BRANDS' ECO Complexidade da regulação na cibersegurança
Luís Avilez, Consulting Cybersecurity Manager na EY, fala dos desafios atuais, da perceção das empresas e das perspetivas futuras da regulação no setor da cibersegurança.
A regulação é essencial para o cumprimento de metas de crescimento sustentável, promovendo o funcionamento correto de economias e sociedades. É esta que suporta a competitividade e equilíbrio dos mercados, protege os direitos e a segurança dos cidadãos e contribui para uma distribuição mais eficiente de bens e serviços. No entanto, apesar dos seus benefícios, a regulação não é isenta de custos. Como tal, é essencial a adoção de abordagens que otimizem os benefícios face aos custos e a implementação de mecanismos de monitorização.
Na cibersegurança, têm sido múltiplos os instrumentos a ser adotados pelos estados-membros da União Europeia com o intuito de aumentar a segurança e resiliência dos sistemas. Da Diretiva 2016/1148, da segurança das redes e da informação (SIR), à regulação no domínio do tratamento de dados pessoais e em outros, são múltiplos os exemplos da tendência acumulativa e fragmentária no quadro normativo.
Os desafios da regulação
Para as organizações, os custos da regulação podem contribuir negativamente para a competitividade. O investimento realizado na familiarização, gestão, monitorização, reporte, e formação dos quadros desviam recursos ao negócio e geram custos de oportunidade.
Para as organizações, a identificação dos requisitos associados à regulação pode ser um grande desafio, em particular para as que operam em múltiplas jurisdições. Noutras situações, as regulações podem requerer o reporte da conformidade e impor penalizações severas, incluindo a perda de licença, se não forem realizados de forma correta e atempada. A acumulação e fragmentação do quadro regulatório e as especificidades para alguns setores podem ainda somar maior complexidade.
A navegação num meio regulatório fragmentado e tendencialmente mais exigente é um dos maiores desafios atuais para os Chief Information Security Officer
O balanço que as organizações fazem
A COVID-19 trouxe um aumento substancial no volume de ciberataques, despertando uma maior sensibilidade do público em torno da cibersegurança e da atuação das autoridades. De acordo com dados do relatório da EY Global Information Security Survey 2021 (GISS)1, a navegação num meio regulatório fragmentado e tendencialmente mais exigente é um dos maiores desafios atuais para os Chief Information Security Officer (CISOs).
Dados do GISS alertam para que 1 em cada 2 inquiridos afirma que a conformidade pode ser um dos fatores de maior ansiedade na sua função. Com algumas organizações sujeitas a uma carga adicional de regulação específica setorial, a regulação pode, em algumas circunstâncias, exigir uma disponibilidade que os CISOs afirmam não dispor.
"Os CISOs estão menos confiantes de que a conformidade possa continuar a ser um fator que contribua para a melhoria dos níveis de segurança”
Perspetivas sobre o futuro
Em termos comparativos, em 2020, 46% dos inquiridos considerava que a regulação inspirava comportamentos positivos nas organizações. Com o aumento da complexidade regulatória, este número tem vindo a diminuir, situando-se atualmente nos 35%. Esta tendência anuncia que os CISOs estão menos confiantes de que a conformidade possa continuar a ser um fator que contribua para a melhoria dos níveis de segurança.
Seis em cada dez inquiridos consideram que a regulação se tornará mais heterogénea e que consumirá mais tempo, tornando-se cada vez mais um fator de distração.
Atenuar os custos da regulação
Através da adoção de uma abordagem estruturada, as organizações podem reduzir substancialmente o esforço associado à conformidade. Organizações que operem com diferentes regulações deverão dar prioridade à elaboração de um programa global de políticas e controlos que se adeque aos aspetos comuns, realizando posteriormente adendas específicas para tratar das exceções.
Outro fator de sucesso é a adequação de processos e de tecnologias. A identificação incorreta de requisitos para avaliação das soluções tecnológicas ou o desenho de processos ineficientes podem traduzir-se em custos elevados de conformidade. Processos e tecnologias devem ser avaliados por equipas com experiência.
Num contexto regulatório cada vez mais exigente, processos de conformidade pouco eficientes podem facilmente resultar em custos elevados e são um fator de desmotivação dos melhores quadros, já de si escassos na cibersegurança.
1Estudo publicado anualmente pela EY, que sondou este ano cerca de 1.450 líderes de cibersegurança de organizações de todo o mundo. Mais informação aqui.
Assine o ECO Premium
No momento em que a informação é mais importante do que nunca, apoie o jornalismo independente e rigoroso.
De que forma? Assine o ECO Premium e tenha acesso a notícias exclusivas, à opinião que conta, às reportagens e especiais que mostram o outro lado da história.
Esta assinatura é uma forma de apoiar o ECO e os seus jornalistas. A nossa contrapartida é o jornalismo independente, rigoroso e credível.
Comentários ({{ total }})
Complexidade da regulação na cibersegurança
{{ noCommentsLabel }}