3 ADHD
3.2 Årsaksforhold og risikofaktorer
grupo de trabalho com as reuniões técnicas realizada até à presente data.
DESIGNAçãO, âMbITO E ATOS DA ESpECIALIzAçãO
a discussão sobre o âmbito conduziu à for- mulação de que, no contexto do exercício de atos de engenharia informática, se jus- tifica o envolvimento de especialistas em cibersegurança quando os sistemas de in- formação são considerados críticos em termos de cibersegurança à luz de, pelo menos, uma de três circunstâncias: (1) pela regulamentação vigente; (2) pela família de normas iso/ieC 27000; (3) pela organização responsável pelo sistema de informação. Com base na clarificação de âmbito foi pos- sível uma análise mais circunstanciada sobre a designação a adotar. perante hipóteses clássicas e hipóteses consideradas como denotando menor focalização em aspetos tecnológicos, a tendência recaiu sobre a designação de “especialização em Ciberse- gurança”, com o correspondente título de “especialista em Cibersegurança”. esta opção justifica-se pelo facto de a maioria dos or-
ganismos e instituições internacionais terem vindo a adotar a designação de “cyberse-
curity”.
no que diz respeito à aferição da dificuldade da identificação e descrição dos atos da profissão característicos do especialista em Cibersegurança chegou-se à conclusão de que a solução mais sustentável seria a de indexar aqueles atos ao trabalho de comis- sões internacionais, tal como o que tem sido desenvolvido no âmbito do NIST Cy-
bersecurity Framework [3].
COMpETêNCIAS E fORMAçãO COMpLEMENTAR DO ESpECIALISTA
o grupo de trabalho tende maioritariamente a considerar que é socialmente espectável que o especialista em Cibersegurança seja competente para desempenhar as atividades identificadas no Cybersecurity Framework que se encontram enquadradas no âmbito dos 20 atos de engenharia informática per- tencentes aos domínios de intervenção peiti e pasi.
o exercício de alinhamento entre o Cyber-
security Framework e os 20 atos dos do-
mínios peiti e pasi resultou na identificação de 498 atividades (e as correspondentes caracterizações em termos de conheci- mentos e competências) formuladas de uma forma totalmente aplicável quer a contextos genéricos (tipicamente caracterizáveis pelos referenciais iso/ieC 27000 e CoBit), quer a contextos com enormes especificidades em termos de questões de cibersegurança (tais como referenciais relativos aos con- textos hospitalar, financeiro e bancário, res- petivamente).
sobre a questão da formação complementar foi analisada a necessidade de o candidato a especialista em Cibersegurança aprofundar os seus conhecimentos, quer em relação à
ESPECIALIzAçãO vERTICAL
EM CIBERSEGuRANçA
NA ORDEM DOS ENGENhEIROS
resuLtaDos intermÉDios
rIcArDO j. MAchADO
Professor Catedrático de Engenharia e tecnologias dos Sistemas de informação,
Escola de Engenharia da universidade do minho
Presidente do Conselho nacional do Colégio de Engenharia informática
da ordem dos Engenheiros
rIcArDO OLIveIrA
Consulting Services director, Eurotux informática vogal do Conselho regional norte do Colégio de Engenharia informática
sessão tÉCniCa paraLeLa – SISTEMAS E CIbERSEGURANçA
formação anterior no domínio da engenharia informática, quer no que diz respeito a ou- tros domínios do saber, tais como o Direito e a estratégia organizacional, em temas re- lacionados com cibersegurança.
o grupo de trabalho do Colégio de enge- nharia informática considera que a formação complementar formal em legislação nacional e europeia relacionada com cibersegurança é fundamental para o especialista em Ci- bersegurança. no que diz respeito à for- mação complementar no domínio da es- tratégia organizacional, considera que po- derá ser de natureza mais informal, nomea- damente através da realização de um per- curso profissional que exponha o especia- lista às questões clássicas de business/IT
alignment.
o grupo de trabalho considera que a ordem deverá, internamente ou em articulação com outras entidades, promover ações de formação complementares em temas rela- cionados com cibersegurança no âmbito do Direito e a estratégia organizacional por forma a colmatar o eventual défice de oferta formativa formal naqueles temas que possa vir a limitar os membros do Colégio de en- genharia informática no acesso ao título de especialista em Cibersegurança.
AvALIAçãO E pROCESSO DE ACREDITAçãO
seguindo as recomendações do regula- mento das especializações, a apreciação da
candidatura para efeitos da decisão da ou- torga do título de especialista em Ciberse- gurança deve basear-se na avaliação, por análise exclusivamente documental, de um conjunto diverso de aspetos.
Caso o candidato não totalize os pontos exigidos para o reconhecimento da outorga de especialista por apreciação baseada uni- camente em análise documental, o grupo de trabalho considerou útil explicitar o pro- cesso na variante de duas fases de apre- ciação (em que o acesso à fase 2 depende de uma avaliação positiva na fase 1) da se- guinte forma: (1) análise documental – em que é analisada a efetividade e adequação da experiência profissional do candidato na área da cibersegurança durante o número de anos estabelecido no regulamento das especializações, bem como a adequação da formação complementar formal em le- gislação nacional e europeia relacionada com cibersegurança; (2) reunião presencial – em que o candidato demonstra presen- cialmente a sua maturidade científica e téc- nica em relação às atividades identificadas no Cybersecurity Framework que se encon- tram enquadradas nos domínios de inter- venção peiti e pasi dos atos da profissão e justifica de que forma o seu percurso pro- fissional atuou como capacitador da for- mação complementar no domínio da es- tratégia organizacional.
tendo em conta o crescendo de solicita- ções que chegam à ordem para a nomeação de peritos para processos judiciais que en-
volvem questões de cibersegurança, o grupo de trabalho considera muito pertinente que os membros da ordem com a outorga do título de especialista passem a integrar au- tomaticamente a bolsa de peritos do Co- légio de engenharia informática.
pRóXIMOS pASSOS
para a segunda e última fase deste processo estão planeadas reuniões de trabalho com algumas entidades nacionais com respon- sabilidade e interesse em questões de ci- bersegurança, com o objetivo de recolher sugestões relativamente à forma como o grupo de trabalho do Colégio pretende con- cretizar a especialização. está planeado para o final do primeiro trimestre de 2018 a sub- missão à ordem do relatório final, solici- tando formalmente a criação da especiali- zação.
Referências
[1] Ricardo Oliveira. Serviços de Cibersegurança e o seu Enquadramento nos Atos de Engenharia Informática. Sessão de Sistemas e Cibersegu- rança, XXI Congresso da Ordem dos Enge- nheiros, Coimbra, Novembro, 2017.
[2] Ricardo J. Machado. Especialização Vertical em Cibersegurança na Ordem dos Engenheiros. Sessão de Sistemas e Cibersegurança, XXI Con- gresso da Ordem dos Engenheiros, Coimbra, Novembro, 2017.
[3] NIST Cybersecurity Framework: www.nist.gov/ cyberframework
C
onsiderando o novo paradigma da segurança e defesa, a nato assumiu, na cimeira da polónia (varsóvia, julho de 2016), que o ciberespaço constitui um novo domínio operacional e compro- meteu-se a fortalecer a ciberdefesa ao nível dos estados e da organização. nesse sentido, o ciberespaço em geral e a cibersegurançaem particular estão, e devem continuar a estar, a ser trabalhados nas dimensões po- lítica, estratégica, operacional e tática. nesta era da informação e do conhecimento, com novos aceleradores da mudança (desde a demografia à tecnologia), é fundamental que a união europeia e a nato contribuam para o reforço da cultura estratégica dos estados de direito democrático, não só em geral, desenvolvendo capacidades coope- rativas relacionadas com a segurança e de- fesa segundo um princípio de pooling and
sharing, mas também em particular, no âm-
bito dos desafios criados pelas novas ameaças transnacionais, designadamente no que concerne ao terrorismo e à cibersegurança. a visão estratégica ao nível do estado deve ser orientada no sentido do reforço das po- tencialidades e da redução das suas vulne- rabilidades, e no caso de portugal certa- mente que o ciberespaço tem sido e poderá continuar a ser uma mais-valia. em primeiro lugar pelas características intrínsecas dos “descobridores” portugueses, ávidos de ino- vação e detentores de elevada criatividade. em segundo lugar, porque já vêm desen- volvendo trabalho reconhecido na união europeia e na nato, ocupando um espaço que deve ultrapassar as fronteiras da inves- tigação para o desenvolvimento, com a par- ticipação, ainda mais ativa e integrada, de todos os atores já envolvidos, desde o es- tado (com a estratégia nacional de segu- rança do Ciberespaço – rCm 36/2015 de 12 de junho) à instituição militar (caso dos grupos de trabalho na nato e na ue), pas- sando pela “academia” (cursos e iD&i) e pela indústria (em especial a ligada à defesa). ao nível da educação, formação e treino, área fundamental de investimento no futuro, portugal está na linha da frente das inicia- tivas Cyber, designadamente pela liderança do projeto Smart Defence da nato Multi-
national Cyber Defence Education and Trai- ning (mn CD e&t), na transferência da NATO Communications and Information Systems Scholl (NCISS), de itália (Latina) para portugal
(oeiras) em 2018/19, na realização de dife-
rentes cursos Cyber (designadamente na academia militar) e exercícios (caso do Ciber perseu) e pela criação e alojamento da pla- taforma de e-learning “Cyber Defence Trai-
ning & Exercise, Coordination and Support Platform” (CD teXp), com financiamento
direto da agência europeia de Defesa. no contexto da cibersegurança, quer nos âmbitos da ue e nato, quer em portugal, foram criados órgãos de conselho e de coordenação, centros nacionais e órgãos de operações e gestão de crises que coo- peram crescentemente a nível multinacional, reforçando no cidadão a perceção de se- gurança digital.
Como referiu recentemente o tenente-ge- neral paul nakasone, comandante do U.S.
Army Cyber Command, é fundamental in-
vestir, investigar e agir de modo integrado e coordenado, pois só assim nos podemos “antecipar”, princípio-chave para enfren- tarmos com eficiência e eficácia as ameaças no âmbito do ciberespaço.
em suma, é preciso assumir um novo pa- radigma na era digital, adotando uma pers- petiva mais holística de combate às ameaças do ciberespaço (que inclua mais cooperação multinacional e mais integração das infor- mações), assumir uma melhor gestão do espaço mediático e investir mais e melhor na educação, formação e treino, desde as novas gerações, passando pelos líderes, que crescentemente necessitam de “separar o essencial do acessório”. só assim garantimos a soberania e asseguramos a nossa própria sobrevivência. a engenharia e os engenheiros têm e terão um papel muito importante neste futuro onde a cibersegurança terá certamente um papel proeminente.