S21Sec realiza evento dedicado à gestão estratégica do risco cibernético

Na era do digital, as empresas deparam-se com um ecossistema de ameaças muito particular. Por um lado, a superfície de ataque é muito maior, e os ataques são cada vez mais constantes e direcionados. Por outro, as empresas dependem muito do digital, seja do lado operacional, como da prestação de serviços, pelo que um único ciberataque pode comportar custos significativos.

A forma como as empresas operam as suas parcerias – nas quais é muitas vezes concedido acesso a redes, plataformas digitais e bases de dados – torna esta questão mais complexa: uma empresa pode ter a melhor tecnologia, políticas e cultura empresarial em termos de cibersegurança, mas basta que um parceiro com acesso aos seus dados tenha a segurança comprometida para que todo este investimento tenha sido em vão.

Como tal, cada vez mais executivos estão a tomar consciência do impacto real que a cibersegurança tem no negócio, não só em termos operacionais como de valor e marca. No entanto, ainda se verifica uma grande desconexão entre a gestão estratégica do negócio e a cibersegurança, que continua a ser vista como apenas mais uma parte do IT.

“É importante que a gestão do ciber risco e da cibersegurança passe a ser integrada nos processos de negócio, que os responsáveis de risco assumem um papel cada vez mais importante no negócio e na mitigação do risco para as organizações”, alerta Carla Zibreira, Head of Consultancy da S21Sec, uma vez que “o conhecimento e entendimento da cibersegurança por parte dos executivos é fundamental para o sucesso, valor, reputação e marca da organização”.

Prova disto é um estudo do Ponemon Institute que indica que o declínio médio das ações imediatamente após a revelação de um ciberataque é de 5%. Isto é inevitável – todas as empresas podem ser alvo de ciberataques. A diferença, explica Carla Zibreira, está na rapidez de resposta ao incidente. Se a capacidade de recuperação da empresa for rápida, as ações recuperam em média após sete dias – se for prolongada, 90 dias. O mesmo se aplica em termos de marca, com uma perda de 2% e 5% de clientes, respetivamente.

Contudo, existe uma clara desconexão entre estas implicações para o negócio e a integração da cibersegurança na gestão estratégica das organizações. Carla Zibreira defende que é essencial desenvolver a comunicação entre as equipas de cibersegurança e a gestão de topo, para que os líderes de negócio compreendam os riscos e necessidades de cibersegurança da empresa, bem como o valor estratégico dos investimentos que estão a fazer e tomem decisões informadas em função disto.

Para integrar a gestão de ciber risco na gestão estratégica da empresa, Carla Zibreira delineia quatro etapas: 

1. Integrar a cibersegurança na framework de riscos da organização, numa categoria própria independente do IT, visto ter implicações, riscos e motivações específicas que precisam de ser avaliadas num contexto estratégico, não tecnológico;
2. Integrar a gestão de ciber risco na agenda dos executivos. O responsável de segurança deve ser mais um facilitador de negócios, ao saber quais as implicações que os ciber riscos trazem para o negócio e como é que a empresa pode continuar a criar valor. Isto, por outro lado, facilita a comunicação, visto que o conselho de administração passa a ter alguém que domina igualmente a linguagem tecnológica e de negócios;
3. Conhecer o ecossistema de ciber risco da organização. Isto requer, em primeiro lugar, sistematizar o ecossistema da gestão de informação: quem são os departamentos que vão estar envolvidos, identificar os fatores internos e externos, o contexto regulamentar, etc.. Ao fazer esta sistematização, é possível mapear detalhadamente os riscos de cibersegurança e o seu impacto na organização, servindo de base para determinar que controlos devem ser implementados;
4. Promover a discussão de ciber riscos na tomada de decisão. Ou seja, apoiar a liderança na tomada de decisão ao delinear o valor estratégico da cibersegurança, o seu impacto nos custos, riscos, receitas, satisfação do cliente, etc.. Para isto, é necessário, em primeiro lugar, fornecer informação adequada ao conselho de administração, não só em termos de linguagem, mas também da natureza da informação disponibilizada – comunicar apenas as ameaças de cariz crítico, apresentadas de forma clara, estruturada e focada nas suas implicações para o negócio para construir um dashboard de cibersegurança que tenha de facto significado para a gestão.

“Em nenhum ponto aqui estamos a falar de tecnologia, de ‘ciber’. Estamos a falar dos impactos que estes riscos têm na organização”, conclui Carla Zibreira. “O desafio [passa por] traduzir a nossa linguagem tecnológica em valor para a organização, marca e reputação, que são as palavras chave de um gestor de uma organização”.