Cada vez mais a informação é reconhecida como um bem essencial para a vantagem competitiva das organizações. No entanto, contrariamente a outros tipos de bens essenciais, esta encontra-se muito mais exposta e vulnerável, devendo ser devidamente gerida e protegida.
De forma a garantir a continuidade do negócio e reduzir a exposição e dano de incidentes, a cibersegurança deve ser compreendida de forma holística em toda a organização, nomeadamente nas suas pessoas, tecnologias e processos.
Em Portugal muitas organizações ainda endereçam a cibersegurança como um tema de TI, focando-se na implementação de tecnologias que as protejam das ameaças externas. Esta abordagem é limitativa, uma vez que não garante uma gestão holística: os riscos não são geridos com foco no negócio, a gestão de topo não tem visibilidade sobre os riscos, e os conflitos de interesses existentes entre as TI e a cibersegurança (financeiros e estratégicos) retiram força à segurança.
As recentes alterações legais e regulamentares têm tido impacto positivo em aumentar a sensibilização para o tema nas organizações e sociedade. Este resultado foi conseguido através de duas grandes imposições: a necessidade de enraizar a cibersegurança nos processos (de negócio e suporte), e pela aplicação de coimas – levando o tema diretamente às agendas da gestão de topo.
Torna-se claro que as administrações necessitam de um parceiro capaz de liderar e compreender as necessidades da organização para estes temas. Este parceiro deve ser capaz de compreender os riscos a que a organização se encontra exposta, reportá-los claramente aos conselhos de administração, ter uma visão estratégica alinhada com a estratégia da organização e fomentar a cultura de cibersegurança na organização.
Cada vez mais tem sido reconhecida a necessidade de delegar um CISO (Chief Information Security Officer) para endereçar estas necessidades. Devido à sua natureza estratégica, é considerado que o CISO deve ser hierarquicamente independente, e ter uma relação próxima com as áreas de gestão e conselhos de administração – sendo que em alguns casos é considerado que deve fazer parte do próprio conselho de administração.
Às entidades cuja dimensão não justifique os custos de ter alguém dedicado a estes temas, poderão ser adotadas estratégias alternativas, como a contratualização de serviços que pontualmente avaliem e direcionem a sua estratégia de cibersegurança, ou a delegação da responsabilidade a uma área com conhecimentos de gestão de risco, que compreenda o negócio, e que faça chegar de forma clara o impacto dos riscos de cibersegurança à administração.
Independentemente da abordagem seguida, a adoção destas medidas irá apoiar a que a cibersegurança se torne um elemento estratégico para o sucesso e resiliência das organizações.
