A cibersegurança deverá ser uma preocupação transversal a toda a organização e não somente focada nas Direcções de Sistemas de Informação.
Actualmente as organizações têm elevado volume de dados financeiros e de negócio (fornecedores, clientes, parceiros de negócios e outros) disponíveis nos seus sistemas de Tecnologias de Informação (TI), que se encontram muitas vezes vulneráveis e expostos a diversos riscos cibernéticos.
No mercado angolano, tem-se verificado que a maioria das organizações, apesar de estar sensível para as principais vulnerabilidades de cibersegurança, ainda não têm implementados mecanicismos de controlo robustos de mitigação dos diversos riscos cibernéticos. Esta situação deve ser encarada pela Gestão Executiva como uma preocupação transversal a toda a organização e não somente das Direcções de Sistemas de Informação, visto os riscos cibernéticos, tal como outros, representam uma ameaça que, no limite, pode colocar em causa a viabilidade da organização, incluindo distorção relevante das demonstrações financeiras.
Nesta óptica, a EY Angola considera fundamental incorporar no seu processo de auditoria financeira, nomeadamente nos clientes com maior nível de exposição, a avaliação de maturidade de cibersegurança com o objectivo de avaliar a sua exposição aos riscos e ameaças cibernéticas, a maturidade dos mecanismos de gestão de risco implementados pela Gestão, e em caso de ataques cibernéticos analisar os principais impactos (e.g. perda de dados e indisponibilidade de sistemas críticos do negócio) e como este foi remediado e comunicado às entidades relevantes.
Com base na nossa experiência, destacamos os cincos principais pontos de melhoria que as organizações em Angola devem implementar:
- Elaborar políticas de segurança de informação e de cibersegurança;
- Contemplar os riscos cibernéticos na gestão de riscos da organização;
- Criar um comité de cibersegurança;
- Elaborar programas de sensibilização, acções de consciencialização e realizar formações de temas relacionados com cibersegurança periodicamente; e
- Implementar ferramentas de detecção de ameaças e vulnerabilidades.
Artigo escrito por Frederico Fragoso, Senior Audit EY, Assurance Services