Cibersegurança: pilar para a sustentabilidade do negócio!

A Segurança da Informação e mais especificamente a Cibersegurança é o controle que possibilita a proteção adequada para que a organização alcance seus objetivos corporativos e desenvolva o seu negócio, no que depende da informação. Mas todas as organizações estão baseadas em informação!

Recentemente (infelizmente) tomamos conhecimento de incidentes que pararam ambientes de tecnologia de organizações e de órgãos do governo. Neste mês, dois sites de comercio eletrônico de uma grande empresa de varejo, foram invadidos por criminosos e tiveram que sair do ar. Com cinco dias indisponíveis, a Consultoria Economatica estima uma perda de R$ 3,48 bilhões em valor de mercado. A XP Investimentos estima um prejuízo de faturamento na ordem de R$ 250 milhões.

A Cibersegurança está (ou deveria estar) na mesa do Corpo Diretivo, na pauta do Conselho de Administração. Mas este não é um assunto fácil dos executivos entenderem. Com certeza em todos os casos de problemas por erros ou ações criminosas, alguém vai levantar a questão “Como pode acontecer? Destinamos uma grande verba para TI?” Verdade, mas será que a proteção seguiu uma estrutura e os requisitos de uma efetiva governança?

Entendo que alguns aspectos e controles precisam ser melhor apresentados para o Corpo Diretivo de maneira a garantir o alinhamento da Governança da Segurança da Informação com a Governança Corporativa. Para facilitar o entendimento, garantir a governança e aprimorar a decisão sobre risco, descrevo abaixo cinco direcionadores fundamentais para garantir uma efetiva proteção do recurso informação.

1. Corpo Diretivo: responsável pela existência da Proteção da Informação.

O Programa Organizacional de Segurança da Informação e Cibersegurança deve ser patrocinado pelo Corpo Diretivo.

Exige investimento financeiro, mudança de cultura, investimento de tempo dos colaboradores, definição de diretrizes corporativas obrigatórias, conformidade com legislação, exigências com fornecedores e controles para o tratamento da informação.

2. Corpo Diretivo: precisa saber a Maturidade da Cibersegurança

É essencial que o Corpo Diretivo conheça e entenda a Maturidade dos Controles de Proteção da Informação existentes (ou não) na Cibersegurança. Somente assim será possível a definição do apetite de risco que a organização aceitará.

Para tanto a organização deve executar internamente ou com a colaboração de uma Consultoria, uma avaliação periódica dos controles de proteção da informação, tomando por base alguma das principais Estruturas de Referência tipo Normas ISO/IEC da Família 27000 e outras com mais detalhe técnico. Estas estruturas de referência teórica cobrem todas as dimensões de segurança.

Esta maturidade é consequência da análise de centenas, talvez milhares, de controles de gestão, técnicos e de comportamento. Ao ser apresentado, em linguagem não técnica, ao Corpo Diretivo, agregaremos esta apresentação da maturidade em macro controles possíveis de compreensão.

Precisamos ter sabedoria para comunicar ao Corpo Diretivo a verdade. Entendo que uma abordagem é explicitação das ameaças consideradas. Por exemplo: na proteção de invasão foi considerada a ameaça de criminosos “comerciais”. Isto é, não foi considerada um ataque tipo Guerra Cibernética de países.

3. Priorização para a implantação ou aprimoramento dos controles

Uma organização pode ter todo o dinheiro necessário para uma excelente proteção, mas não possui todo o tempo do mundo.

Desta maneira é necessário um Plano de Ação priorizando os controles a serem aprimorados ou implementados. Este plano de ação tem que ser validado pelo Corpo Diretivo.

4. Governança e Gestão da Segurança da Informação e Cibersegurança

A Governança da Segurança da Informação, alinhada com a Governança Corporativa, acontece quando o Corpo Diretivo aprova políticas e normas obrigatórias que devem garantir a existência de um Programa Organizacional de Segurança da Informação e Cibersegurança.

Estes regulamentos definem diretrizes, responsabilidades, frequência de macrocontroles e exigências de posicionamento gerencial para o Corpo Diretivo, indicando o andamento (melhora, piora) da Maturidade dos Controles de Cibersegurança).

A Gestão da Segurança da Informação e Cibersegurança exige mais do que os controles técnicos. Exige ação de gerenciamento dos procedimentos, comportamento humano, execução de tarefas, cumprimento das responsabilidades.

5. Implementação de controles exige conhecimento e experiência

Independente se o desenvolvimento, implementação e sustentabilidade da gestão e dos controles de Segurança da Informação e Cibersegurança sejam realizados internamente ou com a parceria de uma Consultoria, é fundamental que os profissionais envolvidos tenham profundo conhecimento técnico e comprovada experiência no tema. Afinal estamos tratando da sustentabilidade da informação para a realização do negócio e atendimento aos objetivos corporativos.

A Governança e Gestão da Segurança da Informação e Cibersegurança não é simples. Considera vários aspectos que variam de controles técnicos até comportamento dos colaboradores. Mas, é possível. E deve ser implementada para garantir que a organização atenda seus objetivos corporativos e operacionalize o seu negócio, no que depende da informação. Entendo que é assim que os acionistas desejam!

Edison Fontes, CISM, CISA, CRISC, Ms.

Autor do Livro Segurança da Informação: Gestão e Governança. Conformidade com a LGPD.

Expert CyberSecurity Consultant – NTT DATA Europe & LATAM

[email protected]