Por David Campos (*)
A atual abordagem ao risco coloca os riscos cibernéticos como a maior ameaça às empresas, pois todo o atual contexto externo, nomeadamente os conflitos entre países e a já conhecida cyber warfare, bem como o aumento exponencial de ciberataques, não só no setor privado, mas também no setor público, incluindo infraestruturas críticas, servem de alavanca para que sempre que se pensa em riscos para o negócio, estes se materializem como riscos cibernéticos.
De acordo com o relatório de cibersegurança do CNCS, “Para 2022 e 2023 são identificadas como principais tendências em Portugal a propensão para uma maior intervenção de atores estatais, a persistência do uso das fragilidades do fator humano, ataques de ransomware, violações de dados relativas a credenciais de acesso, exploração de vulnerabilidades e as tecnologias móveis a serem cada vez mais utilizadas como superfícies de ataque”.
A realidade atual das empresas
Embora haja reconhecimento por parte das Organizações para a realidade atual do mundo da cibersegurança e ameaças constantes, seja este direto ou indireto, à exceção das Organizações que de facto foram afetadas por atividades de cibercrime e puderam em primeira mão medir o impacto (financeiro) que este tipo de ataques possa trazer, a grande maioria das Organizações continua a não apostar numa ciber estratégia adequada, tal como mostram os dados do Relatório de Cibersegurança em Portugal – Economia | maio 2022 do CNCS, onde se reporta que 43,5% das empresas nunca avaliaram o potencial impacto financeiro de disrupções nos serviços TIC.
Continua a haver uma insistência em alocar a responsabilidade da mitigação destes riscos aos departamentos de Tecnologia de Informação, o que contraria a abordagem holística necessária, que inclui pessoas, processos e tecnologia, bem como uma aproximação top to down, na qual a gestão de topo desempenha um papel fundamental ao colocar na agenda o tema da ciber resiliência, para que este assunto não seja subestimado.
Como fazer bem?
Para a maioria das Organizações, a cibersegurança é um sprint, mas, na realidade, a cibersegurança é uma maratona, eu diria mesmo, uma prova de Iron Man.
Quais os fatores de sucesso?
- Endereçar o tema ao mais alto nível dentro da Organização (Top to Down): A gestão de topo deve escolher os seus cibersecurity champions, delegar funções, definir objetivos concretos e acima de tudo assumir a liderança da responsabilidade (nunca delegar esta responsabilidade).
- Incorporar a ciber resiliência no processo de gestão de risco da Organização de uma forma transversal: A gestão de topo deve garantir a integração da ciber resiliência e análise de riscos de cibersegurança na estratégia de negócio e processo de gestão de risco corporativo, bem como definir um orçamento e recursos adequados de acordo com a análise de impacto sobre os ativos críticos.
- Construir as medidas de ciber resiliência adequadas e monitorizar a sua implementação: A gestão de topo deve definir uma estratégia moderna e eficaz que permita detetar de uma forma atempada ciber ataques, impedir que os atacantes (hackers) causem danos e aumentar a resiliência da Organização a ciber ataques. Recorrer a frameworks internacionais tais como o NIST ou a ISO 27001 pode ser um caminho, porém, os requisitos legais e regulamentares deverão ser também considerados na construção desta estratégia.
Para além destes fatores, é importante que a estratégia de ciber resiliência definida pela gestão de topo tenha em consideração a interdependência existente entre os três componentes essenciais de qualquer organização, sendo estes as pessoas, os processos e a tecnologia. À semelhança de uma prova de Iron Man, também em segurança da informação é importante assegurar uma performance equilibrada nas três etapas da prova – natação, ciclismo e corrida.
(*) Delivery Manager, NTT DATA Portugal
Pergunta do Dia
Em destaque
-
Multimédia
20 anos de Halo 2 trazem mapas clássicos e a mítica Demo E3 de volta -
App do dia
Proteja a galáxia dos invasores com o Space shooter: Galaxy attack -
Site do dia
Google Earth reforça ferramenta Timelapse com imagens que remontam à Segunda Guerra Mundial -
How to TEK
Pesquisa no Google Fotos vai ficar mais fácil. É só usar linguagem “normal”
Comentários