Quão segura está a nossa informação?

Quão segura está a nossa informação?

Esta é a pergunta que o CEO de qualquer empresa quer ver respondida, mas que muitas vezes o responsável pela segurança da informação tem dificuldade em responder de forma imediata e sustentada

Se por um lado, a era digital tem permitido às empresas reinventarem-se na forma como operam e fazem negócio, por outro lado assistimos a ferramentas e técnicas de hacking e ataques de segurança cada vez mais avançados. Se Internet of Things, inteligência artificial, machine learning e automação representam um mundo de oportunidades, muitos receiam a sua utilização pelo risco de segurança que podem constituir. Embora se pense que estas tecnologias representarão, num futuro próximo, a maior causa de falhas de segurança e privacidade da informação, defendo que sem estas tecnologias não poderemos ser suficientemente proativos na prevenção, deteção e correção de falhas de segurança.

Longe vão os tempos em que o foco da segurança era implementar medidas técnicas de hardware e software para garantir que os sistemas de informação continuavam a funcionar, assegurando que os hackers não comprometiam os sistemas e não roubavam a informação, mantendo-a protegida. Hoje, uma aposta na segurança computacional e na garantia de segurança já não é suficiente. Estudos da Gartner revelam que 99% das vulnerabilidades exploradas até final de 2020 continuarão a ser conhecidas pelas equipas de segurança e profissionais de TI só na altura em que ocorre o incidente resultante da exploração da vulnerabilidade.

Adotar uma abordagem equilibrada de segurança e de cibersegurança que permita, em cada momento, conhecer, intervir e reportar sobre quão segura está a nossa informação é o caminho a seguir. Para tal, defendo que se deva considerar uma combinação de estratégias que incluam:

Segurança como bem estratégico

Adoção de boas práticas (standards, frameworks, etc) e colaboração de todas as partes interessadas para identificar e abordar as questões e os riscos de segurança e de cibersegurança na definição da estratégia e plano estratégico de negócio.

Política e Estratégia de Risco

A existência de uma política global de segurança de informação na organização permite guiar todos os envolvidos (internos e externos) nas ações que podem e não podem fazer com vista ao alcance dos objetivos de segurança e de cibersegurança, protegendo a segurança geral do ciberespaço, identificando e planeando planos de resposta a riscos de segurança para continuidade das operações de negócio.

Responsabilização e Definição de Papéis

Independentemente de trabalharmos num ambiente mais ágil e multidisciplinar seguindo abordagens Shift Left, DevOps, ou num ambiente mais tradicional com responsabilidades bem definidas, temos de identificar quem são os responsáveis e quais os níveis de responsabilidade na segurança global da informação na empresa.

Educação e Capacitação

É imperativo capacitar e educar todos os envolvidos nas práticas de segurança, cibersegurança e gestão de riscos, fornecendo um recurso confiável para avaliar e tratar riscos de segurança e cibersegurança na organização.

Soluções Tecnológicas

Adoção de soluções tecnológicas inovadoras (automação, machine learning, artificial intelligence, IoT, etc.) que permitam investigar além do incidente com o objetivo de trabalhar de forma proactiva e proteger a organização contra um ciberataque como: phishing, garantindo que temos sempre as mais recentes atualizações de software e patches de segurança; segurança da mobilidade, garantindo a segurança da informação manipulada nos dispositivos móveis; segurança de aplicações, garantindo testes exaustivos para detetar brechas na estrutura de segurança de informação da organização; segurança na cloud, com análise e avaliação aprofundadas dos riscos de segurança de serviços cloud e tecnologia de internet, seja na rede pública ou privada; ransomware e malware, fazendo regularmente auditorias, testes e implementando as medidas apropriadas; processamento preciso e oportuno de eventos e incidentes de segurança; segurança de endpoints; fornecedores e parceiros; desenvolvimento e aquisição de software seguro.

 

por Virgínia Araújo, Formadora na Rumos nas áreas de Cyber Security & Privacy

Tags
Notícias relacionadas

RECOMENDADO PELOS LEITORES

REVISTA DIGITAL

IT INSIGHT Nº 24 Março 2020

IT INSIGHT Nº 24 Março 2020

NEWSLETTER

Receba todas as novidades na sua caixa de correio!

O nosso website usa cookies para garantir uma melhor experiência de utilização.