Com a escalada de ataques informáticos a empresas e instituições em Portugal, perguntámos às principais cadeias de distribuição alimentar e não alimentar se estão a considerar aumentar os seus investimentos em cibersegurança e se a segurança da informação e a cibersegurança fazem parte atualmente do topo das prioridades de gestão.

A Sonae MC, divisão de retalho alimentar do grupo da Maia, tem vindo a realizar um investimento contínuo em cibersegurança nos últimos anos, afirma Pedro Cupertino de Miranda, diretor de gestão de risco, cibersegurança e proteção de dados, em entrevista ao Hipersuper. “A MC já acompanha com particular atenção as questões de cibersegurança ao longo dos últimos anos, analisando detalhadamente incidentes ocorridos com outras empresas de retalho, produzindo lições aprendidas que são incorporadas no processo de melhoria contínua de ciber resiliência”.

A partir dessa aprendizagem acumulada, Pedro Cupertino de Miranda alerta que, além do investimento no reforço da capacidade de proteção e deteção, as empresas necessitam igualmente de investir em capacidade de resposta e recuperação de incidentes.

Os recentes ataques a empresas e instituições mudaram o chip das empresas portuguesas em relação à cibersegurança? No caso da Sonae, não, garante Pedro Miranda. “Não consideramos ter havido uma mudança de chip, mas sim um incremento do nível de alerta das componentes de cibersegurança da empresa”, defende.

Equipa da Mercadona passa de oito para 30 pessoas em três anos

Também a Mercadona, cadeia de distribuição alimentar espanhola com operação em Portugal desde 2019, tem vindo a reforçar a aposta em cibersegurança nos últimos anos. “Houve uma evolução clara nesta área. Em três anos, a equipa passou de oito para trinta pessoas, diz fonte oficial da empresa ao Hipersuper. Por isso, em 2022, a abordagem à segurança seguirá a linha dos anos anteriores. “[A abordagem passa por] continuar a fortalecer as bases e a avançar com a maturidade”, assegura a mesma fonte, deixando um alerta: os cibercriminosos apoiam-se cada vez mais no uso de técnicas que podem ser legítimas, o que exige, não só, preparação como também conhecimento e funcionamento dos processos internos para detetar tudo aquilo que não é normal nos parâmetros da empresa.

A Mercadona  continua empenhada em ter uma equipa forte. “A proteção do endpoint, a mobilidade e a proteção do email, que hoje é um dos principais vetores de entrada nas empresas, assim como a proteção de rede, são essenciais para estabelecer as bases da segurança informática de uma empresa”. A fonte da Mercadona deixa um conselho: “o fundamental é garantir que temos uma boa equipa, com uma boa liderança, com conhecimentos técnicos para nos mantermos bem informados num setor que muda muito rapidamente e em que surgem novas tecnologias e ameaças. É importante transmitir a mensagem internamente e não cair apenas na cibersegurança dos livros”.

Lidl procura ter uma visão da informação enquanto multinacional

Já para a cadeia de supermercados Lidl, a questão da cibersegurança é imperativa de forma a assegurar a proteção eficaz e adequada da informação e dos sistemas de informação contra quebras de confidencialidade, de integridade e de disponibilidade que garantem a capacidade de produção e a posição concorrencial da empresa, afirma Dionísio Santos, diretor geral de IT do Lidl Portugal, em declarações ao Hipersuper.

Mais do que  uma visão sobre a cibersegurança, o grupo alemão Schwarz, dono do Lidl, procura ter uma visão da informação enquanto multinacional, “abordando, dentro desta, não só a cibersegurança como a ciber-resiliência”, explica. “Se tivermos em consideração vetores como risk management, data classification, governance, patch management, privileged, security awareness, security monitoring, treat and vulnerability management e vendor risk, avaliamos a nossa maturidade com o nível ‘gerido quantitativamente’”.

Além do trabalho realizado diariamente para prevenir, monitorizar e detetar em tempo real possíveis ataques informáticos, o Lidl procura manter as equipas em alerta, informadas e formadas. “O Lidl investe anualmente na formação dos colaboradores (…) um investimento focado nas pessoas e, em segundo plano, nas tecnologias e nos sistemas”, salienta o responsável, acrescentando que os trabalhadores “realizam exercícios de ataque, como por exemplo campanhas de phishing, treinos online, treinos para pagamento seguro com cartões eletrónicos e sessões de treino técnico e esclarecimento”, entre outros.

A equipa de segurança de informação do Lidl é multidisciplinar, com elementos em Portugal e elementos de outros países, como  Alemanha e Espanha, entre outros, e aumenta todos os anos. “Procuramos essencialmente colaboradores com formação superior na área de informática e de engenharia, mas também temos outros colaboradores muito valiosos com outras licenciaturas”, sublinha Dionísio Santos.

“Avaliação da infraestrutura de segurança é um processo dinâmico”

Na Sonae MC, a avaliação da infraestrutura de segurança é um processo dinâmico e ajustado às ameaças, em função dos níveis de risco decorrentes das evoluções tecnológicas e do alicerçar de operações no digital, declara Pedro Cupertino de Miranda. “A empresa tem adotado uma postura de constante melhoria da infraestrutura de cibersegurança realizando os melhores esforços para mitigar potenciais impactos de um incidente nos seus negócios e clientes, investindo em tecnologia, pessoas e processos. A nossa filosofia de proteção assenta na defesa em camadas e tem evoluído recentemente para modelos de zero trust”, acrescenta.

A empresa leva a cabo um exercício anual de gestão de risco para identificar os principais riscos que podem afetar a empesa. Nos últimos anos, o risco ciber tem sido identificado pela gestão de topo com um dos riscos críticos que pode afetar a continuidade do negócio da MC, adianta o diretor de gestão de risco e cibersegurança da retalhista portuguesa.

Fonte do grupo Jerónimo Martins, dono da cadeia Pingo Doce em Portugal, disse apenas que “tem uma área de segurança de informação que é responsável pelo planeamento, implementação e manutenção de um sistema de gestão de segurança da informação e de cibersegurança em todas as companhias do grupo, assente na gestão de riscos, prevenção, deteção, resposta e recuperação de incidentes”.

As  insígnias Aldi, Makro, Coviran, Auchan, Leroy Merlin, Fnac, Ikea, Decathlon e Farfech não responderam às questões do Hipersuper.