Bruno Castro, CEO VisionWare: “Para um cibercriminoso, atacar nos Estados Unidos, ou em Cabo Verde é exatamente a mesma coisa”

A VisionWare é a primeira empresa internacional em ambos os TechPark. Porquê esta opção?

Foi mais ou menos simples. Estamos em Cabo Verde desde 2007, há quase 17 anos. Sempre fizemos operações de fly-in, fly-out, ir e vir, como fazemos em tantas geografias por este mundo fora. Tínhamos escritórios no Porto e em Lisboa, e deslocávamo-nos para todas as geografias que possas imaginar, Médio Oriente, Europa, América Latina, África. Depois de 15 anos a operar em Cabo Verde, com equipas a viajar para aí constantemente, decidimos que estava na altura também de retribuirmos.

E porquê especificamente com Cabo Verde?

Houve ali um desafio, um alinhamento estratégico entre o governo de Cabo Verde e a nossa visão para Cabo Verde. Houve um alinhamento em criar um hub digital, em que se forneceriam serviços de Cabo Verde para o mundo e isso batia certo com a nossa estratégia de crescimento. A VisionWare tinha que crescer também em termos de estrutura humana, a decisão era aonde, se era em Portugal ou numa outra geografia onde tivéssemos uma operação mais regular. Em Cabo Verde tínhamos. O mercado é sólido, temos clientes que estão connosco há mais de 10 anos, é uma a economia estável, a formação académica é boa, o governo tinha uma estratégia muito arrojada e ambiciosa no digital, a criação do Tech Park foi o gatilho. Quando disseram que ia haver um TechPark, dissemos, ok, é aqui que tudo bate certo. Criámos a operação, recrutámos pessoal cabo-verdiano, formámo-los em Portugal, e temos esta operação, a trabalhar serviços de Cabo Verde, não para clientes de Cabo Verde, mas para o nosso ecossistema empresarial.

Uma história de sucesso?

No início foi um pouco vamos ver se funciona. No primeiro ano arrancámos com 20 pessoas, foi um sucesso. No ano seguinte reforçámos a equipa com mais pessoas, seguimos o mesmo modelo, recrutámos na academia local, em parceria com o NOSi, fomos à NOSiAkademia, recrutámos mais pessoas, formámo-las bidireccionalmente, quer em Portugal quer com as pessoas da primeira geração, foi um sucesso novamente. Terceiro ano, aplicámos o mesmo modelo e agora, com a abertura do segundo TechPark em Mindelo, voltámos a dizer sim ao desafio do governo, que também estaríamos em Mindelo, também iríamos recrutar pessoas em Mindelo e teríamos dois polos a funcionar. E assim foi.

E justificam-se esses dois escritórios?

Se me perguntares, só operacionalmente, se justifica? Não! Mas como missão estratégica, tem muito a ver com estarmos num momento de retribuir. Portanto, se me perguntares, um polo não era suficiente? Sim, operacionalmente era suficiente, mas como disse, foi mais uma acção estratégica quase emocional e muito solidária com o governo. Por outro lado, também temos que destacar uma coisa, temos uma relação de proximidade com São Vicente e Mindelo. Temos muitos clientes em Mindelo, um dos nossos principais clientes, da nossa primeira leva, há mais de 15 anos, é a Impar Seguros que tem a sede em São Vicente, mesmo a estrutura executiva do BCN, também nosso cliente, está igualmente em São Vicente, e portanto nós estaremos, obviamente, em São Vicente e acho inclusive que é justo para a ilha que pudéssemos ajudar a canalizar quer postos de trabalho, quer promover a evolução e formação em tecnologia em São Vicente. Temos uma relação com a academia que não é só na Praia, é também em São Vicente, a Uni-Mindelo é dos nossos principais parceiros.

Estão cá desde 2007, como referiu há pouco, como é que tem sido a evolução do recrutamento local de jovens talentos?

Foi uma surpresa. Como disse, tínhamos algumas dúvidas, porque íamos recrutar pessoas como recrutamos em Portugal: altos critérios técnicos dos skills que têm que ter, um varrimento e um alinhamento claro do seu registo criminal e do seu carácter soft skills. Cabo Verde é um meio muito pequenino e nós trabalhamos numa área muito sensível em que uma fuga para o exterior poderia ocorrer, porque há primos, amigos, etc., e havia aqui um risco claramente inerente a esse meio pequeno.

Como resolveram o dilema?

O que fizemos foi muito simples, utilizámos o NOSiAkademia como o nosso filtro inicial para escolher as melhores pessoas, não só em termos de skills tecnológicos, mas também de soft skills. Depois, os nossos recursos humanos também tiveram a oportunidade, durante a fase de estágio, de ir ajustando, afinando e avaliando as melhores pessoas. A verdade é que no final ficaram quase todas connosco, mas foram alvo de um processo de recrutamento ultra-criterioso. Foi muito exaustivo, recordo-me de ter feito mais de 20 entrevistas já na fase final, após terem passado por 2, 3 fases prévias de filtragem, portanto, houve ali um cuidado, felizmente resultou e o objectivo do recrutamento – ter as pessoas corretas para o lugar –cumpriu-se. O maior risco era conseguimos mantê-las, também conseguimos.

Como se consegue reter talento?

O mesmo modelo de remuneração que aplicamos em Portugal, também aplicamos em Cabo Verde: seguro de saúde, 14 ordenados, prémios de desempenho, fringe benefits [complementos à remuneração], aplicámos exactamente o mesmo modelo e foi um sucesso. E as pessoas valorizaram muito isso também.

“A capacidade de formar e reter talento local é um desafio enorme”

Nestes quase 20 anos da VisionWare em Cabo Verde, já tem uma visão de como é que funciona o sector. Quais são os grandes desafios que as empresas de tecnologia enfrentam?

Eu começaria mais numa óptica em termos de Estado. Face à estratégia do Estado, que é arrojada e ambiciosa, e que bate exatamente com onde nós queremos estar – e só um aparte, quando criámos a VisionWare, há 20 anos, o nosso mercado, da cibersegurança, era um bocado bizarro, foi um pouquinho ambição descontrolada, porque em 2005 estávamos em plena crise e criar uma empresa, como jovens empreendedores, num sector como a cibersegurança quando ainda ninguém comprava cibersegurança, foi muito complicado e houve uma dose de loucura pelo meio. Hoje, em Cabo Verde, vejo o governo com a missão de criar um hub tecnológico muito bom, baseado em dois polos tecnológicos, criados para o efeito, com ligações com a academia, com este tecido todo de jovens disponível que lhe dá um potencial enorme. Agora, para o desafio, não tanto como sociedade, mas como governo, e disse isso no evento que tive na Leadership, a soberania digital de Cabo Verde está dependente de duas coisas, no meu entender e na minha visão de quase 18 anos de Cabo Verde: na capacidade de formar e reter talento local em Cabo Verde, é um desafio enorme, e no alinhar entre os meios públicos e o capital privado, para terem a mesma visão convergente do que é a cibersegurança e a ciberresilência, para poderem fornecer o tal hub tecnológico de serviços de Cabo Verde para o mundo. Se isto não acontecer, a soberania digital de Cabo Verde e o projecto deste hub tecnológico ficará condicionado.

Tanto mais que a tecnologia será uma das estratégias fundamentais para impulsionar um crescimento económico sustentável do país.

Sim. A parte humana é fundamental. Matéria-prima existe, pessoas, capital humano, existe imenso em Cabo Verde, desde que sejamos capazes de formá-lo. Depois há as questões de cibersegurança e ciberresiliência. Nenhuma empresa estrangeira investirá em Cabo Verde, se não houver um garante de estabilidade governamental, estabilidade tecnológica, e no fim do dia, que todo esse modelo seja seguro e estável.

Que estratégias governamentais, na sua opinião, se mostraram eficazes para estimular o investimento na tecnologia?

Quer a vertente pública, quer o tecido empresarial privado local, diria que todos os nossos clientes tiveram uma ambição: fazer o que de melhor se faz do mundo. Aplico aos meus clientes locais em Cabo Verde, sejam públicos ou privados, exatamente os mesmos níveis que aplico a uma empresa europeia. Seja em termos de cibersegurança, privacidade, compliance [seguir regras e regulamentos, garantindo que uma empresa ou organização esteja em conformidade com as leis, normas e padrões éticos aplicáveis], tudo o que possas imaginar, o mesmo modelo que aplico na empresa europeia, aplico exatamente o mesmo nível de exigência. Isso foi preponderante para nós. E depois, obviamente, a adesão do governo na óptica de alinhar com o RGPD [Regulamento Geral sobre a Proteção de Dados, que tem como objetivo proteger os dados pessoais de indivíduos, garantindo que as entidades que os tratam o fazem de forma lícita, justa e transparente] no que envolve dados pessoais, desenvolver a governança, a cibersegurança e a ciberresilência, portanto, todo esse enfoque em que Cabo Verde quis estar totalmente alinhado com a União Europeia em termos do melhor que se faz foi preponderante.

E que outro tipo de estratégias gostava de ver implementadas?

No papel, já há um conjunto de pilares montados para uma estratégia a médio/longo prazo no que diz respeito à cibersegurança e à ciberresiliência. Agora, acho que falta executar muita coisa. As ideias estão montadas, está definido no papel o que fazer, acho que há aqui dois pontos que podem ser relevantes que é todo este modelo, este ecossistema de cibersegurança que está a ser implementado, quer ao nível do governo, quer ao nível do privado, tem de ser testado para percebermos se é realmente resiliente, não é somente ambiente de laboratório, temos de saber se isto no mundo real é realmente resiliente e seguro ao ponto de atrair investimentos externos, que se sintam confortáveis em pôr aqui o seu negócio. Por outro lado, toda a componente de governação de segurança tem que ser formalizada. Vou dar um exemplo, há um incidente de segurança, há um ciberataque, tem de se saber a quem reportar e quais são as autoridades de controlo a que temos que reportar. Esse modelo de reporting e de fiscalização de autoridades de controlo ainda não está implementado em Cabo Verde e eu diria que vai ser fundamental, caso contrário, é meramente a vontade proactiva, quer do governo quer da gestão das empresas que querem fazê-lo, porque querem estar no topo daquilo que se faz no mundo, mas tem que haver aqui um modelo de ecossistema de governação, de checks and balances, ou de controls and balances. Leis que definem claramente qual é o modelo de reporting quando há um ciberataque, a quem é que comunicamos, qual é o conteúdo que temos de comunicar, qual é o timing obrigatório para comunicar. Essa governação toda tem que ser montada e parece-me óbvio que vai ser inevitável fazê-lo.

“Nenhuma empresa estrangeira investirá se não houver um modelo seguro e estável”

Num país em desenvolvimento, como em Cabo Verde, quais são os desafios principais quando querem implementar uma estratégia eficaz de cibersegurança?

Para começar, os custos em Cabo Verde são mais limitados em termos de orçamento, portanto, o que é que temos que fazer? Temos que utilizar menos recursos para fazer o mesmo, de forma mais criativa do que faríamos em outras geografias. Temos obviamente um ponto que é sempre relevante que é, há um lastro para trás, modelos de segurança mais antigos, menos atualizados e tenho de os proteger face às ameaças que há por todo o mundo. No ciberespaço não há fronteiras, portanto, um grupo criminoso russo que ataca um hospital em Espanha, se vir um hospital na Praia fará o mesmo ataque. Para eles, atacarem um hospital em Espanha, ou nos Estados Unidos, ou no México, ou na Praia, é exatamente a mesma coisa. Há aqui uma lacuna geracional e o esforço é dar o salto quantitativo e qualitativo dos modelos de segurança que temos implementados em Cabo Verde para o melhor que se faz no ciberespaço que toca Cabo Verde. Já houve ataques em Cabo Verde por parte de grupos criminosos altamente evoluídos que atacaram os Estados Unidos, atacaram a França, atacaram outras geografias altamente modernas e atacaram ao mesmo tempo. Portanto, não houve um: ‘é Cabo Verde, não vale a pena lá ir’. Não. Foi transversal.

E quais são os principais riscos de cibersegurança que países como Cabo Verde enfrentam? Falámos agora mesmo que são os mesmos riscos que existem em qualquer parte do mundo, mas há alguns mais direcionados para, por exemplo, países em desenvolvimento?

Sim, tudo o que é serviços que vão aparecer agora online, que ainda são novidade no mercado africano e no mercado cabo-verdiano. Como são novos, são imaturos e, portanto, são mais permeáveis a serem vítimas de ciberataques. Hoje, ainda mais depois do Covid, explodiu o número de potenciais vítimas, o próprio cibercrime procura potenciais vítimas baseado em sectores, depois em serviços, e vêem, por exemplo, que um sector, digamos a banca, tem aqui um serviço online que é uma versão pouco madura. Este serviço está onde? Está em Cabo Verde, ou está na Indochina, ou está no Peru, mas isso não é relevante, não é a componente geográfica, é mais o que é que está disponível no ciberespaço, o que é detectado como vulnerável.

E quando surge esta estratégia de criar um hub tecnológico, este, além de atrair empresas, não se torna também um farol para o cibercrime?

Face à nova estratégia do governo em criar aqui um hub tecnológico, que vai prestar serviços daqui para o mundo, que vai ter imensos serviços a serem fornecidos de Cabo Verde, de empresas internacionais para o mundo, tendo aqui o polo tecnológico que agrega N empresas estrangeiras com N pessoas, N serviços, N informação disponível, sim, vai aparecer como uma espécie de holofote. Atenção, isto não é só em um Cabo Verde. São todos os hub tecnológicos, todos os Silicon Valleys da vida, porque o criminoso sabe que se conseguir comprometer esse hub tecnológico tem acesso a muita informação, a muitas empresas.

Por isso a cibersegurança é fundamental.

Fundamental. No dia em que for comprometido, um hub tecnológico deixa de existir como investimento estrangeiro. Deixa de ser confiável.

Texto originalmente publicado na edição impressa do Expresso das Ilhas nº 1226 de 28 de Maio de 2025.