“A inovação já não é sobre o que compramos, mas como integramos de forma segura”

Os 25 anos que leva de Câmara Municipal de Vila Nova de Gaia têm permitido a André Assunção, Especialista de Sistemas e Tecnologias da Informação, testemunhar uma “profunda evolução” no departamento e na própria liderança técnica.

No decurso destes anos, e do ponto de vista tecnológico, a mudança mais radical testemunhada por André Assunção passou pelo “abandono progressivo do ‘ferro’ – a tradicional infraestrutura física, on-premises – e o abraçar de serviços e arquiteturas baseadas na cloud”.

Hoje, o especialista foca o seu trabalho numa camada cada vez mais fundamental nas organizações – a cibersegurança –, que levou a uma “maior alteração estratégica”. “Passámos de um modelo de ‘castelo e fosso’, onde tentávamos ‘fechar tudo a sete chaves’, com acessos restritos, para um modelo de defesa em profundidade, baseado em camadas e identidade”, contextualiza.

A cibersegurança passou a ter uma palavra a dizer

Para André Assunção, a mudança de paradigma da tecnologia – através da cloud –, e da estratégia – através da segurança em camadas –, leva a uma mudança de paradigma: “A inovação já não é sobre o que compramos, mas como integramos de forma segura. A cibersegurança deixou de ser um add-on para ser a fundação de qualquer novo projeto”, defende o especialista.

“Na Câmara Municipal de Vila Nova de Gaia, a transformação digital é, hoje, inseparável da estratégia de cibersegurança. O nosso foco principal é garantir que a modernização dos serviços assenta numa postura de segurança robusta e numa base de confiança”, esclarece, apontando para uma gestão da tecnologia com base na própria gestão do risco. “Quando surge uma inovação, a minha primeira pergunta não é ‘quanto custa?’, mas sim ‘qual é o impacto na nossa superfície de ataque?’. Em vez de dizermos ‘não’ a um novo serviço cloud, dizemos ‘sim, mas’ e desenhamos a arquitetura com controlos compensatórios, como a autenticação multifator, para garantir que a inovação e a continuidade operacional podem e devem coexistir”, frisa.

A certificação ISO/IEC 27001 e a preparação para a total conformidade com a Diretiva NIS2 são os dois pontos centrais na atual iniciativa estratégica do departamento. “Não se trata apenas de um exercício de compliance; é uma mudança cultural profunda”, garante. No entanto, as limitações e a justificação para o investimento não deixam de ser uma realidade a ter em conta quando os atores são entidades do setor público.

A IA generativa ao serviço da tomada de decisão

Na perspetiva do município, tecnologias como a Inteligência Artificial (IA) generativa, a automação, a cloud híbrida e a análise de dados são “ferramentas poderosas” que, no entanto, “exigem uma governação muito cuidada”. Se a cloud híbrida já é uma realidade, a automação surgiu para ajudar na eficiência interna.

No que toca à IA generativa, a abordagem na Câmara de Gaia passa por um “uso controlado”, com a exploração do seu potencial em processos internos, sem perder de vista, no entanto, “uma governação rigorosa sobre a soberania e a privacidade dos dados, garantindo o cumprimento total do RGPD antes de qualquer implementação em larga escala”.

A análise de dados tem sido a grande beneficiada desta transformação, com a evolução “de uma gestão reativa para uma gestão proativa, baseada em factos”. “A criação de métricas e dashboards específicos – seja para monitorizar a performance da infraestrutura, os tempos de resposta a incidentes ou os alertas de segurança em tempo real – permite que a tomada de decisão, tanto a nível técnico como ao nível do Executivo Municipal, seja cada vez mais rápida e fundamentada em dados concretos”, justifica André Assunção.

Cidadãos e colaboradores: os maiores beneficiários da transformação

Na jornada positiva de transformação tecnológica, cidadãos e colaboradores são os que tiram maior partido desta mudança: se por um lado a automação de processos e a integração destas tecnologias nos sistemas existentes tem permitido aos colaboradores técnicos dedicarem-se a tarefas de maior inovação e valor, por outro, os resultados permitem uma abordagem aos serviços digitais “mais estável e segura para o cidadão”.

A mudança cultural e a consequente capacitação de equipas é um dos principais desafios e prioridades da Divisão de Equipamentos e Sistemas de Informação. “Numa organização do setor público como a nossa, com uma superfície humana tão vasta e com perfis de utilizadores tão diversos – que vão desde auxiliares operacionais ao Executivo Municipal –, o desafio de nivelar os conhecimentos tecnológicos e de segurança é imenso”.

A abordagem faz-se em várias frentes, através da formação específica, campanhas de awareness, sensibilização, colaboração, identificação e capacitação de “pontos focais”, presentes em todos os serviços. “Estes ‘guardiões’ não são técnicos, mas permitem que todos os trabalhadores recebam formação adicional de segurança. Tornam-se elos de ligação ao nosso serviço, ajudando a ‘traduzir’ as nossas políticas de segurança para a realidade do seu trabalho e, em sentido inverso, trazem-nos os desafios específicos deles”, reitera o especialista.

Um cliché com muitos rostos

“Podemos desenhar e implementar a arquitetura tecnológica mais avançada, mas a transformação digital começa e acaba na cultura da organização. No meu papel, muito focado em cibersegurança, vejo diariamente que o ser humano é, por natureza, o vetor de ataque mais explorado e, por isso mesmo, o mais suscetível”, considera o especialista, que aponta para as pessoas como fator-chave para o sucesso do processo de transformação digital de uma organização.

Neste ponto, André Assunção defende que “o sucesso de qualquer novo sistema digital está diretamente dependente da nossa capacidade de garantir a integridade do nosso sistema”, o que, por si só, só é possível alcançar graças a uma “cultura ciber” que abarca desde o utilizador final à gestão de topo: “A transformação digital mais eficaz não começa nos sistemas ou nos servidores; começa nas pessoas”.

Desafios a ultrapassar

Internamente, um dos desafios, sublinha André Assunção, passa por “convencer, de forma contínua, a gestão de topo sobre a necessidade de investimento e, crucialmente, da necessidade de criar e formalizar novos papéis no setor público”.

Externamente, a dificuldade passa por estabelecer uma “postura de defesa intermunicipal que seja permanente”. “A cibersegurança exige arquiteturas e estratégias de longo prazo que, por definição, transcendem os ciclos de governação local. Frequentemente, as prioridades conjunturais, a natureza de cada mandato e a estratégia de cada Executivo Municipal terão de se adaptar à criação de alianças estratégicas de defesa que são fundamentais ao abrigo da própria Diretiva NIS2”, observa o especialista.

O caminho a seguir

A prioridade da Divisão de Equipamentos e Sistemas de Informação passa por garantir “a conformidade total com a Diretiva NIS2”, uma jornada que conta já com uma base sólida. “Existe já uma grande maturidade e foco na liderança técnica da nossa Divisão, como na nossa Direção Municipal, que sempre entenderam a importância da segurança como um pilar estratégico”, partilha. A próxima fase irá exigir o alinhamento do esforço e dos processos implementados com as novas exigências.

Para o futuro, o papel do Diretor de IT será, na visão de André, “obrigatoriamente híbrido”, mas sem que seja, necessariamente, “uma desculpa para a iliteracia tecnológica”. “No setor público, a principal função de um líder de IT moderno é a gestão de risco. É impossível analisar o risco de negócio de uma vulnerabilidade, ou decidir sobre a implementação de uma arquitetura, sem ter um conhecimento técnico profundo. O líder de IT do futuro tem de ser um estratega que entende o “negócio”, mas que só o consegue proteger e inovar porque fala fluentemente a linguagem tecnológica”, conclui.