Imprensa e Menções

Para lidar eficazmente com as auditorias internas de conformidade em cibersegurança, as organizações devem realizar auditorias internas regulares para avaliar o seu estado de conformidade antes da auditoria oficial. Esta prática ajuda a identificar vulnerabilidades, garantir a adesão às normas regulamentares e manter uma postura de segurança robusta.

Uma boa prática a seguir é manter documentação detalhada de todas as políticas, procedimentos e controlos de segurança. Esta documentação é crucial para que os auditores verifiquem a conformidade e para que a organização demonstre o seu compromisso com a cibersegurança.

Além disso, as organizações devem manter os seus sistemas e software atualizados, reforçar a gestão de identidade e acesso, preparar-se para a resposta e comunicação de incidentes, garantir a conformidade de fornecedores terceiros e formar os funcionários em práticas de conformidade e segurança. Estes passos não só ajudam a passar na auditoria, mas também melhoram a postura geral de cibersegurança da organização.

A pessoa mais influente na minha carreira foi o meu pai, James Knauss, que faleceu no ano passado. A sua profissão de Eletricista Mestre estava muito longe do cargo de Chief Information Security Officer em que acabei por me encontrar, mas a distância entre os nossos campos não importava. Ele ensinou-me três lições cruciais que formaram a própria essência de quem eu sou, tanto como pessoa quanto como líder em cibersegurança.

As duas primeiras lições foram pilares fundamentais de caráter e profissionalismo. Primeiro, seja honroso: se faz uma promessa ou um compromisso, deve honrá-lo a todo custo. Este princípio de integridade inabalável é inegociável. Segundo, ele ensinou-me que “chegar a tempo é chegar atrasado”, incutindo o hábito de aparecer sempre cinco minutos antes. Este simples ato demonstra respeito, prontidão e um compromisso de não desperdiçar o tempo dos outros.

Finalmente, a terceira lição foi sobre temperamento e impacto: nunca levantar a voz. Ele ensinou-me que a voz mais fácil de ouvir e entender é a suave, comedida. Num campo de alta pressão como a cibersegurança, esta lição tem sido inestimável. Ensinou-me que a verdadeira força na liderança não vem do volume, mas da clareza, da calma e da fiabilidade inabalável que ele exemplificou. Estes três princípios são a base da minha vida profissional.

"Não aceite um trabalho que não o entusiasme"... Esse conselho é praticamente tudo, porque esse entusiasmo inicial é a fonte de toda a sua resiliência mais tarde. Não se trata do fator "cool" superficial de um produto; trata-se de ter uma crença profunda na missão da empresa. Esse propósito torna-se a sua âncora quando as coisas inevitavelmente correm mal. Quando está a lidar com uma interrupção do sistema às 3 da manhã ou um projeto que está completamente fora dos trilhos, a única coisa que o mantém é o conhecimento de que está a lutar por algo que importa. Sem essa convicção central, a pressão constante é apenas uma rotina que o esgotará completamente.

A minha técnica preferida para resolver problemas é sempre a ‘fatorização do problema’. A ideia central é pegar numa questão grande, complexa e muitas vezes avassaladora e dividi-la nos componentes mais atómicos e solucionáveis que conseguir. Ao recusar-se a lidar com o problema grande e, em vez disso, focar-se nos menores subproblemas possíveis, pode fazer progressos constantes, isolar pontos de falha e construir um ímpeto em direção a uma solução completa. Transforma um desafio intimidante numa lista de verificação gerenciável.

A minha principal dica acionável para alcançar objetivos significativos em 2025 é reduzir o seu objetivo principal a uma única frase clara e afirmativa. Esta abordagem é eficaz porque muda o foco de depender da motivação, que é um sentimento fugaz, para estabelecer um sentido duradouro de propósito. O próprio ato de criar esta frase força-o a cortar o ruído e as distrações da vida diária, proporcionando clareza absoluta sobre o que é essencial. Este processo transforma uma aspiração vaga numa missão concreta e pessoal.

O grande problema com a adoção generalizada de VoIP é que ela expande radicalmente a superfície de ataque. Não é diferente de qualquer outra aplicação crítica que movemos para a nuvem; agora são apenas pacotes de dados.

Preocupam-me os ataques DDoS baseados em SIP direcionados que derrubam toda a nossa pilha de comunicações, ou campanhas de vishing sofisticadas que falsificam extensões internas para atingir os nossos executivos. E a fraude de portagem é um verdadeiro assassino de orçamentos.

Por ser baseado em IP, está amplamente aberto aos ataques clássicos da camada de rede: escuta, man-in-the-middle na sinalização de chamadas, o que quiser. Se esse tráfego não estiver encriptado de ponta a ponta (tanto sinalização quanto mídia), estamos expostos.

Honestamente, tudo se resume aos fundamentos. Temos de tratá-lo como qualquer outra carga de trabalho crítica: encriptação forte, segmentação de rede adequada para isolar a VLAN de voz e formação implacável dos utilizadores sobre vishing. É apenas mais um ativo de alta prioridade para defender.

A melhor defesa contra golpes de IA e deepfakes não é uma nova tecnologia; é uma nova mentalidade. Temos de tratar cada pedido urgente e inesperado com uma boa dose de ceticismo. A regra de ouro é 'verificar antes de agir'. Se uma chamada ou mensagem pedir informações sensíveis ou uma transferência rápida de fundos, desligue e use um número de contacto de confiança e previamente guardado para verificar o pedido. Esta simples ação interrompe o cronograma do golpista e devolve-lhe o controlo.

Como CTO, vejo a gestão da dívida técnica não como uma tarefa de limpeza, mas como uma parte central da nossa gestão estratégica de riscos e recursos. Embora alocar uma percentagem do nosso tempo — digamos, 10% — para refatoração seja uma tática comum, uma abordagem madura vai muito mais fundo, focando-se na prevenção proativa e no reembolso direcionado.

Tornar a Dívida Visível e Quantificável

Primeiro, não se pode gerir o que não se usa. Tratamos a dívida técnica como um passivo financeiro num balanço. Usamos uma combinação de ferramentas de análise de código estático, acompanhamento da complexidade do código, identificação de dependências desatualizadas e criação de um "registo de dívidas" formal. Cada item no registo é marcado com o seu potencial impacto — Está a atrasar o desenvolvimento de funcionalidades? Representa um risco de segurança? Está a impactar o desempenho do sistema? Isso torna o conceito abstrato de "dívida" concreto e permite-nos discuti-lo em termos de negócio.

É aqui que está a verdadeira alavancagem. A dívida mais barata de corrigir é a dívida que nunca se cria. Fundamental para isso é o nosso cronograma de aplicação de patches rigoroso e automatizado para todas as dependências e sistemas, pois as vulnerabilidades não corrigidas são uma das formas mais perigosas de dívida técnica. Também impomos a Infraestrutura como Código (IaC) para a gestão de configuração para evitar desvios e garantir que os nossos ambientes são reproduzíveis e consistentes, o que elimina uma enorme fonte de dívida operacional. Além disso, temos um processo leve de revisão arquitetónica para evitar decisões que nos levariam a um beco sem saída anos mais tarde. Finalmente, a nossa definição de "concluído" para qualquer tarefa inclui testes adequados, documentação e adesão aos nossos padrões de codificação estabelecidos. Cortar estes cantos é como a dívida começa, por isso simplesmente não o permitimos.

Não damos apenas às equipas uma "taxa fixa de 10%" para trabalharem no que quiserem. Gerimos o nosso registo de dívidas como um backlog de produto e explicitamente incluímos itens relacionados com dívida juntamente com novas funcionalidades durante o planeamento. A priorização é impulsionada inteiramente pelo impacto. Abordamos sempre primeiro a dívida de alto risco, como vulnerabilidades de segurança e problemas de estabilidade. Em seguida, visamos a dívida de "taxa de juro" em áreas do codebase onde estamos a desenvolver ativamente, pois o seu pagamento imediato acelera a entrega de novas funcionalidades. Alguma dívida, no entanto, é aceitável. Se um pedaço de código "feio" está numa parte do sistema que raramente muda e funciona de forma fiável, escolhemos conscientemente deixá-lo em paz. Não há valor em refatorar por uma questão de elegância.

Como especialista em cibersegurança, acredito que os gestores de senhas são uma ferramenta vital para melhorar a segurança online. Eles simplificam o processo de gerir senhas fortes e únicas para múltiplas contas, o que é crucial no panorama digital de hoje.

No entanto, é importante usá-los corretamente para maximizar os seus benefícios. Uma dica crucial para usar gestores de senhas de forma segura é ativar a autenticação de múltiplos fatores (MFA).

A MFA adiciona uma camada extra de segurança, exigindo não só a sua senha mestra, mas também uma segunda forma de verificação, como um código enviado para o seu telefone ou uma leitura biométrica.

Isso reduz significativamente o risco de acesso não autorizado, mesmo que a sua senha mestra seja comprometida.

Além disso, certifique-se de escolher um gestor de senhas respeitável que ofereça funcionalidades de segurança robustas e que atualize regularmente o seu software para proteger contra ameaças emergentes.

"A ideia do Tony era pegar num leitor de MP3, construir um serviço de venda de música tipo Napster para o complementar e construir uma empresa em torno disso", disse Knauss. "O Tony teve a ideia de negócio." Knauss disse que Fadell deixou a Philips e estabeleceu-se como um contratado independente para apresentar a ideia. Knauss disse que Fadell abordou várias empresas e foi rejeitado por todas, exceto pela Apple.

O interessante sobre o iPod é que, desde o seu início, teve 100% do tempo de Steve Jobs. Poucos projetos conseguem isso. Ele estava intensamente...

"A ideia do Tony [Fadell] era pegar num leitor de MP3, construir um serviço de venda de música tipo Napster para o complementar e construir uma empresa em torno disso. O Tony teve a ideia de negócio."

"#Winprog atira-te na cara o teu fracasso", disse Knauss.

O tempo pode estar a esgotar-se. Recentes cortes nas taxas podem sinalizar uma tendência de queda, o que significa que estes atrativos pagamentos de anuidades podem não durar. Para quem está indeciso, o risco de esperar é que possa fixar um rendimento vitalício mais baixo.