Notícias, SEGURANÇA
A cibersegurança está directamente relacionada com a reputação de uma empresa. Se uma organização é vítima de um ataque ou de um incidente deste tipo, e se conclui que tal se deveu a uma falha de segurança, a consequência é uma perda de confiança nessa organização, porque fica à vista a falta de atenção ou cuidado dos seus responsáveis relativamente à protecção da informação e dos dados pessoais dos seus clientes.
Os consumidores estão cada vez mais conscientes que a sua informação pessoal é valiosa e deve ser protegida; a circunstância de uma organização não tomar as medidas adequadas a essa protecção representa uma quebra nessa confiança, essencial para estabelecer e manter relações comerciais.
Nalguns casos, o dano reputacional pode até ser consideravelmente superior ao dano económico, uma vez que afecta a imagem comercial da empresa e o seu potencial para gerar relações de negócio.
A segurança da informação tornou-se, assim, um elemento essencial da estratégia das organizações, sejam públicas ou privadas, que deve contemplar políticas e procedimentos de controlo para garantia da integridade, acesso e confidencialidade da informação utilizada nas respectivas actividades.
Resulta daqui a evidência da necessidade de implementar um processo faseado visando a identificação e avaliação dos riscos, o aperfeiçoamento dos procedimentos de segurança, a quantificação dos encargos de uma eventual transferência dos riscos e a resposta a ataques e outros incidentes que conduzam à perda de informação. Só uma correcta definição e implementação deste processo garantirá a limitação dos impactos tecnológicos, legais, regulatórios, financeiros e reputacionais.
A fase de identificação e avaliação visa mapear os riscos, analisá-los e quantificar os seus impactos, explicitando de forma documentada as principais ameaças e vulnerabilidades, as fontes dos riscos, a probabilidade da sua ocorrência e o impacto que podem ter no negócio, bem como as acções prioritárias a tomar.
A fase seguinte incide sobre o aperfeiçoamento dos mecanismos de controlo para limitação da probabilidade de ocorrência e dos impactos dos riscos previamente identificados. Este trabalho culminará num conjunto de instrumentos que permitirá introduzir alterações nos processos de gestão: uma lista dos mecanismos e dos objectivos de controlo, um plano de gestão dos riscos (onde se inclui a aceitação dos riscos residuais) e um plano de implementação dos mecanismos de controlo.
A terceira fase é a quantificação económica do impacto dos riscos, recorrendo a uma análise detalhada que permita determinar as consequências financeiras de uma perda de informação nos contextos previamente identificados, avaliando os prejuízos no cenário extremo de uma perda total e nas hipóteses intermédias que estimem perdas máximas prováveis. O objectivo é valorar o custo de uma transferência do risco para o mercado segurador e, sendo caso disso, facilitar os trâmites dessa transferência.
A última etapa passa pela definição do processo de resposta para detectar, comunicar, avaliar e gerir incidentes.
Os resultados deste processo devem ser utilizados para melhorar e robustecer os demais planos da gestão da mudança e, designadamente a consciencialização interna e a formação dos colaboradores da organização. De resto, os programas de formação interna são elementos essenciais para consolidar a consciencialização da organização em matéria de cibersegurança e mitigar os riscos da sua quebra.
A circunstância de, com frequência, as empresas recorrerem a entidades externas para assegurar os serviços de IT, merece uma referência especial. Estes fornecedores de serviços acedem aos sistemas tecnológicos das empresas e conhecem intimamente as suas arquitecturas e modelos de gestão da informação. Por essa razão, a criação de políticas de segurança deve dedicar especial atenção às relações com as entidades externas à organização. De nada serve dispor de medidas de segurança e procedimentos de controlo sofisticados se não forem respeitados pelas entidades externas com acesso aos sistemas de informação da empresa.