As empresas devem ter em conta que a sua segurança informática depende de vários intervenientes, internos e externos.
A gestão dos riscos cibernéticos é o processo de identificação, análise, avaliação e abordagem das ameaças informáticas dentro de uma organização. O ciclo passa ainda por monitorizar e priorizar esses riscos, mas a primeira missão dos executivos das empresas deve ser avaliá-los, porque permitirá automaticamente perceber a gravidade dos perigos e quais os que podem, de facto, comprometer a segurança informática dos seus sistemas.
José Casinha, Chief Information Security Officer da OutSystems defende que a melhor abordagem é ter em conta os padrões internacionais, tais como a norma ISO 27001 ou a NIST Cyber Security Framework (Estrutura de Segurança Cibernética do NIST) e estabelecer uma metodologia/estratégia para cada fase do risco: aceitá- -lo e mitigá-lo ("reduzir o risco para um nível aceitável"), transferi-lo ("contratar um seguro, por exemplo') ou evitá-lo ("deixar de fazer algumas tarefas se for alto').
Resta a questão se essa gestão do risco informático deve ser centralizada na empresa ou distribuída entre quem desenvolve o software e quem produz ou fornece o hardware, ou mesmo transferi-la a 100% para seguradoras ou consultoras.
"É uma das perguntas mais antigas em tecnologia. Tenho mais riscos se for tecnologia de muitos fornecedores (que, então, tenho que integrar) ou de um único (que vem integrado)? Existem muitas respostas diferentes. É fundamental testar implementações e ficar atento às informações de segurança dos fornecedores cujas tecnologias se escolhe', sugere Jonathan Sowler, vice-presidente de Engenharia da Unbabel ao Jornal Económico. Concretamente para esta crise sanitária e económica, Jonathan defende que se mantenha os mesmos procedimentos pré-pandemia — até porque esses métodos já deveriam ser à prova de vírus (os que atacam online e os que levam ao teletrabalho de quase toda a empresa). "Os sistemas de segurança nunca devem confiar num único indivíduo, mas membros da equipa formados para desempenhar as funções se outro não estiver disponível", refere.
Quer Diogo Mendonça, diretor de Operações da Bee Engineering, quer Bruno Rodrigues, especialista em Cibersegurança da Noesis, são defensores de uma abordagem transversal, que compreenda todos os intervenientes para reduzir a exposição ao perigo, tendo em conta que hoje o cenário das TI é complexo, distribuído e envolve terceiros.
"Envolver o utilizador final apenas terá resultados práticos do ponto de vista do «antes», da prevenção. E mitigar uma vulnerabilidade que tem origem no hardware mais tarde acarreta custos elevados", completa António Ribeiro, manager de Cibersegurança da Claranet.
No entanto, uma abordagem colateral da gestão não significa várias abordagens para cada um dos stakeholders.
*Artigo originalmente publicado em Jornal Económico.