A cibersegurança é um componente crítico do plano de continuidade de negócios de uma organização. As políticas e processos relacionados às tecnologias essenciais e à proteção de dados confidenciais devem ser levados em consideração e podem representar, em caso de ataques, como os que massivamente vem ocorrendo nos últimos tempos, perdas incontáveis.
No último dia do Cybersecurity Forum , promovido pela TI Inside, nesta quinta-feira, 28, Leon Rodrigues, Engenheiro de Soluções da Onetrust convidou-nos a refletir sobre alguns pontos estratégicos da cibersegurança: a continuidade dos negócios, gestão de riscos e LGPD – que mesmo parecendo distintos e que se cruzam em vários itens em comum.
“A Lei (LGPD) prevê que as empresas a observem para garantir que no contexto da regulação, haja entre elas, o compliance, a gestão de riscos e a governança de forma geral. Estar em conformidade é obedecer a lei, entretanto esta conformidade precisa considerar os aspectos de impacto nos negócios e a tecnologia que deve suportar de forma robusta estes processos”, disse o especialista.
Dessa forma, como reiterou Leon Rodrigues, a conformidade é o primeiro status das empresas estabelecem, mas segundo ele, as questões regulatórias necessitam de planejamento e se convergem para questões que envolvem o mapeamento dos riscos e rastreabilidade necessárias para que estas empresas “conversem” com o órgão regulador e possam demonstrar seu cumprimento.
“Neste aspecto, modelos como Security by Design e o Privacy by Design desempenham um papel essencial tanto para os processos de continuidade de negócios quanto para conformidade para manter agora ponto central de foco e assim gerenciar e assessments e observar a privacidade e segurança desde o nascedouro de qualquer projeto nesta área”
Diante da complexidade dos processos internos das empresas hoje, Rodrigues recomenda a automação, a fim de eliminar os processos manuais e proporcionar uma perspectiva mais tecnológica para dar visibilidade às vulnerabilidades e integrar c- perspectiva de riscos cyber elevar o nível de controle e integrar os ativos de segurança e aumentar a visibilidade e relacionamento dos processos críticos de negócios que possam trazer riscos.
O executivo ainda reiterou a importância de utilizar padrões de mercado, melhores práticas , modelos e controles para sustentar os programas de segurança e finalmente treinar e capacitar equipes para o tratamento de dados das organizações. “Ter uma visão global permitirá sinalizar os riscos e trazer integração com perspectivas de gestão de incidentes diante da regulaçao”, salientou.
Dario Caraponale, sócio fundador da Strong Security Brasil, reforça a ideia de que “a continuidade dos negócios é sempre destacada, mas ela precisa estar apoiada nos pilares da segurança da informação”.
Segundo ele, a competência da segurança é multidisciplinar e precisa tangenciar várias áreas da organização. “Mesmo assim, os investimentos com segurança ainda são vistos como gastos e outra dificuldade sempre apontada é a cultura da segurança entre as equipes”, reforçou o especialista.
Ele alerta ainda para que os projetos de segurança atendam às conformidades regulatórias e também os prováveis riscos e vulnerabilidades, que embora complexos, podem ser atendidos igualmente para uma sistema holisticamente mais seguro.
” Um outro alerta importante deve ser feito. Ao se implementar um processo, por vezes, não se avalia a maturidade da empresa, não o direciona para o nível de maturidade que aquela empresa tem em relação aos riscos que está sujeita.”, explica o executivo. “Os processos de segurança não tem um fim em si, são uma jornada de evolução contínua e permanente e essa melhoria contínua reduz riscos e aumenta a segurança”, reiterou.
Para Samanta Oliveira, DPO do Mercado Livre Brasil e líder do Comitê de Proteção de Dados da Associação Brasileira Online to Offline (ABO2O) a repercussão causada pelos ataques e vazamentos dados são um dos mais graves problemas do mundo hoje. “Diante disso, a governança em privacidade, as regras de proteção de dados não estão restritas a este ou aquele país. Hoje mais que nunca há a necessidade de um programa de compliance de privacidade em todas as empresas já que os dados não são mais restritos a um grupo ou país.”, reforçou a executiva.
“Assim como os dados são a base de crescimento das companhias eles são também responsáveis pela percepção que as organizações têm junto ao público. Aquelas que cuidam e protegem os dados de seus clientes diante das regulações e normas possuem avaliações mais positivas e tendem a crescer entre seus usuários”, destacou Samanta Oliveira.
Ela ainda mostrou que pesquisas encomendadas por várias empresas globais também demonstram a importância da observação das regulações globais e locais, bem como das boas práticas instituídas pelas normas técnicas.
“Ter um programa robusto de segurança, independente do tamanho da empresa, que atente para medidas práticas e que possam ser implementadas em casos de violação de dados, com respostas rápidas a incidentes constituem um esforço possível, especialmente visando evitar as penalizações e altos custos intangíveis a que as organizações estão sujeitas”.
Como disse Cláudio Dodt, sócio da DARYUS Consultoria, a privacidade é direito fundamental das pessoas e sua proteção deve estar garantida pelas empresas, seja na observância das leis seja por meio de medidas preventivas das organizações quando observa a gestão de riscos, nos desafios da segurança da informação e continuidade dos negócios.
Dodt também destacou que os incidentes de segurança penalizam gravemente as pessoas e organizações que são amplamente prejudicadas, daí garantir uma abordagem de segurança com visão global possibilita que o impacto financeiro, à reputação e ao operacional das empresas seja o menor possível.
“Alinhar ações de continuidade de negócios com os DPO das companhias é uma questão vital para o sucesso dos projetos de segurança. Além disso, é preciso que se observe a disponibilidade de medidas de proteção; validar a resiliência dos processos de negócios ; incluir o tratamento de dados na Análise de impacto ( BIA); validar a transferência internacional de dados para ambientes de contingência e usar a LGPD como cenário para simulação de crises e desastres, a fim coibir eventos”, disse.
Finalizando, Gustavo Duani, diretor de cibersegurança na Claranet, mostrou dados sobre o cenário atual da cibersegurança no Brasil que, em 2020 , sofreu 3,4 bilhões de ataques e em 2021 já teve um aumento de 62%, em relação ao ano anterior.
Como reforçou o especialista, as estratégias de negócio precisam de equipes especializadas, maturidade, visibilidade e controle, já que são itens importantes para o quanto se quer antecipar e mitigar riscos dentro da empresa. “Todos os esforços de segurança têm como finalidade a auditoria , não há mágica, são controles e precisam ser auditados a cada etapa permanentemente a fim de aumentar a cibersegurança na empresa”, comentou.
Segundo ele, a observância do tripé da segurança ( Pessoas , Processos e Tecnologia) – é análoga às ações de respostas a incidentes, processos/procedimentos e ferramentas. “O importante é a prevenção, criar um plano de ação e por último elevar o nível de maturidade das empresas com relação ao entendimento e importância da segurança”, concluiu.
[…] FONTE: TI INSIDE […]