CJ Moses, CISO da AWS, em palco a fazer os principais anúncios da empresa no re:Inforce deste ano. © D.R.

A segurança dos dados depende mais das pessoas e da cultura organizacional das empresas do que da tecnologia, sendo esta uma área em constante mudança e, por isso, em constante inovação. Foi esta a ideia que CJ Moses, chief information security officer (CISO) da Amazon Web Services (AWS) transmitiu no re:Inforce deste ano, que se realizou em Anaheim, Los Angeles (EUA), nos dias 13 e 14 de junho. Na costa oeste dos EUA, a AWS reiterou o compromisso com a cibersegurança na cloud (nuvem) e lançou novos recursos que prometem simplificar e melhorar a proteção dos dados das empresas.

O re:Inforce é o evento anual da AWS que se dedica a dar a visão da empresa quanto a riscos, oportunidades e tendências. O foco não é tanto aprofundar a teoria, mas expor aos analistas do setor - e também à comunicação social - novas competências da tecnológica norte-americana para a proteção dos dados que estão alojados na nuvem, acompanhando as novas tendências e práticas da indústria tecnológica. O Dinheiro Vivo esteve lá e acompanhou o evento.

"Fazer o suficiente nunca é bom para nós [AWS]", afirmou CJ no arranque do evento, realçando que "a segurança é mais sobre pessoas e sobre a cultura [organizacional] do que sobre tecnologia", tendo em conta que cada ação tem "o fator humano" na origem. "Estamos constantemente a inovar em nome da segurança", disse.

De acordo com o responsável, a AWS analisa a cada minuto cerca de três terabytes (TB) de dados. Os resultados indicam que as ameaças à segurança da informação que passa pelas plataformas da tecnológica têm aumentado em número e em sofisticação.

Por isso, o CISO da AWS, que passou pelo FBI antes de chegar à tecnológica norte-americana, decidiu adaptar o que aprendeu na autoridade federal ao trabalho de cibersegurança da AWS. Em causa está um modelo de responsabilidade partilhada. Ou seja, é tão responsável a AWS pelos dados como a empresa que usa as plataformas da tecnológica norte-americana. "Ter acesso [aos dados] acarreta responsabilidades", sublinhou.

Este posicionamento permite, segundo CJ Moses, ter melhor compreensão sobre os ciberataques e, dessa forma, estar melhor posicionado para poder combatê-los.

CJ Moses, CISO da AWS. © D.R.

"No início dos anos 2000, trabalhava na unidade de ciências comportamentais do FBI, onde entrevistava hackers condenados numa ação complementar a um programa bem-sucedido para traçar perfis de serial killers", revelou. Ora, para esse trabalho, o gestor recorria a um algoritmo que, com base em dados, podia identificar o porquê (ou seja, a motivação) e a forma como os ataques informáticos eram executados. As entrevistas serviam para compreender o fator "quem".

"Por outras palavras, determinar o porquê e o como o ataque foi concretizado ajuda a compreender quem o fez. Isto é importante, porque parte significativa do ataque não tem a ver com o computador. Há sempre um ser humano por trás e, na cibersegurança, quanto mais se souber sobre o porquê e o como, mais facilmente entendemos o fator quem", afirmou sem entrar em muitos detalhes sobre o referido algoritmo.

Ao relembrar os anos do FBI, o gestor disse ter percebido que aquele algoritmo "também funciona no desenvolvimento de inteligência que previna ameaças em tempo real".

Esta adaptação ocorre numa altura em que as plataformas da AWS já têm um grande contributo de ferramentas alicerçadas em machine learning e inteligência artificial (IA). O próximo passo passará pelos efeitos da IA generativa. Segundo CJ Moses, numa lógica de combater a tecnologia com tecnologia, a AWS assumiu um compromisso de investir em IA generativa para aproveitar os poderes daquele modelo de linguagem no combate ao cibercrime. E, por estes dias, a empresa anunciou algumas novidades.

CJ Moses, CISO da AWS em palco. © D.R.

Entre melhorias nos softwares desenhados para a cloud, novas ferramentas, modelos de encriptação e programas com empresas parceiras, a AWS anunciou mais de uma dezena de novidades.

Uma das novas ferramentas, que recorre à IA, é o Amazon CodeGuru Security. Trata-se de um teste de segurança de aplicações estáticas (SAST) que utiliza machine learning para encontrar vulnerabilidades e falhas no código escrito por programadores. Este é um software novo para a cloud que também dá orientações sobre como corrigir vulnerabilidades do código.

Outra novidade está relacionada com a Veriff, plataforma especialista na deteção de fraudes de identidade capaz de validar identificações em 230 países e em 48 idiomas, que passa a recorrer à AWS, também com recurso à IA e ao machine learning. Acresce que a AWS vai passar a ter um programa de seguros para a cibersegurança. O objetivo passará por apoiar pequenas e médias empresas a ter seguros nesta área mais acessíveis, de acordo com CJ Moses.

Estes são alguns exemplos, mas depreendeu-se das palavras do CISO da AWS que o objetivo a longo prazo é que a AWS seja um "tudo em um" no que respeita à criação de soluções para a segurança dos dados na cloud.

Responsabilidade partilhada

Perante as novidades, surge a questão: como é que estas soluções chegam às empresas que procuram a Amazon? É aqui que entra Clarke Rogers, diretor de Enterprise Strategy da AWS, que lidera uma equipa de antigos executivos e gestores de empresas que recorreram à AWS para processos de transformação digital e migração dos negócios para a cloud.

Clark Roger tem nas suas mãos parte da implementação da estratégia empresarial da AWS. O gestor trabalha quase como um embaixador da AWS junto das empresas-cliente. No fundo, é-lhe pedido que convença as empresas que a tecnológica tem as ferramentas ideais - tanto para as companhias que estão numa fase inicial da digitalização, como as que estão numa fase intermédia e procuram apenas refinar soluções.

Em conversa com o Dinheiro Vivo no Anaheim Convention Center, onde se realizou o re:Inforce, o gestor contou que está na AWS há seis anos e que, por ano, reúne com cerca de 125 empresas para explorar soluções.

O que procuram as empresas? Rogers acredita que há em todas as organizações uma necessidade de fazer uma transformação digital, independentemente do setor. Todavia, antes da transformação há um desafio a superar. "O primeiro desafio que uma organização tem de superar é a cultura empresarial", respondeu. Clarke Rogers explicou que a cultura de uma organização define o nível de segurança, por isso, o maior desafio passa pela "transformação da cultura em torno da transformação digital".

Mas as empresas compreendem essa necessidade de ter de mudar para fazer a transformação digital em segurança? "Nenhuma empresa quer aparecer nas notícias por causa de um problema de segurança, o que desgasta a confiança dos clientes e dos investidores, todo este tipo de coisas. Por isso, compreendem que é importante".

Clarke Rogers, director Enterprise Strategy da AWS. © D.R.

"As empresas compreendem que têm de ter as defesas adequadas, tanto em matéria de identidade, de registo e de monitorização, bem como de proteção de dados e resposta a incidentes. Têm de ter o básico da segurança", acrescentou.

O diretor Enterprise Strategy da AWS assegurou que a empresa garante um portefólio de mais de 200 serviços e plataformas AWS, cada um deles com uma componente de segurança de dados. Aí a empresa, "com base nas necessidades que tem, quer seja num mercado ou setor regulado ou não", pode escolher o que quer. O gestor comenta, ainda, que a rede de parceiros da AWS permite munir as empresas-cliente de informação sobre as melhores práticas. No entanto, segundo Clarke Rogers, a AWS apenas fornece as soluções pretendidas, não define o que uma empresa-cliente pode ou não fazer. É neste ponto que surge a questão mencionada por CJ Moses, o CISO da AWS: responsabilidade partilhada.

Em matéria de segurança, Rogers assegurou que a prática da AWS é a mesma em todo o mundo, "os mesmos serviços, salvo algumas exceções, estão disponíveis em diferentes regiões e funcionam da mesma forma e são implementados da mesma forma". No entanto, a maneira como a empresa-cliente interage com o serviço é que pode mudar de mercado para mercado, consoante as regras que existam.

"A responsabilidade da empresa-cliente começa quando ela começa a utilizar os serviços da AWS", defende Rogers, assegurando que as plataformas da tecnológica podem funcionar e ser cruzadas com ferramentas de terceiros, mas cabe à empresa-cliente a responsabilidade do que faz nesses processos.

"Há diferentes leis de privacidade, diferentes regulamentos financeiros e coisas desse tipo. A empresa-cliente tem de compreender quais são as suas obrigações enquanto player perante os reguladores, perante os clientes, perante quem pode aplicar sanções se as regras não forem cumpridas", disse.

O re:Inforce de 2023 realizou-se no centro de congressos de Anaheim, em Los Angeles, EUA, nos dias 13 e 14 e junho. © D.R.

De acordo com Clarke Rogers, tanto na Europa como nos EUA, há diretrizes em matéria de segurança. Do lado da AWS, o gestor garante que são cumpridas.

Não obstante, Clarke Rogers admite que a questão é complexa. "O tema da segurança é um trabalho em contínuo progresso, nunca acaba, porque há sempre algo novo a surgir, uma nova camada que tem de ser aplicada".

Isso leva a outra questão: como é que a AWS tem acompanhado o que se passa entre a China e os EUA? A AWS é uma empresa norte-americana com operação na China e com empresas-cliente que recorrem a parceiros chineses. Aliás, no re:Inforce deste ano, realizou-se uma sessão reservada a convidados que versou sobre a regulação chinesa adaptada às "melhores práticas" da AWS sobre data compliance.

"Nós não somos cegos, vemos o que se passa no mundo. Compreendemos o que se está a passar. Compreendemos que há desafios políticos, independentemente do sítio do planeta onde se esteja, e as pessoas têm de os respeitar. Quanto à minha função, numa perspetiva estratégica, voltamos ao modelo da responsabilidade partilhada", argumentou Clarke Rogers.

"A minha posição, ou da AWS, não é dizer a uma empresa-cliente o que deve ou não deve fazer. Essa é uma decisão de risco da empresa-cliente. Nós fornecemos as ferramentas, as funcionalidades e os serviços que lhes permitem tomar uma decisão", concluiu o gestor.