Ponto Digital

Instagram Facebook-f Linkedin-in Youtube
Área Reservada
teste as suas competências
logo ponto digital white
Menu

Rumo à ciber-resiliência organizacional: estratégias para a formação em competências de cibersegurança e reforço da sensibilização para as ciberameaças

Notícias

Este resumo descreve estratégias para desenvolver competências de cibersegurança e aumentar a sensibilização para as ciberameaças de uma forma que corresponda aos objetivos empresariais organizacionais e ao contexto operacional. Em primeiro lugar, mergulha no papel das competências digitais como a base necessária para melhorar as capacidades essenciais no domínio da cibersegurança e avança para explorar por que razão precisamos de compreender o que precisamos de proteger para garantir uma formação eficaz. 

Os esforços de cibersegurança devem ser orientados por uma análise de risco, uma compreensão do cenário de ameaças e uma avaliação clara da superfície de ataque da organização (ou seja, a área em que a organização pode ser atacada). O desenvolvimento de competências avançadas em matéria de cibersegurança para minimizar esta superfície de ataque traduz-se em segurança a nível organizacional). Além disso, devem ser aplicadas medidas de proteção adaptadas a cada bem (ou seja, aquilo que temos de proteger), refletindo o seu valor único e vulnerabilidade. 

O treinamento em segurança cibernética não é meramente processual, mas forma uma estrutura estratégica dentro da governança de segurança da informação que aumenta a prontidão de segurança. Estabelecer um nível básico de cibersegurança através de programas de sensibilização é um passo fundamental. Esses programas promovem uma cultura de vigilância, permitindo que os funcionários identifiquem e respondam às ameaças de forma eficaz. Várias iniciativas a nível nacional e da UE visam promover o desenvolvimento de competências em matéria de cibersegurança para a mão de obra e os cidadãos europeus, e este resumo enumera algumas das mais impactantes num dos seus capítulos. 

Por último, este artigo prepara o terreno para um debate mais aprofundado sobre estratégias específicas para criar resiliência organizacional contra ciberameaças de uma forma coerente e eficaz em termos de tempo, como parte da governação global da segurança e da arquitetura de segurança relevante, concatenando entre os diferentes domínios de interesse da organização.

Palavras-chave

Habilidades cibernéticas, consciência de ameaças, competência digital, objetivos de negócios, ativos críticos, valor de tempo, análise de risco, vetores de ataque, mitigação, conscientização.

Introdução

Este documento oferece uma visão geral de alto nível das abordagens para desenvolver competências de cibersegurança e aumentar a sensibilização para as ciberameaças. Apresenta exemplos que ilustram como as competências digitais podem melhorar as capacidades essenciais de uma organização e apoiar operações seguras.

Embora tenha sido colocada uma ênfase significativa na segurança das redes e da informação (ver Diretiva NIS2) e no desenvolvimento de competências cibernéticas na UE (ver Quadro Europeu de Competências em Cibersegurança), há ainda muito trabalho a fazer. 

Em termos de segurança, as operações diárias de qualquer organização são guiadas pelos seus objetivos de negócio, que definem o que é mais importante. São objetivos de negócio da organização que 1) definem o âmbito das atividades da organização e 2) orientam o nível e a direção da experiência e do talento necessários. Compreender estes objetivos é essencial ao desenvolver competências de cibersegurança adaptadas às necessidades das empresas, uma vez que, em última análise, informam como proteger os ativos críticos da organização, sejam eles tangíveis ou intangíveis. Esta arquitetura global é parte integrante da governação da segurança da informação da organização.

Entre estes ativos críticos, e à medida que a organização prossegue as suas atividades, o tempo destaca-se como particularmente valioso. Não é renovável nem recuperável, o que faz da sua gestão uma preocupação prioritária. As atividades que envolvem a gestão ou otimização do tempo são muitas vezes complexas e difíceis de implementar. A formação em cibersegurança é uma dessas atividades intensivas em termos de tempo: para ser eficaz, tem de estar alinhada com os objetivos específicos da organização e as necessidades operacionais como parte da governação da segurança da informação. De facto, cada ativo dentro de uma organização tem características únicas e requer medidas de proteção personalizadas para garantir a sua segurança. O desenvolvimento de competências de cibersegurança não é apenas um exercício de formaçãocria um quadro estratégico para proteger estes ativos críticos de uma forma inteligente e eficiente através das respetivas medidas de segurança.

Para desenhar programas de treinamento relevantes, é essencial primeiro entender o que precisa ser protegido no negócio. Esta clareza é crucial para identificar o tipo e o âmbito da formação exigida num contexto organizacional. Além disso, as ameaças cibernéticas e os vetores de ataque correspondentes – que se manifestam de várias formas – devem ser identificados e avaliados com precisão. Isto permite a implementação de medidas de mitigação adequadas. Uma análise de risco minuciosa, juntamente com uma compreensão do cenário de ameaças da organização, é fundamental para este processo. Igualmente importante é identificar e abordar a superfície de ataque da organização, que representa potenciais pontos de entrada para ciberataques.

O estabelecimento de um nível de base de cibersegurança é um primeiro passo fundamental para a construção de uma estratégia coerente de desenvolvimento de competências. É aqui que os programas de sensibilização para a cibersegurança desempenham um papel fundamental. A sua principal função é incutir uma cultura de consciencialização em toda a organização, permitindo aos colaboradores não só reconhecer potenciais ameaças, mas também agir de forma responsável e comunicar incidentes de forma adequada.

Os capítulos seguintes examinarão mais aprofundadamente os termos-chave introduzidos acima e apresentarão estratégias de formação em competências de cibersegurança adaptadas às necessidades organizacionais, com o objetivo de reforçar as defesas contra ciberameaças, sempre em consonância com os objetivos de negócio da organização.

A Ideia – Âmbito e Objetivos

O centro de gravidade da segurança de uma organização é diferido com base nos princípios de confidencialidade, integridade e disponibilidade (CIA) (ver figura 1). Isto é vital para qualquer análise de segurança adicional. 

Estes conceitos definem a segurança da informação e a governação de segurança da organização. 

Os Objetivos de Negócio estão interligados com a tríade de segurança. Cada organização deve identificar e definir claramente as interdependências da tríade de segurança com a sua atividade principal em conformidade.

Além disso, as principais atividades de uma organização em cibersegurança podem ser classificadas em 4 níveis primários: estratégico, tático, operacional e técnico. Em conjunto, estes níveis formam um ecossistema abrangente de ações que apoiam a postura geral de cibersegurança da organização em todas as suas atividades. A tríade de segurança é uma parte fundamental deste processo.

A segurança da informação desempenha um papel vital na minimização de riscos, garantindo a continuidade dos negócios e aumentando o retorno do investimento e as oportunidades de crescimento. Neste quadro, a organização deve dirigir e gerir eficazmente as atividades nos três níveis-chave de gestão: Estratégico, Operacional e Tático (Solms e Solms, 2006). 

O objetivo geral é alinhar estes níveis de gestão com as atividades essenciais e o desenvolvimento de competências de cibersegurança. O desenvolvimento de competências cibernéticas é uma parte crítica deste processo e deve ser integrado na cadeia de valor da organização. Isto garante a coerência com os objetivos de negócio e aumenta a resiliência da cibersegurança da organização.

Todas as organizações devem implementar iniciativas de cibersegurança a nível estratégico, operacional, tático e técnico. A incorporação do desenvolvimento de competências cibernéticas na cadeia de valor garante o alinhamento com os objetivos de negócio. Uma segurança robusta das informações reduz os riscos, suporta a continuidade e impulsiona o crescimento. Uma coordenação eficaz em todos os níveis de gestão é essencial para construir uma cultura resiliente e consciente da segurança. 

Os esforços de formação e sensibilização devem ser adaptados para salvaguardar os ativos (o que temos de proteger) e abordar o ambiente de ameaças único da organização. Neste contexto, podem ser implementadas várias atividades, tais como:

  • Desenvolver competências de cibersegurança dentro da organização para se alinharem com os seus objetivos de negócio e necessidades operacionais.
  • Aumentar a conscientização sobre ameaças cibernéticas em todos os níveis da organização para promover uma cultura de segurança proativa.
  • Estabelecer um nível básico de segurança cibernética como um passo fundamental para a construção de uma força de trabalho resiliente e informada.
  • Proteja ativos organizacionais críticos — tanto tangíveis (por exemplo, sistemas de TI, infraestrutura) quanto intangíveis (por exemplo, tempo, conhecimento, dados) — por meio de treinamento estratégico e conscientização.
  • Adaptar as estratégias de cibersegurança para refletir o cenário de risco específico e os vetores de ameaça enfrentados pela organização.

O atual ambiente de ameaças – Ponto da situação

Se analisássemos mais aprofundadamente o ambiente de ameaças reais (tal como o enfrentamos atualmente), veríamos que consiste numa série de ameaças que permeiam praticamente todas as atividades que têm lugar num contexto organizacional (ver

ENISA 2017, ENISA 2024). Estas ameaças podem materializar-se de várias formas, mas, independentemente disso, têm um impacto no core business de cada empresa e organização. Isto acrescenta um nível adicional de responsabilidade para a organização, uma vez que os esforços devem ser concentrados na compreensão do que é necessário para a organização se proteger de forma coerente e também quais as ameaças a priorizar. 

É esta definição de prioridades que constitui o elemento-chave para o sucesso. Nem tudo tem o mesmo impacto – e nem tudo é urgente – pelo contrário, os processos podem ser considerados como parte de toda a cadeia de valor de uma organização. (ou seja, as atividades que podem acrescentar valor real à organização). Nesse sentido, é fundamental para a organização definir os elementos críticos de sua cadeia de valor – e identificar com precisão os vetores de ameaça que interagem com esses elementos críticos para que eles sejam abordados. Imagine um analista de segurança competente de uma instituição financeira, que não realiza um acompanhamento regular para avaliar o nível de segurança numa abordagem contínua para essa instituição financeira. Esta situação é considerada uma deficiência importante, uma vez que pode afetar potencialmente a cadeia de valor dos serviços financeiros da instituição.

Entre os vetores de ameaça mais importantes que estão envolvidos com a atividade geral de uma organização está a interação “humana”. Num contexto organizacional, o pessoal envolve-se em atividades operacionais em vários aspetos – a nível Estratégico, Operacional, Tático e Técnico através de uma série de ações. As pessoas são a força motriz que pode impulsionar uma organização para o sucesso – ou fracasso. Uma equipa bem formada e devidamente treinada pode fazer toda a diferença. Portanto, dependendo dos níveis de habilidades e consciência, o pessoal pode ser visto como um “vetor de ataque” letal ou como uma “contramedida” vital.

A Componente IA – Riscos e Oportunidades 

À medida que as ameaças cibernéticas – particularmente as Ameaças Persistentes Avançadas (APTs) – se tornam mais furtivas, adaptáveis e engenhosas, a integração da Inteligência Artificial (IA) nas operações de cibersegurança oferece uma oportunidade transformadora. Pense nos APTs como ameaças super sofisticadas e desconhecidas, consideradas entre os tipos mais perigosos de ameaças cibernéticas. São difíceis de detetar e, na maioria dos casos, passam despercebidos durante muito tempo após a violação dos sistemas de uma organização. Na maioria dos casos, as APT realizam ciberataques altamente prejudiciais que resultam nos custos financeiros e operacionais mais elevados para as organizações. 

A IA não só é capaz de melhorar as capacidades de deteção e resposta, como também muda os paradigmas da cibersegurança, passando de modelos de defesa reativos para modelos de defesa proativos. Este conceito pode apoiar e impulsionar a conceção, desenvolvimento e implementação de formação orientada para objetivos específicos, adaptada aos objetivos empresariais.

A IA oferece capacidades poderosas, mas também introduz certos riscos de segurança, tal como reconhecido pela Comissão Europeia na Lei da IA. A integração da Lei na cibersegurança coloca desafios substanciais que exigem o desenvolvimento de um quadro especializado de competências cibernéticas. Como os sistemas de IA são suscetíveis a ameaças como envenenamento de modelos e ataques adversários e exigem experiência em desenvolvimento, validação e explicabilidade de modelos seguros, é benéfico para a organização adotar uma mentalidade de segurança por design. 

Adaptar a IA à infraestrutura legada sem um planejamento holístico e sem o desenvolvimento adequado de habilidades pode introduzir grandes vulnerabilidades. Isto traz a necessidade de competências em redesenho a nível de sistema e integração de IA para a vanguarda de todas as atividades e esforços nesta área. Além disso, o processo lento e complexo de normalização da IA exige que o pessoal das organizações de cibersegurança se mantenha adaptável e continue a envolver-se com os cenários de conformidade em evolução e fragmentados. Alinhar as ferramentas cibernéticas baseadas em IA com estruturas legais e éticas – como a Lei de IA da UE – dentro das atividades operacionais de uma entidade requer conhecimento dos requisitos de transparência, classificação de risco e supervisão humana, que, na realidade, deve envolver todo o pessoal de uma organização, em todos os seus vários níveis. 

Como resultado, a formação em competências cibernéticas deve expandir-se para além dos domínios tradicionais para incluir práticas de segurança específicas da IA, literacia jurídica e coordenação interdisciplinar para garantir a implantação segura, ética e fiável da IA nas operações de segurança da organização.

A Metodologia – o que temos de fazer e como

A eficácia das estratégias de formação em competências em cibersegurança e uma maior sensibilização para as ciberameaças devem basear-se no ambiente de ameaças reais e no tipo de ameaças a que é necessário dar resposta. 

A este respeito, as informações sobre ciberameaças da ENISA (ou seja, os relatórios anuais sobre o cenário de ameaças) desempenham um papel crucial. Na realidade, isso define a linha de base das direções defensivas que precisam ser seguidas através do ecossistema da organização. Sem uma visão sobre o cenário de ameaças cibernéticas, as ações defensivas e contramedidas carecem de foco, especificidade e eficácia, levando diretamente a fraquezas significativas no processo de resposta a incidentes.

Os relatórios do Cenário de Ameaças da ENISA também estão divididos em 4 categorias ou níveis principais – Estratégico, Operacional, Tático e Técnico. Cada nível desempenha um papel fundamental na governança de segurança da informação e na arquitetura geral de segurança da organização. Além disso, as atividades específicas têm de ser adaptadas a desafios específicos, em todas as linhas de desenvolvimento e durante o processo têm de ser monitorizadas através de indicadores-chave de desempenho (ICD) específicos, com base nos indicadores-chave de objetivos (KGI) identificados. Devem também ser previstas medidas de atenuação com base em indicadores-chave de risco (KRIs). Os indicadores-chave de risco envolvem também fortemente a infraestrutura que uma organização tem à sua disposição e os sistemas de informação de comunicação (SIA) relacionados, incluindo a forma como estes são operados e geridos. 

A este respeito, o problema do desenvolvimento de competências cibernéticas deve ser encarado como um quadro de ações baseado numa abordagem prioritária do risco em consonância com o ambiente operacional da organização, tendo em conta as ameaças realistas, os vetores de fios conexos e a subfase de ataque identificada da organização.

O envolvimento contínuo da gestão em todo o processo é vital. Os potenciais desafios que podem afetar a implementação de programas de formação e sensibilização em cibersegurança incluem, entre outros:

  • Apoio da gestão.
  • Limitações de tempo – a formação compete com as tarefas operacionais de rotina.
  • Alinhamento com os objetivos de negócio – garantir que a formação reflete os objetivos da organização e as necessidades críticas de proteção de ativos.
  • Vetores de ameaças diversificados e em evolução – exigindo atualizações de conteúdo e vigilância constantes.
  • Envolvimento dos colaboradores – manter o interesse e a participação ao longo do tempo.
  • Limitações de recursos – restrições de orçamento, pessoal e infraestrutura podem prejudicar o escopo e a frequência.
  • Linhas Chave de Desenvolvimento.
  • A ausência de orçamento.

Para tornar o desenvolvimento de competências cibernéticas realista e eficaz, as organizações devem seguir várias linhas de desenvolvimento fundamentais:

  • Planejamento estratégico na alocação dos recursos e no planejamento orçamentário.
  • Avaliação de ativos organizacionais para identificar a exposição ao risco e as correspondentes necessidades de formação.
  • Programas de treinamento personalizados que abordam funções específicas e funções departamentais.
  • Integração da análise de risco e da modelização de ameaças no conteúdo da formação para promover o pensamento proativo em matéria de defesa.
  • Implantação de programas de conscientização cibernética que promovam uma base sólida em ciber-higiene e resposta a incidentes.
  • Ciclos de melhoria contínua usando feedback e inteligência de ameaças para refinar estratégias de treinamento e conscientização.
  • Monitorização e Métricas. É essencial avaliar o impacto e a eficácia da formação em competências em cibersegurança. Isso requer um conjunto de KPIs acionáveis e atualizados regularmente que reflitam o ambiente operacional real. Estes podem incluir, mas não estão limitados a:
  • Taxas de conclusão de treinamento em todos os departamentos e funções.
  • Desempenho em simulações de phishing, como taxas de cliques reduzidas em e-mails de teste.
  • Taxas de notificação de funcionários, como um aumento na identificação precoce e sinalização de atividades suspeitas.
  • Tempo de resposta e recuperação após incidentes de cibersegurança.
  • Percentagem de pessoal com competências de cibersegurança específicas da função, distinguindo entre pessoal técnico e pessoal geral.

Esforços nacionais e da UE no domínio da cibersegurança 

O reforço da resiliência e das capacidades no domínio da cibersegurança é, desde há muito, uma prioridade da União Europeia, mas os esforços tanto a nível da UE como a nível nacional foram intensificados nos últimos anos. O Programa Europa Digital da União Europeia consagra um montante substancial de financiamento ao desenvolvimento de competências avançadas em matéria de cibersegurança. Só para o período de 2023 a 2024, 375 milhões de EUR através do programa Europa Digital foram direcionados para reforçar a resiliência coletiva da UE contra ciberameaças. Em 2024, a Comissão Europeia anunciou que seriam disponibilizados 145,5 milhões de EUR às PME e às administrações públicas europeias para as apoiar no desenvolvimento de soluções avançadas de cibersegurança para otimizar os processos de trabalho e integrar as melhores práticas dos mais recentes estudos e investigação de ponta. 

Vários projetos financiados pelo Programa Europa Digital estão igualmente a colocar uma forte ênfase no domínio do desenvolvimento de competências cibernéticas. O projeto CYRUS presta apoio a empresas dos setores dos transportes e da indústria transformadora para abordar e mitigar adequadamente ciberataques e ameaças através de formação gratuita e metodologias de avaliação para os trabalhadores do setor. Da mesma forma, o projeto CyberSec reúne 15 Instituições de Ensino Superior e 13 empresas de 16 países que trabalham em um programa de treinamento ágil, colaborativo e multimodal. A Academia de Competências em Cibersegurança da Comissão Europeia (sob a égide da qual foi recentemente lançada a Rede Indústria-Academia) visa dar resposta à crescente escassez de competências e talentos em matéria de cibersegurança na Europa. O Centro Europeu de Competências em Cibersegurança (CEAC) está a impulsionar os esforços em colaboração com a Rede de Centros Nacionais de Coordenação (NCC) em todos os Estados-Membros. O trabalho da ENISA, a Agência da União Europeia para a Cibersegurança (referido muitas vezes mais adiante neste resumo) é fundamental para reforçar a cibersegurança em toda a UE, promover o desenvolvimento de competências em matéria de cibersegurança e disponibilizar ferramentas e recursos de cibersegurança para organizações, trabalhadores e cidadãos. O ECSF da ENISA, o Quadro Europeu de Competências em Cibersegurança, é outra ferramenta prática que apoia a identificação e a articulação de tarefas, competências, aptidões e conhecimentos associados às funções dos profissionais europeus de cibersegurança. É também o ponto de referência da UE para definir e avaliar as competências relevantes. O Desafio Europeu de Competências em Cibersegurança (CECA) realiza-se em outubro e conta com a participação de jovens talentos em equipas, que trabalham em tarefas e desafios relacionados com o ciberespaço. 

Estas iniciativas, juntamente com muitas outras, visam reforçar as capacidades de cibersegurança e aumentar a competitividade. O desenvolvimento de competências cibernéticas continua a ser uma prioridade central e estratégica para a UE e os seus Estados-Membros e um pilar fundamental da Estratégia da UE para a Cibersegurança.

Conclusão

Desenvolver competências de cibersegurança e cultivar a consciência das ameaças cibernéticas não é apenas uma questão técnica ou de conformidade, é um imperativo estratégico que deve ser incorporado nas operações principais e na cadeia de valor de uma organização. Para serem eficazes, essas iniciativas devem estar alinhadas com os objetivos de negócios específicos da organização, as prioridades de ativos e o ambiente de ameaças. Ao integrar a cibersegurança em níveis estratégicos, operacionais, táticos e técnicos, as organizações podem construir uma cultura verdadeiramente resiliente que não só defende contra ameaças, mas também apoia o crescimento, a continuidade e a criação de valor.

Em última análise, o desenvolvimento de competências em cibersegurança é um processo contínuo que exige uma definição de prioridades orientada para o risco, o envolvimento contínuo da gestão e estratégias de aprendizagem adaptativas. Quando bem executado, melhora a capacidade de uma organização para responder a ameaças do mundo real de forma inteligente e eficiente, garantindo que tanto as suas pessoas como os seus ativos estão preparados e protegidos.

As principais conclusões que precisam ser incluídas estão listadas a seguir:

  • Cibersegurança orientada para as empresas: O desenvolvimento de competências em cibersegurança deve refletir e apoiar os objetivos de negócio da organização e a proteção de ativos tangíveis e intangíveis.
  • Integração Multinível: Uma cibersegurança eficaz exige coordenação entre domínios estratégicos, táticos, operacionais e técnicos, garantindo uma proteção e sensibilização consistentes a todos os níveis organizacionais.
  • O tempo como ativo crítico: A formação em cibersegurança deve ser eficiente e objetiva, respeitando as limitações de tempo da organização e, ao mesmo tempo, respondendo às necessidades essenciais de segurança.
  • Formação de Sensibilização para Ameaças: Os programas devem ser informados por ameaças e vetores de ataque reais e em evolução, fundamentados em sólida inteligência de ameaças cibernéticas.
  • Abordagem adaptada e hierarquizada: Os esforços de treinamento e conscientização devem ser personalizados com base na exposição ao risco, funções funcionais e ativos críticos para os negócios, priorizando as áreas mais impactantes.
  • O Fator Humano é Central: O pessoal de todos os níveis organizacionais desempenha um papel crucial na cadeia de valor da cibersegurança; Assim, o engajamento, a consciência e as habilidades específicas do papel são vitais.
  • Monitoramento orientado por métricas: Os indicadores-chave de desempenho (KPI), os indicadores-chave de objetivos (KGI) e os indicadores-chave de risco (KRI) são essenciais para avaliar e melhorar a eficácia da formação.
  • Envolvimento Contínuo da Gestão: A liderança sênior deve estar ativamente envolvida durante todo o processo para garantir o alinhamento, o suporte de recursos e o compromisso organizacional sustentado.

Ao adotar uma abordagem abrangente, baseada em inteligência e alinhada aos negócios, as organizações podem promover uma cultura consciente da cibersegurança que seja capaz de se adaptar ao cenário de ameaças complexo e dinâmico de hoje.

O objetivo final do treinamento é melhorar a capacidade existente e a capacidade da força de trabalho em um esquema de efeito de tempo adaptado aos objetivos de negócios da organização como parte da governança geral de segurança e da arquitetura de segurança. Outro objetivo fundamental é melhorar a prontidão da segurança organizacional através de um quadro eficaz de resposta a incidentes, posicionando os funcionários como uma linha crítica de defesa e uma contramedida proativa contra ameaças cibernéticas atuais e emergentes.

Leitura adicional

Confira o artigo completo em formato PDF, juntamente com suas referências e visuais esquemáticos. 

Biografia do autor

Dr. Marios Thoma é um oficial militar reformado, tendo alcançado o posto de Coronel em sinais. Iniciou a sua carreira militar depois de se formar na Academia Militar Helénica e de se juntar à Guarda Nacional de Chipre em 1997. É mestre em comunicações e informática pela Universidade de Atenas, Grécia, e licenciado pela Escola Militar Helénica de Oficiais de Sinais, com especialização em Telecomunicações e Eletrónica. Em 2018, obteve o grau de doutor no Departamento de Engenharia Eletrotécnica e de Computadores da Universidade de Chipre. A sua investigação de doutoramento centra-se na defesa do ciberespaço, em particular em técnicas de modelação e deteção precoce de ciberataques, com especial ênfase em Ameaças Persistentes Avançadas (APT).

Ao longo de sua carreira, o Dr. Thoma acumulou experiência significativa em vários domínios, como Garantia da Informação, Operações de Segurança de Desenvolvimento, Engenharia de Segurança Cibernética, Governança de Dados e Gerenciamento de Segurança da Informação. Tem estado envolvido numa multiplicidade de projetos, desde a acreditação de Sistemas de Informação de Comunicação até à elaboração de Planos de Recuperação e Continuidade de Negócio. Além disso, o seu conhecimento estende-se às Ameaças Híbridas e ao Espaço, particularmente em conjunto com a Cibersegurança.

É membro sénior do IEEE e atua como representante nacional em comités e organizações especializadas, incluindo CEN/CLC/C47X, European Technical Standardisation Institute (ETSI) nos comités técnicos para (1) Securing Artificial Intelligence (SAI), (2) CYBER/PQC e (3) QKD.

Além disso, o Dr. Thoma tem participado ativamente em esforços estratégicos, operacionais e técnicos em contextos nacionais e da UE. Atualmente, ele é o Diretor da Cyberecocul Global Services – uma start-up recém-fundada dedicada a fornecer serviços de segurança cibernética em pesquisa, desenvolvimento e inovação, com um forte foco em Espaço, IA e Quantum.