Luis Pérez Pau, CISO, grupo de saúde Ribera
Questionado sobre as ameaças que lhe tiram o sono à noite, Luis Pérez Pau, CISO do grupo de saúde Ribera, refere que se sente impotente face às vulnerabilidades, porque “é algo contra o qual não se pode defender, apenas reagir, e o invasor está “um passo à frente quando se trata de explorá-lo e aceder aos seus sistemas”. O gestor acrescenta durante o debate “Segurança cibernética, uma questão pendente no setor da saúde?” organizado pela Cybersecurity TIC que o impacto de uma vulnerabilidade pode chegar a qualquer momento, em qualquer sistema. Não importa quantas medidas de segurança tenham sido implementadas, perante uma vulnerabilidade “não podemos prever qual será a próxima rota de entrada e que impacto ou alcance terá”, afirma.
Questionado sobre como está a ser abordada a protecção dos dados clínicos e onde estão os desafios, Luis Pérez Pau comenta que se baseia na descoberta dos dados, aspeto que considera “deve ser automatizado na medida do possível para, com base numa série de fórmulas e algumas ferramentas com inteligência artificial, fazer rotulagem quase em metadados para saber onde estão esses dados clínicos e estabelecer medidas de controle.”
O CISO do grupo de saúde Ribera assegura ainda que devem ser dotados ao utilizador “meios adequados e procedimentos estabelecidos para que atuem com os dados de forma responsável e os mantenham dentro do perímetro estabelecido, pois no momento em que saiam desse perímetro não teremos a capacidade de monitorizá-los e protegê-los."
Referindo-se às cópias de segurança para proteger os dados, concorda com os seus colegas de debate em como houve uma grande evolução e que, agora, é o momento de optar por backups imutáveis para não ter nenhum problema caso um ataque cibernético afete os dados.
Luis Pérez Pau deixa claro que a IA generativa é uma excelente tecnologia e pode ser muito benéfica, “mas desde que seja usada de forma responsável”. O grupo de saúde Ribera educa os utilizadores “para que tenham consciência de que a utilização que devem fazer deve estar ligada a uma necessidade de negócio” e que compreendam que tudo o que é partilhado com IAs generativas deve ser considerado público por defeito, para que “esqueça o upload do código-fonte, esqueça o upload das credenciais, esqueça o upload dos processos internos, esqueça o upload dos dados pessoais.”
O gestor também deixa claro que não se pode virar as costas à tecnologia, porque é uma grande vantagem competitiva “mas é preciso migrar para soluções corporativas geridas dentro do seu perímetro de confiança”, afirma o CISO da Ribera.
