reduzindo o ciberrisco e comunicando melhor dentro da organização, defende Steve Harvey.

Para o CEO, a crescente complexidade da cibersegurança e a forma como é afetada pelas tendências geopolíticas e económicas faz com que esta área esteja no top das prioridades das organizações. “Os riscos nunca foram tão elevados e o mundo inteiro está a assistir”, afirma, admitindo que num futuro próximo os investidores e gestores vão dar mais atenção a estas áreas que têm um impacto relevante no posicionamento das empresas e no seu valor económico.

“As ameaças estão a aumentar, com maior monetização por parte dos atacantes […] As previsões indicam que, em 2025, se o cibercrime fosse um país, seria a terceira maior economia do mundo”, afirma Steve Harvey.

“A cibersegurança não é um problema tecnológico mas também económico, já o vemos como decisão de investimento e é importante investir na quantificação do risco”, avisa Steve Harvey.

Com os mercados de capitais e os reguladores a darem mais atenção aos riscos de cibersegurança, que têm um impacto cada vez maior na valorização das empresas, a BitSight garante estar numa posição única com as suas ferramentas de rating. A empresa conta com mais de 2.400 clientes e trabalha de forma direta com 22 governos fornecendo informação sobre ratings de risco, e quer continuar a expandir o negócio.

A Moody’s é um dos investidores na BitSight e está a reforçar o investimento na empresa, pelo que a visão estratégica passa por alargar o campo de ação. “Queremos ser um standard”, afirma o CEO da BitSight que diz que “vemos a oportunidade de expandir o nosso negócio de rating para mercados adjacentes e trazer o valor dos dados que temos para esses mercados”.

Rob Fauber, Presidente e Chief Executive Officer da Moody's Corporation, corroborou essa visão durante a BitSight Xperience, trazendo a perspetiva da empresa sobre a forma como o ciberrisco se relaciona com o risco financeiro e como está a tornar mais importante nas decisões de investimento.

“Temos construído uma série de capacidades [na Moody’s] e investimos na BitSight para uma visão multidimensional e cada vez mais integrada de risco”, explica, admitindo que o risco de cibersegurança está a abandonar uma posição de silo para se tornar mais holístico. O facto desta área ser difícil de analisar, e opaca, faz com que a empresa se tenha focado na possibilidade de trazer mais transparência a esta análise, com a integração dos indicadores da BitSight nas suas plataformas. “Os clientes querem essa visibilidade mais alargada, para além do financeiro e dados ISG”, sublinha.

Veja algumas das imagens da conferência

Atualmente a Moody’s faz mais do que apenas ratings, que já só representam cerca de 50% do negócio, trabalhando também com as empresas na verificação e gestão do risco, assim como em análise de tendências, e nesse caminho a criação de um standard de indicadores de ciberrisco é visto como uma das valências relevantes.

“O negócio é de confiança e por isso a cibersegurança e a segurança da informação são absolutamente críticos”, justifica Rob Fauber.

Um negócio em crescimento na EMEA

Os desafios de cibersegurança na Europa, com as ameaças de escalada da ciberguerra entre a Rússia e a Ucrânia, fazem com que os alertas estejam em alta na região, e o nível de risco afetou as classificações dos países no rating da BitSight. Stephen Boyer, co fundador da BitSight e CTO da empresa, mudou-se recentemente para Lisboa para liderar a operação na EMEA e traçou na conferência os objetivos de investimento.

“Vamos investir 50 milhões e duplicar a equipa de engenharia”, explica Stephen Boyer, adiantando que em 2021 a empresa teve um crescimento rápido do negócio neste mercado, crescendo 40% em receitas, e que o objetivo é reforçar a capacidade de resposta aos clientes também em termos de suporte nas várias línguas.

Fortalecer o ecossistema de parceiros e investir na transformação do produto faz parte da estratégia que foi desenhada, e que Stephen Boyer explica que passa também pelo investimento nos clientes. “Temos 40 mil milhões de datasets na nossa base de dados e isso é um valor que nunca poderia ser replicado”, afirma, adiantando ainda que “estamos a investir em novos sinais, novas medidas e a entrar cada vez mais na informação que recolhemos todos os dias”.

Coube a Alex Laats, vice presidente executivo e responsável da plataforma da BitSight, explicar a forma como a empresa está a fortalecer os indicadores e a desenvolver um novo framework para a forma como gere os ratings de segurança. Para além de mais indicadores e sinais a empresa está também a investir em levar mais informação aos clientes, com explicação sobre os vários riscos, e a BitSight quer também investir mais em gestão de riscos de terceiros (TPRM), uma área que vai reforçar no próximo ano.

Durante a conferência foram ouvidos também testemunhos de vários clientes e parceiros, e Victor Zhora, Chief Digital Transformation Officer da Ucrânia, fez uma intervenção em direto de Kiev para a BitSight Xperience (link), mostrando os desafios que o país tem enfrentado nos últimos anos, desde a invasão na Crimeia, e a forma como tem conseguido manter-se resiliente com a ajuda dos parceiros europeus e internacionais.

O responsável de cibersegurança lembra que a cooperação é crucial entre todos os aliados numa situação de ataque e que isso permite mitigar as ameaças mais rapidamente, avisando que é importante a todas as organizações e ao sector privado estarem preparados para responder a um ataque. Deixou ainda uma mensagem de confiança de que “sem dúvida a Ucrânia vai prevalecer nesta guerra e ciberguerra”.

Os desafios da cibersegurança ao nível de um país

Um debate dedicado ao tema de “Criar confiança na Economia Digital” juntou três responsáveis de centros nacionais de cibersegurança e mostrou também as várias visões sobre a forma como a Bélgica, a Catalunha e Portugal estão a trabalhar para reforçar a cibersegurança nos seus países, com a criação de enquadramentos legais, comunicação e indicadores para as organizações, empresas e cidadãos.

Oriol Torruella, diretor da agência de cibersegurança da Catalunha, detalhou o que a agência está a fazer com a divulgação de um conjunto de informação obtida através das ferramentas da Bitsight. A agência começou a desenvolver o trabalho em 2010 e com o objetivo de proteger o país foi aprovada uma estratégia de fornecer um serviço de cibersegurança público e ajudar a proteger a infraestrutura pública e trabalhar de forma coordenada com entidades privadas.

O modelo de Governance e a forma como o Cybersecurity Index da Catalunha foi desenvolvido, assim como a maneira como toda a informação é articulada, e os KPI que são relevantes fazem parte da lógica partilhada pelo responsável da Catalunha.

A experiência de Portugal, onde o Centro Nacional de Cibersegurança tem um portfólio de serviços que acumula com as competências de órgão regulador, a ligação a cidadãos e empresas, com responsabilidades na literacia digital, e o desenvolvimento de um framework de cibersegurança são alguns dos pontos detalhados por Lino Santos, diretor do CNCS. “A informação é essencial para o nosso negócio e o conhecimento da situação é crucial”, lembra Lino Santos, referindo que analogia que habitualmente faz é que o CNCS é como um corpo de bombeiros, que quando as coisas correm mal vai tentar resolver a situação. Mas lembra que é importante que o sector privado forneça informação para que o Centro possa fazer o seu trabalho porque é assim que garante a melhor proteção para todo o ecossistema.

O papel do Governo a proteger o ciberespaço foi o tema abordado por Miguel De Bruycker, director do Centro de Cibersegurança da Bélgica, que defende uma intervenção mais ativa dos governos, que admite que é a única forma de garantir e manter a confiança dos cidadãos na segurança. Para o executivo, os governos devem ter online o mesmo papel que têm no mundo físico, que é emitirem um Sistema de identificação online para os cidadãos, porque a identidade é chave para muitas áreas e que a anonimização não traz vantagens e provoca insegurança.

Na Bélgica existe um sistema nos telemóveis que está a ser usado para fazer login nos serviços públicos e privados e que está a fazer a diferença. “Temos de aumentar a segurança e para isso temos de ter um Sistema de identificação que garanta que estamos a falar realmente com uma determinada pessoa”, explica Miguel De Bruycker. Todas as vulnerabilidades estão a ser monitorizadas em permanência, e “o centro tenta identificar sistemas vulneráveis que podem ser atacados, e estamos a criar um enquadramento legal para isso”, adianta ainda, explicando que isso dá lugar ao envio de cartas aos responsáveis das empresas a avisá-los dos problemas.

Estamos a criar um plugin para browsers onde podemos identificar se um site é seguro, e todas as pessoas vão ter acesso gratuito, por isso até final do próximo ano as pessoas vão ver luzes verdes, amarelas ou vermelhas identificando se um site é ou não seguro”, refere o director do centro na Bélgica, mostrando-se satisfeito com o nível que a Bélgica já atingiu no index da Bitsight em termos de segurança, sendo apontado como o mais seguro na União Europeia.

As diferenças de cultura entre os vários países e a forma como as empresas e organizações partilham dados, ou aceitam a intervenção dos centros de cibersegurança, foram abordados no debate, onde os responsáveis pelos centros nacionais sublinharam também a importância da partilha de informação entre todas as entidades e o sector privado.

Em jeito de finalização, e como mensagem para o futuro, Oriol Torruella defende que é preciso reforçar o trabalhar enquanto Lino Santos diz que é assustador o número de incidentes e que gostava de trabalhar mais na prevenção do que na resposta, mas que não é fácil. Para Miguel De Bruycker a chave está na colaboração internacional entre países, a encontrar a definição exata de cibersegurança e ciberdefesa, um diálogo a que quer dar início.

A experiência dos clientes

Durante a tarde do BitSight Xperience foram realizadas várias sessões paralelas de trabalho, onde se partilharam experiências da forma como as ferramentas de monitorização de risco da BitSight servem as necessidades de empresas e outros organismos nos mais diversos sectores.

A avaliação de risco passou a ser uma preocupação transversal e a procura de indicadores que possam ajudar a identificar áreas sensíveis e pontos de melhoria tanto é importante para um banco, como para uma utilitie, uma universidade ou um regulador, alguns dos exemplos partilhados em Lisboa, na primeira pessoa.

Eduardo Gonzalez, global information Security director do Sabadell, que usa as soluções da BitSight desde 2015, explicou numa das sessões que o mote para procurar este tipo de tecnologia no banco espanhol foi a necessidade de aumentar o foco num perímetro que, à data, a empresa já identificava como menos estático que no passado. Melhorar a visibilidade e a transparência de informação crítica para proteger a infraestrutura ditaram uma aposta que acabou por evoluir para a implementação de processos de benchmarking que hoje cobrem e permitem comparar parâmetros em todas as agências.

O mesmo tipo de recurso é usado por universidades, como a University of Surrey, para fazer benchmark com outras instituições de ensino e I&D, como partilhou Ambrose Neville Head of Information Security da instituição, onde as ferramentas da BitSight são também usadas para ajudar a manter níveis de cibersegurança ou recolher informação sobre fornecedores.  

Os ratings são, noutros casos, valorizados por se assumirem como uma via para melhorar a comunicação entre IT e negócio, ou entre a empresa e as suas diferentes partes interessadas.

No caso da EDP “dar uma perceção de risco à administração foi a primeira razão para investir” nesta área, como partilhou Paulo Moniz. Os ratings ajudaram a traduzir para uma linguagem de negócio a visão e prioridades do IT e acabaram por passar a ser importantes também para sensibilizar as equipas, relativamente às melhorias necessárias em algumas áreas, admitiu o diretor de information security and IT Risk na elétrica nacional. Hoje são usados pelo grupo tanto a nível interno como externo. Os indicadores do relatório anual de sustentabilidade são disso exemplo.

Num contexto diferente, também os Transportes de Londres fizeram destas ferramentas um meio por excelência para otimizar o funcionamento de um ecossistema que interliga diferentes parceiros. Estas ferramentas ajudam a fazer uma “priorização de formas de melhorar aspetos que vão ter impacto no funcionamento do negócio”, destacou Paul Richardson. É tentando passar essa visão que o Cyber Security Assurance Manager do organismo que gere o sistema de transportes da capital britânica diz que aplica a informação que aí se consegue obter. A partir dela inicia-se uma jornada que progressivamente leva os interlocutores da negação à normalização de um processo que precisava de ser melhorado.

Além dos exemplos, os interlocutores que passaram pelo evento deixaram alertas: “ter uma certificação e um bom rating não evita um ataque. Nós temos e fomos alvo de um grande ataque em 2020”, reconheceu Paulo Moniz da EDP. No entanto, “mostra que há trabalho e esforço da parte da empresa para fazer alguma coisa e para fazer bem”, acrescentou o responsável. No relacionamento com parceiros e clientes permite “fazer uma gestão de risco de forma mais justificada”, defendeu também o responsável.

Ainda assim vale a pena lembrar, como frisou Eduardo Gonzalez, que os rating, sendo importantes, são apenas uma entre várias tecnologias que ajudam as empresas a promover ambientes mais seguros e têm sempre de ser encarados como parte de um de três vetores. “A segurança é tecnologia, processos e pessoas” e é do trabalho nessas três vertentes que nasce a melhor estratégia.

Para o futuro pedem-se mais automatismos da tecnologia, acredita-se que cada vez será possível analisar e medir mais aspectos no desempenho das empresas e que os standards terão um papel importante na normalização de critérios e no reconhecimento universal dos indicadores que se conseguem apurar.