Paulo Balsinhas
Oficial do Exército Português e Criptólogo Militar, fora da efetividade do serviço, é um especialista em segurança da informação, com foco nos assuntos relacionados com o ecossistema eIDAS, cibersegurança e segurança da informação critica/sensível, nas vertentes da prevenção e compliance (regulatório).
De 1998 a 2004 prestou serviço no extinto Batalhão de Informações e Segurança Militar (BISM), exercendo diversas funções relacionadas com SEGURANÇA da INFORMAÇÃO CLASSIFICADA (militar), participação em grupos de trabalho internacionais e em projetos de investigação e desenvolvimento, dos quais se destacam, o ad hoc working group NATO PAC (PKI Advisory Cell), que concebeu e deu início à implantação da NATO PKI e o projeto SECNET*, vencedor do PRÉMIO DESCARTES, atribuído pelo Instituto de Informática.
Em 2004, foi destacado para prestar serviço no Gabinete Nacional de Segurança (GNS) da Presidência do Conselho de Ministros, no qual se manteve até final de 2022. Nesse período, entre outras atividade e participações:
- integrou a equipa que materializou a PKI do Estado português, o Sistema de Certificação eletrónica do estado (SCEE).
- foi responsável pelo levantamento e operacionalização das capacidades normalização, inspeção e supervisão no GNS, nas vertentes do SCEE, do ecossistema do regulamento eIDAS (como entidade supervisora e entidade gestora da lista de confiança (TSL) nacional) e das plataformas eletrónicas de contratação pública.
- realizou processos de avaliação e certificação de vários sistemas para gestão do ciclo de vida dos certificados digitais.
- coordenou inúmeras auditorias/inspeções de segurança, em diferentes frameworks e âmbitos, designadamente: a órgãos de segurança e embaixadas portuguesa no estrangeiros no âmbito da informação classificada; a entidades certificadoras no âmbito do regime geral e Sistema de Certificação Eletrónica do Estado (SCEE); a plataformas eletrónicas de contratação pública, no âmbito da Lei n.º 96/2015; a Prestadores Qualificados de Serviços de Confiança no âmbito do Regulamento (UE) eIDAS; e a Organismos de Avaliação da Conformidade, no âmbito do Regulamento (CE) n.º 765/2008, em apoio às atividades do Instituto Português de Acreditação, IPAC, IP;
- Integrou inúmeros projetos para o estado português, dos quais se destacam, o Cartão de Cidadão, o Passaporte Eletrónico Português, Certificados COVID-19 e PT e-Residency.
Em termos de formação académica, tem como formação base as Ciências Militares (Academia Militar), a Criptografia Computacional (ISEL), Criptologia (BISM) e Guerra da Informação/Competitive Intelligence (Academia Militar).
Esta formação de base, complementada com diversos cursos de especialização, permite-lhe lidar com diversas restrições subjacentes a qualquer projeto, designadamente, jurídicas, security-by-design, regulatórias e operacionais.
Destacam-se algumas especializações, por área de interesse:
- no âmbito NATO, os cursos Crypto Custodian Officer, Site Security Officer e COMSEC Officer, todos em Latina (Itália);
- no âmbito da segurança e informações militares, os cursos de Segurança Militar, HUMINT (Human Intelligence) e CRAMM – CCTA Risk Analysis and Management Method, todos no BISM, Trafaria
- no âmbito da segurança das matérias classificadas, o curso Geral de Matérias Classificadas, o curso Avançado Segurança de Matérias Classificadas (integrando especialistas Israelitas) e curso de segurança industrial, no GNS/ANS, Lisboa
- no âmbito da segurança da informação empresarial, os BS7799 Essential Course, BS7799 Implementation Course, BS7799 Internal Auditor Course e ISO 27001:2005 | Lead Auditor (IRCA accredited) Course, todos pelo BSI Management System, em Portugal.
- no âmbito da Gestão de Serviços de TI, o curso ITIL Foundations, no IST em Lisboa
- no âmbito da Cibersegurança e resposta a incidentes, os cursos Creating a Computer Security Incident Response Team (CSIRT) e Managing Computer Security Incident Response Teams (CSIRTs) ambos no SEI/Carnegie Mellon University, Pittsburgh (EUA).
Paulo Balsinhas é um profissional com uma abordagem para o “fazer” e forte orientação prática para resultados, assentes no princípio de implementações custo/beneficio.
*SECNET (desenvolvido entre 1999 e 2001, numa parceria entre o Exército Português e o Instituto Superior de Engenharia de Lisboa) um sistema criptográfico que implementa uma Infra-Estrutura de Chave Pública (PKI) baseada na norma PKIX do IETF (Internet Engineering Task Force) para garantir a transferência segura de ficheiros em redes não seguras.