No mundo actual da gestão de risco de cibersegurança, tornou-se bastante evidente que a gestão do risco cibernético em toda a organização é mais difícil do que nunca. Com efeito, manter arquitecturas e sistemas seguros e em conformidade poderá constituir uma tarefa hercúlea e demasiado complexa, até mesmo para as equipas mais preparadas na actualidade.

Considerando que a nossa sociedade se encontra cada vez mais conectada e "absorvida" pelo mundo virtual, e que uma cada vez maior quantidade de informação empresarial e pessoal se torna digital, as ameaças, por seu turno, tornam-se, naturalmente, mais evidentes e drásticas.

Deste modo, a gestão do risco de cibersegurança nunca foi tão crucial nem tão desafiante, implicando que cada gestor de cibersegurança deverá colocar a si próprio e às suas equipas, algumas questões fundamentais, nomeadamente: Porque é que a gestão do risco cibernético é mais onerosa do que alguma vez foi? Para responder a esta questão, teremos de considerar a proliferação de serviços na cloud e de fornecedores e/ou parceiros com acesso a dados sensíveis.

Assim sendo, e de acordo com um inquérito realizado em 2018 pelo Instituto Ponemon, as empresas partilham, em média, informação sigilosa com outras 583 organizações. No que concerne às equipas de cibersegurança, estas, por sua vez, estão encarregues de gerir infra- -estruturas complexas, com elevados riscos para os fornecedores. Não obstante, o número de leis e regulamentos que ditam a forma como os dados sensíveis devem ser protegidos está a aumentar consideravelmente, uma vez que as empresas são consideradas responsáveis pelo processamento de dados efectuado por terceiros em seu nome.

Todavia, e como se a gestão do seu próprio risco não fosse suficientemente árdua, as organizações devem, presentemente, gerir o risco das empresas com as quais mantêm relações comerciais. No entanto, é importante considerar que a pandemia veio, indubitavelmente, acelerar o processo da adopção do mundo digital, o que propiciou que grande parte do tecido empresarial iniciasse o seu trabalho remotamente em redes menos seguras ou menos testadas e com políticas de segurança menos maduras.

Como podemos definir a Gestão de Risco de cibersegurança? No que respeita à gestão de risco de cibersegurança, é seguro afirmar que este é um processo contínuo de identificação, análise, avaliação e abordagem das ameaças de cibersegurança da organização. Deste modo, a gestão de risco de cibersegurança não é nem deverá ser apenas da responsabilidade da equipa de cibersegurança, considerando que todos na organização deverão desempenhar o seu papel. É notório que em variadas ocasiões, tanto colaboradores como líderes de unidades de negócio assumam a gestão de risco a partir da sua função empresarial.

Lamentavelmente, estes encontram-se desprovidos de uma perspectiva holística essencial no que concerne à abordagem do risco, que deverá ser efectuada de uma forma abrangente e exequível. Deste modo, quem deverá ser responsável e por qual parte do risco de cibersegurança? É imprescindível distinguir que cada função possui o seu objectivo, na maioria das vezes com uma compreensão e empatia limitadas pelos restantes. Torna-se cada vez mais perceptível que as tecnologias de informação trazem novas ideias e novas tecnologias, mas encaram frequentemente a segurança e o compliance como bloqueios inoportunos ao seu progresso.

A cibersegurança, por seu turno, sabe como proteger a infra-estrutura, porém, encontra-se maioritariamente afastada do contacto com regulamentos e tecnologias em evolução. Por outro lado, as áreas de negócio procuram manter os seus clientes satisfeitos, solicitando constantemente uma forma eficiente de completar auditorias de segurança.

A realidade é que uma função de compliance ou de conformidade pretende assegurar que a organização esteja longe de adversidades legais, garantindo, por isso, o cumprimento rigoroso dos regulamentos, mas operando, diversas vezes, sem uma profunda compreensão do que é a cibersegurança.

(Leia o artigo integral na edição 679 do Expansão, de sexta-feira, dia 17 de Junho de 2022, em papel ou versão digital com pagamento em kwanzas. Saiba mais aqui)