No entanto, ao invés dos riscos legais e financeiros, que têm sempre representação nos Conselhos de Administração das empresas e pessoas com know-how dedicadas a estes temas, quando falamos de cibersegurança a abordagem ainda passa muito por ter uma perspetiva pontual e operacional dos riscos associados. Na grande maioria das organizações não existe ninguém que tenha uma visão global do ponto de vista da cibersegurança e com poder de decisão para atuar. Aplicando uma analogia, quando se constrói uma casa há várias dimensões a considerar.
A qualidade e segurança da casa depende do planeamento e implementação a diferentes níveis. Das infraestruturas à engenharia e segurança física da casa, a aspetos de design e de espaço, assim como outros critérios como a escolha dos materiais, os timmings adequados à construção, passando pelas técnicas de construção aplicadas. É todo este conjunto de fatores que determina a qualidade, a usabilidade e a segurança da casa. E há um arquitecto que tem a visão global do projeto e a responsabilidade de supervisionar e garantir a correta execução do mesmo.
Na cibersegurança a lógica é a mesma
Uma estratégia adequada de cibersegurança hoje já é crítica na redução da fraude, na resposta a desafios regulatórios e obrigatoriedades legais, na proteção da reputação das marcas e na evolução para novos modelos de negócio assentes em relações digitais. A visão ocasional e puramente operacional de “tapar os buracos” com uns testes periódicos de vulnerabilidade, por si só, não resolve os problemas reais que existam. Se queremos ter uma “casa” ou organização verdadeiramente sustentáveis temos que aproveitar todo o potencial que uma área de cibersegurança com visão global de negócio pode trazer.
Não adianta investir numa rede segura se não formarmos as pessoas em conceitos tão frequentes como phishing e malware e nos tipo de práticas preventivas que devem incorporar no seu dia a dia para combater estes vetores de ataque. Da mesma forma, podemos implementar um conjunto de processos seguros na nossa organização, mas se não garantirmos que os nossos principais parceiros e fornecedores também aplicam os mesmos princípios, não conseguimos assegurar que, se eles tiverem falhas graves de segurança, essas falhas não vão ter impacto na nossa organização.
Se queremos implementar conceitos como “security by design” e “security by default” e ter uma noção real do impacto e dos riscos envolvidos, tem que existir uma visão global dos temas ligados à cibersegurança. Tem que ser definido um planeamento, integrando uma visão evolutiva dos diferentes tipos de ações a implementar. E tem que haver um acompanhamento do mesmo, ao mais alto nível, na organização.
Só assim pode existir uma perspetiva otimizada e integrada do investimento em cibersegurança, com noção do que se deve investir, nomeadamente em Hardware, Software e Formação. E só assim se pode tirar partido da Cibersegurança como um verdadeiro enabler de negócio. Um enabler que contribui para a expansão e sustentabilidade da organização e não apenas mais um centro de custos que resolve problemas emergentes.
Branded content co-produzido pela MediaNext para a Multicert.
|