Viemos tempos marcados pela digitalização acelerada e por um clima geopolítico cada vez mais volátil, as infraestruturas críticas enfrentam um novo campo de batalha: o ciberespaço. No segundo episódio do podcast “Seguros Nunca Estamos”, Luís Felipe Morais, Chief Information Security Officer (CISO) da Galp, revelou a anatomia de uma estratégia de cibersegurança que vai muito além da tecnologia – um modelo de ciber-resiliência assente em cultura, processos e, acima de tudo, pessoas.
Com duas décadas de experiência no setor, e um percurso que começou no histórico CERT.PT, Luis Morais descreve a cibersegurança não como uma barreira estanque, mas como um ecossistema adaptativo. “Partimos sempre do princípio que as nossas defesas vão falhar”, afirma, com a franqueza de quem compreende a sofisticação crescente dos ataques digitais. “A missão é garantir que, mesmo perante falhas, continuamos a entregar energia aos nossos clientes.”
A Galp, uma das maiores empresas de energia da Europa, é hoje simultaneamente alvo e referência. Alvo, por operar num setor crítico particularmente visado no contexto da guerra híbrida que atravessa a Europa. Referência, por ter sido recentemente classificada entre as cinco empresas energéticas com melhores práticas de cibersegurança, fruto de um roadmap de maturidade que visa posicioná-la no quartil superior do setor.
Essa maturidade não é feita apenas de firewalls ou tecnologias de última geração. Está ancorada numa visão holística que alia processos operacionais robustos a uma cultura organizacional vigilante. A Galp implementou o CyberON, um programa interno de formação e gamificação que visa transformar cada colaborador num agente de segurança. “As pessoas são o elo mais forte da cadeia”, defende Luís Morais, contrariando o cliché do “elo mais fraco”. Através de simulações realistas, testes de phishing e aprendizagem adaptativa, a empresa cria um ecossistema em que os utilizadores não só reconhecem ameaças como as reportam com eficácia.
A complexidade acrescida da Galp advém da sua operação em dois mundos tecnológicos: o IT (tecnologias de informação) e o OT (tecnologias operacionais). A convergência entre ambos, inevitável num setor em transição para energias renováveis, exige uma arquitetura de segurança transversal. “Trabalhamos com tolerância zero ao risco em áreas críticas. A vida das pessoas e a segurança das comunidades não são negociáveis”, sublinha.
A construção da nova fábrica de hidrogénio verde em Sines é um exemplo paradigmático dessa abordagem. Desde a fundação da infraestrutura, a equipa de cibersegurança participa no desenho dos sistemas e nos controlos técnicos a implementar – um verdadeiro caso de resiliência by design. Simultaneamente, a inteligência artificial e a automação já integram o núcleo das operações, tanto na deteção como na resposta a incidentes. “Os robôs não substituem a equipa, mas libertam-na para pensar estrategicamente”, explica Luís Morais. A luta é, cada vez mais, AI contra AI.
No plano regulatório, o CISO da Galp vê com bons olhos a nova diretiva europeia NIS2 e o Cyber Resilience Act, apesar das sobreposições normativas que, admite, exigem maior harmonização. Mais do que um imperativo legal, encara a regulação como uma oportunidade de reforçar a resiliência nacional e europeia.
Mas talvez a mensagem mais perene desta conversa resida na intersecção entre missão e formação. Além de liderar a segurança da Galp, Luís Morais é também docente no ensino superior. “Ensinar ajuda-me a aprender”, diz. O seu compromisso com a capacitação de novos profissionais revela uma visão onde a cibersegurança não é um feudo técnico, mas uma causa comum.
Num mundo onde o risco digital é ubíquo e a transformação energética é irreversível, o trabalho do CISO torna-se central. Na Galp, esse trabalho é feito com rigor técnico, clareza estratégica e uma profunda consciência de missão. Porque, como Luís Felipe Morais recorda, “no fim do dia, o objetivo é simples: garantir que a energia continua a chegar a quem dela precisa para mover a sua vida.”