Por Rafael Sampaio
Empresas de todos os portes e segmentos estão sujeitas a ataques cibernéticos. Muitos riscos são externos, caracterizados pela ação de hackers ou outra atividade maliciosa. Mas, infelizmente, também podem existir ameaças no ambiente interno, por meio de colaboradores mal intencionados ou espiões infiltrados. Essas vulnerabilidades podem ser mapeadas por meio de um ciclo virtuoso de identificação dos riscos, de priorização de vulnerabilidades a serem tratadas, da efetiva remediação desses gaps e da constante revisão do processo, considerando aplicações, infraestrutura e nuvem.
Muitas tecnologias são capazes de auxiliar os profissionais de segurança da informação nessa gestão de risco. Quando bem implementadas, elas se mostram bastante eficientes. Porém aconselho que ela seja adotada apenas após o entendimento do apetite de risco da empresa; e só se consegue isso com base em um plano claro dos objetivos da companhia em segurança da informação, com base em métricas e boas práticas universalmente aceitas, como Lei Geral de Proteção de Dados (LGPD), BCI, Bacen 4658, ISO 27000, NIST e CIS, por exemplo.
Cada um desses frameworks de segurança da informação é capaz de medir o nível de governabilidade e atuação da empresa em cibersegurança. Juntos, esses dados integram a régua de maturidade da companhia. São informações como essas que auxiliam os CISOs a estabelecerem um diálogo mais efetivo com o board da organização. Para esse grupo é mais eficiente apresentar algo que os ajude a ter noção do apetite de risco da empresa do que IP da máquina que está vulnerável.
Vou ilustrar com um exemplo prático. Suponhamos que a sua empresa tenha feito uma avaliação interna da maturidade de segurança e chegou à conclusão de que está em um nível 3, considerando uma escala de 5, enquanto, em geral, a indústria de atuação está na posição 4. A partir daí, é recomendado que o CISO elabore dois planos de ação para apresentar ao conselho, sendo um com o objetivo de igualar a segurança da companhia à da maioria dos competidores e outro com medidas para superar a concorrência alcançando o nível máximo.
Com todas essas informações em mãos, é possível estabelecer conversas mais claras, realistas e estratégicas com o board, e conseguir patrocínio para o plano escolhido. Nessa reunião, pode-se discutir, por exemplo, se a empresa está disposta a correr o risco de não ser nível 5 e o que significaria alcançar o patamar máximo, considerando o mercado de atuação. A ideia é dividir responsabilidades sobre os rumos do negócio e criar um consenso sobre qual é o apetite de risco que a empresa está disposta a assumir, quais ações precisam ser tomadas e quais investimentos serão disponibilizados.
Na impossibilidade de estabelecer essa dinâmica, devido a constante realidade das equipes reduzidas, considere contar com o apoio de uma consultoria externa especializada, que, além de aliviar a carga de trabalho interna, tende a oxigenar as ideias do time. Porém, independentemente do cenário, mantenha o tema cibersegurança no radar do conselho de administração. Essa não é apenas uma boa prática. É exigência de muitas normativas que preveem que as empresas tenham um plano de segurança claro, oficial e aprovado pelo conselho de administração ou um grupo competente.
*Rafael Sampaio é country manager da Etek NovaRed
