O que é o score de cibersegurança e por que é importante

Acredito que a importância de investir na mensuração do impacto da cibersegurança no negócio já é algo clara para todos que atuam neste segmento, especialmente com o mundo caminhando para um formato cada vez mais digital e com a LGPD já encaminhada. Isto posto, saber identificar o score de cibersegurança da sua empresa é uma boa prática que pode contribuir para garantir que está no caminho certo.

O score de cibersegurança é uma pontuação que define o nível de proteção de uma organização no ambiente digital, que é atribuído com base em um conjunto de boas práticas, de acordo com a exposição da Internet. É possível encomendar avaliações do score de cibersegurança tanto com relação à própria marca quanto a de um terceiro ou concorrente de mercado. Em qualquer um desses casos, utiliza-se dados públicos, o que evita que a ação seja caracterizada como invasiva ou ilegal.

Com a missão de atribuir notas de 0 a 100 às boas práticas da organização no quesito cibersegurança, uma ferramenta totalmente automatizada, por meio de assessments e evidências, mapeia:

• os domínios da empresa monitorada (contratante, parceiros e/ou concorrentes, de acordo com o contrato firmado);
• a existência de campanhas de malware associadas ao domínio;
• o atendimento a requisitos específicos de compliance;
• a adoção e validade dos certificados digitais;
• os pontos de vulnerabilidade da rede;
• a atualização dos servidores entre outros.

E por que o score de cibersegurança é importante?

Defendo que a segurança da informação deve fazer parte do DNA da companhia, independentemente de normas, leis ou outros fatores externos que possam gerar penalidades ao negócio. Dessa forma, ao procurar saber de maneira proativa o seu próprio nível de insegurança, a companhia:

• aumenta a segurança dos dados que circulam dentro da organização;
• fica em compliance com relação às exigências dos parceiros mais maduros no quesito cibersegurança;
• eleva a sua capacidade de evidenciar de uma maneira formal às autoridades competentes sua preocupação com relação à privacidade de proteção de dados;
• tem mais dados para pavimentar um plano de segurança da informação eficiente e alinhado às necessidades da companhia;
• oferece ao CISO informações mais apuradas do ambiente digital;
• viabiliza que a área de TI e SI tenha em mãos dados confiáveis para defender investimentos, identificar gargalos nos processos ou ter insights sobre melhorias da operação;
• se diferencia da concorrência por um dos aspectos mais valorizados pelos clientes: a preocupação genuína com privacidade e proteção de dados.

Um projeto completo deve incluir recomendações de remediação das vulnerabilidades encontradas, com indicações de ações práticas para que scores melhores sejam atingidos. Além disso, é importante desenvolver na empresa a cultura de acompanhamento frequente desse score, a fim de garantir que as práticas adotadas ainda se mantém eficazes.

* Rafael Sampaio é country manager da NovaRed no Brasil