Os ataques cibernéticos de hoje são caracterizados por numerosos, frequentes e mais ameaçadores. A motivação dos atacantes já não é apenas o roubo ou manter as organizações reféns da informação. Passa também por infiltrar e manipular informação quer de uma organização ou de um ecossistema.
As novas ameaças cibernéticas levantam também sérias questões sobre a preparação das organizações. Com base no EY Global Information Security Survey 2018 (GISS), 11% dos inquiridos considera que a função de segurança da informação não responde às necessidades da organização.
As organizações necessitam assim de uma visão integrada da cibersegurança e isto passa pela criação de um Programa de Cibersegurança que deverá ter em conta os seguintes pontos:
1. Cultura – Construir uma cultura que torne a cibersegurança responsabilidade de todos os colaboradores.
2. Governo – Definir claramente as responsabilidades da cibersegurança na organização. Criar um responsável de segurança da informação (CISO) adequado ao propósito da organização.
3. Estratégia – Colocar a cibersegurança como parte integrante da estratégia para o negócio. Não pode ser visto como uma questão de TI.
4. Security by design – Assegurar que a cibersegurança é envolvida logo de início nas inovações digitais.
5. Regulador – Entender o impacto do regulador nos negócios e apoiar os mesmos na sua melhoria.
6. Risco – Determinar o risco dos ativos principais e a abordagem da sua proteção, com foco particular nos mais críticos.
7. Agilidade – Desenvolver um modelo de gestão de risco de cibersegurança dinâmico que permita rapidamente adaptar no caso de uma escalada de risco ou uma decisão de mudar o apetite ao risco.
8. Conformidade – Integrar a conformidade na estratégia de cibersegurança, de forma que os investimentos retornem valor para o negócio, através da criação de defesas para a organização.
9. Resiliência – Reforçar a resiliência através de um bom plano de crise e plano de comunicação, com o envolvimento de toda a organização.
10. Colaboração – É importante a participação de todas as partes (organização, parceiros, clientes, reguladores) na identificação dos riscos e soluções. A falha de uma das partes no ecossistema poderá colocar todos em causa.
Para a maior parte das organizações o sucesso será definido pela agenda digital, cuja dependência da tecnologia e conectividade é crescente. Isto passa por: incorporar a estratégia e cultura de cibersegurança, entender a evolução dos riscos cibernéticos, novas regulações, através do envolvimento: organização, parceiros, clientes e reguladores de forma a proteger todo o ecossistema.
