Huawei: “Se não há confiança, então não há confiança, venha de onde vier” (com vídeo)

Numa empresa tecnológica, a cibersegurança é parte integrante do negócio e não um elemento adicional. Na IT Security Summit Porto, José Capote, Cyber Security and Privacy Officer da Huawei, sublinhou que “a cibersegurança é uma necessidade básica”, numa lógica em que qualquer falha pode comprometer diretamente o negócio.

O responsável explica que a operação da Huawei, centrada em soluções de redes, data center e infraestruturas críticas, coloca a empresa sob um escrutínio constante. Ao longo de mais de duas décadas na Península Ibérica, a organização habituou-se a lidar com exigências regulatórias e auditorias, integrando essas obrigações no desenvolvimento dos seus produtos e serviços.

Monitorizar para antecipar

A base da governação assenta numa monitorização contínua do contexto, com a organização a acompanhar “todas as regulações e leis da cibersegurança” e também tendências da indústria e evolução da ameaça, integrando esses requisitos desde a fase de conceção dos produtos. Este enquadramento estende-se a todo o ciclo de vida, da investigação e desenvolvimento à operação no cliente, garantindo que a segurança não é apenas um ponto de partida, mas uma condição mantida ao longo do tempo.

No desenvolvimento, a prioridade passa por assegurar que tudo o que é integrado, incluindo componentes open source, cumpre requisitos rigorosos, numa lógica em que o produto deve ser seguro tanto na entrega como durante a sua utilização. Para reforçar esse controlo, a Huawei separa funções e introduz diferentes camadas de verificação, combinando o conhecimento das equipas de R&D com uma avaliação independente orientada para a deteção de falhas.

Esse modelo traduz-se em vários pontos de controlo ao longo do processo, já que “temos cinco pontos de controlo para verificação de segurança dos nossos produtos”, onde a verificação independente assume um papel crítico ao procurar “maximizar o número de bugs que eles encontram nos produtos pré-comerciais”, complementando a análise de código com testes de penetração e validação antes do lançamento.

Validar dentro e fora da organização

Os processos são também auditados e certificados externamente, através de sistemas de gestão de segurança da informação, privacidade e, mais recentemente, inteligência artificial, com a certificação ISO 42001 a surgir como exemplo dessa mesma evolução.

Em paralelo, os produtos são submetidos a certificações independentes. Esquemas europeus e internacionais permitem validar a segurança funcional dos equipamentos através de entidades externas acreditadas.

Este modelo responde diretamente à lógica de desconfiança que José Capote assume como princípio, ao admitir que “se eu fosse cliente, deveria desafiar a Huawei, porque não confio”, sublinhando a importância de mecanismos independentes de validação.

Segurança ao longo do ciclo de vida

A responsabilidade pela segurança não termina com a entrega do produto, já que, como sublinhou José Capote, “quem é responsável pela operação e manutenção” passa a ser o cliente, mas os riscos mantêm-se ao longo do tempo. Uma vez instalado, o equipamento fica exposto a problemas como “desconfiguração, vulnerabilidade e exploração de software malicioso”, o que exige acompanhamento contínuo.

Neste contexto, a colaboração com o cliente torna-se essencial, num modelo em que a Huawei trabalha na mitigação desses riscos através de mecanismos como assinaturas digitais e gestão de certificados, garantindo “que este é o cliente que controla a autenticação do equipamento” e evitando acessos indevidos ou falsificação de identidade.

A gestão do ciclo de vida, incluindo atualizações e resposta a vulnerabilidades, integra também processos estruturados, como a “gestão de vulnerabilidades responsáveis”, assegurando acompanhamento até ao momento em que o equipamento deixa de ser suportado.

Governar com base no risco

A visão apresentada assenta num modelo de governação baseado no risco e na proporcionalidade, já que “dependendo da criticalidade da entidade”, sendo “necessário implementar mais controlos de segurança” e ajustar o nível de proteção ao contexto.

Standards e certificações funcionam como referência, mas exigem validação contínua, numa lógica em que “é preciso estar preparado para auditorias”, não apenas ao nível do produto, mas também dos serviços associados, desde a instalação até ao suporte ao cliente.

Neste modelo, a abordagem de zero trust surge como princípio transversal, assente na ideia de que “se não há confiança, então não há confiança, venha de onde vier”, o que reforça a necessidade de avaliar sempre todos os componentes ao longo da cadeia, independentemente da sua origem.

Resiliência através da diversidade

A aplicação deste modelo permite alcançar um equilíbrio entre controlo e flexibilidade, sobretudo ao nível da infraestrutura, onde, como referiu José Capote, “ao nível do equipamento terá diversificação suficiente”, o que contribui para reforçar a resiliência e reduzir dependências críticas entre fornecedores.

Essa diversidade não compromete o controlo, já que a implementação de mecanismos de governação permite gerir os fluxos de informação e serviços, assegurando que “tem a capacidade de controlar que dados entram e que dados saem”, mesmo quando diferentes tecnologias e fabricantes coexistem no mesmo ecossistema.

Ao conjugar estes elementos, a abordagem apresentada no palco da IT Security Summit Porto pelo Cyber Security and Privacy Officer da Huawei reflete uma visão prática da governação em ambiente tecnológico, onde o equilíbrio entre diversidade, controlo e verificação contínua torna-se essencial para garantir segurança num contexto cada vez mais exigente.