Quão segura está a nossa informação?

Se por um lado, a era digital tem permitido às empresas reinventarem-se na forma como operam e fazem negócio, por outro lado assistimos a ferramentas e técnicas de hacking e ataques de segurança cada vez mais avançados. Se Internet of Things, inteligência artificial, machine learning e automação representam um mundo de oportunidades, muitos receiam a sua utilização pelo risco de segurança que podem constituir. Embora se pense que estas tecnologias representarão, num futuro próximo, a maior causa de falhas de segurança e privacidade da informação, defendo que sem estas tecnologias não poderemos ser suficientemente proativos na prevenção, deteção e correção de falhas de segurança.

Longe vão os tempos em que o foco da segurança era implementar medidas técnicas de hardware e software para garantir que os sistemas de informação continuavam a funcionar, assegurando que os hackers não comprometiam os sistemas e não roubavam a informação, mantendo-a protegida. Hoje, uma aposta na segurança computacional e na garantia de segurança já não é suficiente. Estudos da Gartner revelam que 99% das vulnerabilidades exploradas até final de 2020 continuarão a ser conhecidas pelas equipas de segurança e profissionais de TI só na altura em que ocorre o incidente resultante da exploração da vulnerabilidade.

Adotar uma abordagem equilibrada de segurança e de cibersegurança que permita, em cada momento, conhecer, intervir e reportar sobre quão segura está a nossa informação é o caminho a seguir. Para tal, defendo que se deva considerar uma combinação de estratégias que incluam:

Segurança como bem estratégico

Adoção de boas práticas (standards, frameworks, etc) e colaboração de todas as partes interessadas para identificar e abordar as questões e os riscos de segurança e de cibersegurança na definição da estratégia e plano estratégico de negócio.

Política e Estratégia de Risco

A existência de uma política global de segurança de informação na organização permite guiar todos os envolvidos (internos e externos) nas ações que podem e não podem fazer com vista ao alcance dos objetivos de segurança e de cibersegurança, protegendo a segurança geral do ciberespaço, identificando e planeando planos de resposta a riscos de segurança para continuidade das operações de negócio.

Responsabilização e Definição de Papéis

Independentemente de trabalharmos num ambiente mais ágil e multidisciplinar seguindo abordagens Shift Left, DevOps, ou num ambiente mais tradicional com responsabilidades bem definidas, temos de identificar quem são os responsáveis e quais os níveis de responsabilidade na segurança global da informação na empresa.

Educação e Capacitação

É imperativo capacitar e educar todos os envolvidos nas práticas de segurança, cibersegurança e gestão de riscos, fornecendo um recurso confiável para avaliar e tratar riscos de segurança e cibersegurança na organização.

Soluções Tecnológicas

Adoção de soluções tecnológicas inovadoras (automação, machine learning, artificial intelligence, IoT, etc.) que permitam investigar além do incidente com o objetivo de trabalhar de forma proactiva e proteger a organização contra um ciberataque como: phishing, garantindo que temos sempre as mais recentes atualizações de software e patches de segurança; segurança da mobilidade, garantindo a segurança da informação manipulada nos dispositivos móveis; segurança de aplicações, garantindo testes exaustivos para detetar brechas na estrutura de segurança de informação da organização; segurança na cloud, com análise e avaliação aprofundadas dos riscos de segurança de serviços cloud e tecnologia de internet, seja na rede pública ou privada; ransomware e malware, fazendo regularmente auditorias, testes e implementando as medidas apropriadas; processamento preciso e oportuno de eventos e incidentes de segurança; segurança de endpoints; fornecedores e parceiros; desenvolvimento e aquisição de software seguro.

por Virgínia Araújo, Formadora na Rumos nas áreas de Cyber Security & Privacy