Governança é essencial para mitigar riscos e garantir continuidade e negócios

1

A cibersegurança é um componente crítico do plano de continuidade de negócios  de uma organização. As políticas e processos relacionados às tecnologias essenciais e à proteção de dados confidenciais devem ser levados em consideração e podem representar, em caso de ataques, como os que massivamente vem ocorrendo nos últimos tempos, perdas incontáveis.

No último dia do Cybersecurity Forum , promovido pela TI Inside, nesta quinta-feira, 28, Leon Rodrigues, Engenheiro de Soluções da Onetrust  convidou-nos  a refletir sobre alguns pontos estratégicos da cibersegurança: a continuidade dos negócios, gestão de riscos e LGPD –  que mesmo parecendo distintos e que se cruzam em vários itens em comum.

"A Lei (LGPD) prevê que as empresas a observem para garantir que no contexto da regulação, haja entre elas, o compliance, a gestão de riscos e a governança de forma geral. Estar em conformidade é obedecer a lei, entretanto esta conformidade precisa considerar os aspectos de impacto nos negócios e a tecnologia que deve suportar de forma robusta estes processos", disse o especialista.

Dessa forma, como reiterou Leon Rodrigues, a conformidade  é o primeiro status das empresas estabelecem, mas segundo ele, as questões regulatórias necessitam de planejamento e se convergem para questões que envolvem o mapeamento dos riscos e rastreabilidade necessárias para que estas empresas "conversem"  com o órgão regulador e possam demonstrar seu cumprimento.

"Neste aspecto, modelos como Security by Design e o Privacy by Design desempenham um papel essencial tanto para os processos de continuidade de negócios quanto para conformidade para manter agora  ponto central de foco e assim gerenciar e assessments e observar a privacidade e segurança desde o nascedouro de qualquer projeto nesta área"

Diante da complexidade dos processos internos das empresas hoje, Rodrigues recomenda a automação, a fim de eliminar os processos manuais   e  proporcionar uma perspectiva mais tecnológica para dar visibilidade às vulnerabilidades e integrar c- perspectiva de riscos cyber elevar o nível de controle e integrar os ativos de segurança e aumentar a visibilidade e  relacionamento dos processos críticos de negócios que possam trazer riscos.

O executivo ainda reiterou a importância de utilizar padrões de mercado, melhores práticas , modelos e controles para sustentar os  programas de segurança  e finalmente treinar e capacitar equipes para  o tratamento de dados das organizações.   "Ter uma visão global permitirá sinalizar os riscos  e trazer integração com perspectivas de gestão de incidentes diante da regulaçao", salientou.

Dario Caraponale, sócio fundador da Strong Security Brasil, reforça a ideia de que "a continuidade dos negócios é sempre destacada, mas ela precisa estar apoiada nos pilares da segurança da informação".

Segundo ele, a competência da segurança é  multidisciplinar e precisa  tangenciar  várias áreas da organização. "Mesmo assim, os investimentos com segurança ainda são vistos como gastos e outra dificuldade sempre apontada é a cultura da segurança entre as equipes", reforçou o especialista.

Ele alerta ainda para que os projetos de segurança atendam  às conformidades regulatórias e também os prováveis riscos e vulnerabilidades, que embora complexos, podem ser atendidos igualmente para uma sistema holisticamente mais seguro.

" Um outro alerta importante deve ser feito. Ao se implementar um processo, por vezes,  não se avalia a maturidade  da empresa, não  o direciona para o nível de maturidade que aquela empresa tem em relação aos riscos que está sujeita.", explica o executivo. "Os processos de segurança não tem um fim em si, são uma jornada de evolução contínua e permanente e essa melhoria contínua  reduz riscos e aumenta a segurança", reiterou.

Para Samanta Oliveira, DPO do Mercado Livre Brasil e líder do Comitê de Proteção de Dados da Associação Brasileira Online to Offline (ABO2O) a repercussão causada pelos ataques e vazamentos dados são um dos mais graves problemas do mundo hoje. "Diante disso, a  governança em privacidade, as regras de proteção de dados não estão restritas a este ou aquele país. Hoje mais que nunca há a necessidade de um programa de compliance de privacidade em todas as empresas já que os dados não são mais restritos a um grupo ou país.", reforçou a executiva.

"Assim como os dados são a base de crescimento das companhias eles são  também responsáveis pela percepção que as organizações têm junto ao público. Aquelas que cuidam e protegem os dados de seus clientes diante das regulações e normas possuem avaliações mais positivas e tendem a crescer entre seus usuários", destacou Samanta Oliveira.

Ela ainda mostrou que pesquisas encomendadas por várias empresas globais também demonstram  a importância da observação das regulações globais e locais, bem como das boas práticas instituídas pelas normas técnicas.

"Ter um programa robusto de segurança, independente do tamanho da empresa, que atente  para  medidas práticas e que possam ser implementadas em casos de violação de dados, com respostas rápidas a incidentes constituem um esforço possível,  especialmente visando evitar as penalizações e altos custos intangíveis a que as organizações estão sujeitas".

Como disse  Cláudio Dodt, sócio da DARYUS Consultoria, a privacidade é direito fundamental  das pessoas  e sua proteção deve estar garantida pelas empresas, seja na observância das leis seja por meio de medidas preventivas das organizações quando observa a  gestão de riscos, nos desafios da segurança da informação e continuidade  dos negócios.

Dodt  também destacou que os incidentes de segurança penalizam gravemente as pessoas e organizações que são amplamente prejudicadas,  daí garantir uma abordagem  de segurança com  visão global possibilita que o  impacto financeiro, à  reputação e ao operacional das empresas  seja o menor possível.

"Alinhar ações de continuidade de negócios com  os DPO das companhias é uma questão vital para o sucesso dos projetos de segurança. Além disso, é preciso que se observe a disponibilidade de medidas de proteção; validar a resiliência dos processos de negócios ; incluir o tratamento de dados na Análise de impacto ( BIA); validar a transferência internacional de dados para ambientes de contingência e  usar a LGPD como cenário para simulação de crises e desastres, a fim coibir eventos", disse.

Finalizando, Gustavo Duani, diretor de cibersegurança na Claranet, mostrou dados sobre o cenário atual da cibersegurança no Brasil que, em 2020 , sofreu  3,4 bilhões de ataques e em 2021 já teve um  aumento de 62%, em relação ao ano anterior.

Como reforçou o especialista, as  estratégias de negócio  precisam de  equipes especializadas, maturidade, visibilidade e controle, já que  são itens importantes para o quanto se quer  antecipar e mitigar riscos dentro da empresa.  "Todos os esforços de segurança têm como finalidade a auditoria , não há mágica, são controles e precisam ser auditados a cada etapa permanentemente a fim de aumentar a cibersegurança na empresa", comentou.

Segundo ele, a observância do tripé da segurança ( Pessoas , Processos e Tecnologia) –  é análoga  às ações de respostas a incidentes, processos/procedimentos e ferramentas. "O importante é a prevenção, criar um plano de ação e por último elevar o nível de maturidade das empresas com relação ao entendimento e  importância da segurança", concluiu.

1 COMENTÁRIO

DEIXE UMA RESPOSTA

Por favor digite seu comentário!
Por favor, digite seu nome aqui

This site is protected by reCAPTCHA and the Google Privacy Policy and Terms of Service apply.