BRANDS' ECO Modelo de governo para a cibersegurança

As empresas que estão hoje a implementar ou a robustecer os seus programas de cibersegurança, só o vão conseguir fazer com sucesso se tiverem um modelo de governo bem definido e uma gestão do risco eficaz.

Como definido no primeiro princípio do modelo das três linhas proposto pelo IIA (The Institute of Internal Auditors), atualizado recentemente, o governo de uma organização necessita das estruturas e processos apropriados que permitam:

• Definir os responsáveis últimos para a supervisão através da integridade, liderança e transparência;
• Definir as ações de gestão para atingir os objetivos da empresa através de tomadas de decisão com base no risco;
• Garantir a independência das funções de auditoria interna de forma a dar confiança e facilitar a melhoria contínua dos processos.

A Responsabilidade Social Corporativa (RSC) veio contribuir para que a adoção de modelos de governo seja cada vez mais uma realidade nas empresas, através do critério de Governo Corporativo (ao qual se juntam também os critérios Ambiental e de Sustentabilidade – ASG).

Numa altura em que os ciberataques têm cada vez mais impacto na sociedade, é imperativo que as organizações sejam dotadas das estruturas e processos identificados para a criação de um modelo de governo robusto que permita uma gestão clara e eficaz dos processos de cibersegurança da empresa. Infelizmente, é ainda comum encontrar, principalmente nas PME, responsáveis que não têm ou não percecionaram ainda o valor acrescentado que um modelo de governo pode trazer às suas empresas.

"O governo eficaz da cibersegurança permite que as organizações maximizem os benefícios de operar numa economia digital, apoiando a sustentabilidade do negócio.”

A fim de implementar um modelo de governo holístico para a cibersegurança, as organizações devem conciliar a dimensão dos esforços com a sua capacidade interna, podendo recorrer a parceiros que os apoiem. Para o efeito, sugere-se a adoção de uma abordagem faseada, que passa por:

1. Criar uma cultura de cibersegurança, assente numa estratégia e visão a longo prazo, com definição e comunicação clara de papéis e responsabilidades, que capacite todos os elementos da organização para a proteção da confidencialidade, integridade e disponibilidade dos seus ativos de informação. De sublinhar que o Chief Information Security Officer (CISO) deve desempenhar um papel chave no governo da cibersegurança da organização. Não obstante, deve ser considerada a criação de um comité de cibersegurança, que acompanhe as iniciativas em curso, garanta a adequada alocação de recursos financeiros, humanos e tecnológicos, e consiga o buy-in de todas as partes, poderá ser um contributo determinante para a execução da estratégia. A formalização destes elementos deverá ser feita através duma framework documental de políticas e procedimentos, alinhada com as boas práticas de segurança de informação de referenciais normativos, como a ISO/IEC 27001:2013.
2. Alinhar a gestão do risco de cibersegurança com os modelos de gestão de risco corporativo presentes na organização. A adoção de uma framework formal de gestão de risco potenciará a produção de resultados consistentes e repetíveis. Ao usar um padrão estabelecido como a ISO 27005:2018 ou NIST SP 800-30r1, a organização pode avaliar ameaças, vulnerabilidades e impactos dos riscos de segurança no contexto do seu negócio, bem como estabelecer métodos adequados para mitigar os riscos. A gestão adequada do risco apoia a tomada de decisão, maximizando o benefício do investimento em cibersegurança.
3. Estabelecer um programa de cibersegurança, que traduza a estratégia em ação, impulsionando iniciativas e melhoria contínua da ciber-resiliência. As iniciativas do programa devem incluir itens como formação/sensibilização, desenvolvimento de políticas/procedimentos, implementação de novos sistemas/ferramentas de segurança ou a gestão do ciclo de vida das tecnologias implementadas.
4. Medir e reportar a capacidade de ciber-resiliência da organização, que resulta da execução do programa de cibersegurança. Os relatórios a produzir devem proporcionar às partes interessadas uma garantia de que a organização é ciber-resiliente, documentar o retorno do investimento (ROI) em iniciativas de cibersegurança e promover a melhoria contínua. Para o efeito, a organização deverá definir SMART¹ KPIs (quantitativos ou qualitativos) que forneçam insights sobre tendências, riscos e comportamentos, bem como destacar necessidades de mudanças na estratégia, gestão do risco, ou política de investimento.

O governo eficaz da cibersegurança permite que as organizações maximizem os benefícios de operar numa economia digital, apoiando a sustentabilidade do negócio. Sem um governo correto da cibersegurança, as organizações terão cada vez mais dificuldade em assegurar a continuidade das suas operações ou manter a confiança dos stakeholders externos (clientes e parceiros), com os impactos financeiros, reputacionais, e outros daí decorrentes, pelo que esta deve ser encarada como uma prioridade, pela gestão.

¹ SMART model: Specific, Measurable, Achievable, Relevant, and Time-bound (Específico, Mensurável, Alcançável, Relevante e Limitado no Tempo).