BRANDS' ECO Modelo de governo para a cibersegurança
Rodrigo de Perez Monteiro, Technology Consulting Cybersecurity Manager na EY, explica como é que as organizações podem montar um governo de cibersegurança robusto e eficaz.
As empresas que estão hoje a implementar ou a robustecer os seus programas de cibersegurança, só o vão conseguir fazer com sucesso se tiverem um modelo de governo bem definido e uma gestão do risco eficaz.
Como definido no primeiro princípio do modelo das três linhas proposto pelo IIA (The Institute of Internal Auditors), atualizado recentemente, o governo de uma organização necessita das estruturas e processos apropriados que permitam:
- Definir os responsáveis últimos para a supervisão através da integridade, liderança e transparência;
- Definir as ações de gestão para atingir os objetivos da empresa através de tomadas de decisão com base no risco;
- Garantir a independência das funções de auditoria interna de forma a dar confiança e facilitar a melhoria contínua dos processos.
A Responsabilidade Social Corporativa (RSC) veio contribuir para que a adoção de modelos de governo seja cada vez mais uma realidade nas empresas, através do critério de Governo Corporativo (ao qual se juntam também os critérios Ambiental e de Sustentabilidade – ASG).
Numa altura em que os ciberataques têm cada vez mais impacto na sociedade, é imperativo que as organizações sejam dotadas das estruturas e processos identificados para a criação de um modelo de governo robusto que permita uma gestão clara e eficaz dos processos de cibersegurança da empresa. Infelizmente, é ainda comum encontrar, principalmente nas PME, responsáveis que não têm ou não percecionaram ainda o valor acrescentado que um modelo de governo pode trazer às suas empresas.
"O governo eficaz da cibersegurança permite que as organizações maximizem os benefícios de operar numa economia digital, apoiando a sustentabilidade do negócio.”
A fim de implementar um modelo de governo holístico para a cibersegurança, as organizações devem conciliar a dimensão dos esforços com a sua capacidade interna, podendo recorrer a parceiros que os apoiem. Para o efeito, sugere-se a adoção de uma abordagem faseada, que passa por:
- Criar uma cultura de cibersegurança, assente numa estratégia e visão a longo prazo, com definição e comunicação clara de papéis e responsabilidades, que capacite todos os elementos da organização para a proteção da confidencialidade, integridade e disponibilidade dos seus ativos de informação. De sublinhar que o Chief Information Security Officer (CISO) deve desempenhar um papel chave no governo da cibersegurança da organização. Não obstante, deve ser considerada a criação de um comité de cibersegurança, que acompanhe as iniciativas em curso, garanta a adequada alocação de recursos financeiros, humanos e tecnológicos, e consiga o buy-in de todas as partes, poderá ser um contributo determinante para a execução da estratégia. A formalização destes elementos deverá ser feita através duma framework documental de políticas e procedimentos, alinhada com as boas práticas de segurança de informação de referenciais normativos, como a ISO/IEC 27001:2013.
- Alinhar a gestão do risco de cibersegurança com os modelos de gestão de risco corporativo presentes na organização. A adoção de uma framework formal de gestão de risco potenciará a produção de resultados consistentes e repetíveis. Ao usar um padrão estabelecido como a ISO 27005:2018 ou NIST SP 800-30r1, a organização pode avaliar ameaças, vulnerabilidades e impactos dos riscos de segurança no contexto do seu negócio, bem como estabelecer métodos adequados para mitigar os riscos. A gestão adequada do risco apoia a tomada de decisão, maximizando o benefício do investimento em cibersegurança.
- Estabelecer um programa de cibersegurança, que traduza a estratégia em ação, impulsionando iniciativas e melhoria contínua da ciber-resiliência. As iniciativas do programa devem incluir itens como formação/sensibilização, desenvolvimento de políticas/procedimentos, implementação de novos sistemas/ferramentas de segurança ou a gestão do ciclo de vida das tecnologias implementadas.
- Medir e reportar a capacidade de ciber-resiliência da organização, que resulta da execução do programa de cibersegurança. Os relatórios a produzir devem proporcionar às partes interessadas uma garantia de que a organização é ciber-resiliente, documentar o retorno do investimento (ROI) em iniciativas de cibersegurança e promover a melhoria contínua. Para o efeito, a organização deverá definir SMART1 KPIs (quantitativos ou qualitativos) que forneçam insights sobre tendências, riscos e comportamentos, bem como destacar necessidades de mudanças na estratégia, gestão do risco, ou política de investimento.
O governo eficaz da cibersegurança permite que as organizações maximizem os benefícios de operar numa economia digital, apoiando a sustentabilidade do negócio. Sem um governo correto da cibersegurança, as organizações terão cada vez mais dificuldade em assegurar a continuidade das suas operações ou manter a confiança dos stakeholders externos (clientes e parceiros), com os impactos financeiros, reputacionais, e outros daí decorrentes, pelo que esta deve ser encarada como uma prioridade, pela gestão.
1 SMART model: Specific, Measurable, Achievable, Relevant, and Time-bound (Específico, Mensurável, Alcançável, Relevante e Limitado no Tempo).
Assine o ECO Premium
No momento em que a informação é mais importante do que nunca, apoie o jornalismo independente e rigoroso.
De que forma? Assine o ECO Premium e tenha acesso a notícias exclusivas, à opinião que conta, às reportagens e especiais que mostram o outro lado da história.
Esta assinatura é uma forma de apoiar o ECO e os seus jornalistas. A nossa contrapartida é o jornalismo independente, rigoroso e credível.
Comentários ({{ total }})
Modelo de governo para a cibersegurança
{{ noCommentsLabel }}