As empresas que estão hoje a implementar ou a robustecer os seus programas de cibersegurança, só o vão conseguir fazer com sucesso se tiverem um modelo de governo bem definido e uma gestão do risco eficaz.
Como definido no primeiro princípio do modelo das três linhas proposto pelo IIA (The Institute of Internal Auditors) actualizado recentemente, o governo de uma organização necessita das estruturas e processos apropriados que permitam: definir os responsáveis últimos para a supervisão através da integridade, liderança e transparência; definir as acções de gestão para atingir os objectivos da empresa através de tomadas de decisão com base no risco; e por último garantir a independência das funções de auditoria interna de forma a dar confiança e facilitar a melhoria contínua dos processos.
A Responsabilidade Social Corporativa (RSC) veio contribuir para que a adopção de modelos de governo seja cada vez mais uma realidade nas empresas, através do critério de Governo Corporativo (ao qual se juntam também os critérios Ambiental e de Sustentabilidade – ASG).
Numa altura em que os ciberataques têm cada vez mais impacto na sociedade, é imperativo que as organizações sejam dotadas das estruturas e processos identificados para a criação de um modelo de governo robusto que permita uma gestão clara e eficaz dos processos de cibersegurança da empresa. Infelizmente é ainda comum encontrar, principalmente nas PMEs, responsáveis que não têm ou não percepcionaram ainda o valor acrescentado que um modelo de governo pode trazer às suas empresas.
A fim de implementar um modelo de governo holístico para a cibersegurança, as organizações devem conciliar a dimensão dos esforços com a sua capacidade interna, podendo recorrer a parceiros que os apoiem. Para o efeito, sugere-se a adopção de uma abordagem faseada, que passa por:
- Criar uma cultura de cibersegurança, assente numa estratégia e visão a longo prazo, com definição e comunicação clara de papéis e responsabilidades, que capacite todos os elementos da organização para a protecção da confidencialidade, integridade e disponibilidade dos seus ativos de informação. De sublinhar que o Chief Information Security Officer (CISO) deve desempenhar um papel chave no governo da cibersegurança da organização. Não obstante, deve ser considerada a criação de um comité de cibersegurança, que acompanhe as iniciativas em curso, garanta a adequada alocação de recursos financeiros, humanos e tecnológicos, e consiga o buy-in de todas as partes, poderá ser um contributo determinante para a execução da estratégia. A formalização destes elementos deverá ser feita através duma framework documental de políticas e procedimentos, alinhada com as boas práticas de segurança de informação de referenciais normativos, como a ISO/IEC 27001:2013.
- Alinhar a gestão do risco de cibersegurança com os modelos de gestão de risco corporativo presentes na organização. A adopção de uma framework formal de gestão de risco potenciará a produção de resultados consistentes e repetíveis. Ao usar um padrão estabelecido como a ISO 27005:2018 ou NIST SP 800-30r1, a organização pode avaliar ameaças, vulnerabilidades e impactos dos riscos de segurança no contexto do seu negócio, bem como estabelecer métodos adequados para mitigar os riscos.
A gestão adequada do risco apoia a tomada de decisão, maximizando o benefício do investimento em cibersegurança.
- Estabelecer um programa de cibersegurança, que traduza a estratégia em acção, impulsionando iniciativas e melhoria contínua da ciber-resiliência. As iniciativas do programa devem incluir itens como formação/sensibilização, desenvolvimento de políticas/procedimentos, implementação de novos sistemas/ferramentas de segurança ou a gestão do ciclo de vida das tecnologias implementadas.
- Medir e reportar a capacidade de ciber-resiliência da organização, que resulta da execução do programa de cibersegurança. Os relatórios a produzir devem proporcionar às partes interessadas uma garantia de que a organização é ciber-resiliente, documentar o retorno do investimento (ROI) em iniciativas de cibersegurança e promover a melhoria contínua. Para o efeito, a organização deverá definir SMART [1] KPIs (quantitativos ou qualitativos) que forneçam insights sobre tendências, riscos e comportamentos, bem como destacar necessidades de mudanças na estratégia, gestão do risco, ou política de investimento.
Artigo escrito em coautoria por Rodrigo de Perez Monteiro, Manager EY, Cibersecurity, Technology Consulting Services
[1] SMART model: Specific, Measurable, Achievable, Relevant, and Time-bound (Específico, Mensurável, Alcançável, Relevante e Limitado no Tempo).