Analysis
Decorreu no dia 26 de novembro, em Sintra, o evento ”Cyber Risk Management for Executives”, organizado pela S21Sec, para explorar o tema da integração da cibersegurança na gestão estratégica e o seu impacto no sucesso das organizações
Por Margarida Bento . 28/11/2019
Na era do digital, as empresas deparam-se com um ecossistema de ameaças muito particular. Por um lado, a superfície de ataque é muito maior, e os ataques são cada vez mais constantes e direcionados. Por outro, as empresas dependem muito do digital, seja do lado operacional, como da prestação de serviços, pelo que um único ciberataque pode comportar custos significativos. A forma como as empresas operam as suas parcerias – nas quais é muitas vezes concedido acesso a redes, plataformas digitais e bases de dados – torna esta questão mais complexa: uma empresa pode ter a melhor tecnologia, políticas e cultura empresarial em termos de cibersegurança, mas basta que um parceiro com acesso aos seus dados tenha a segurança comprometida para que todo este investimento tenha sido em vão. Como tal, cada vez mais executivos estão a tomar consciência do impacto real que a cibersegurança tem no negócio, não só em termos operacionais como de valor e marca. No entanto, ainda se verifica uma grande desconexão entre a gestão estratégica do negócio e a cibersegurança, que continua a ser vista como apenas mais uma parte do IT. “É importante que a gestão do ciber risco e da cibersegurança passe a ser integrada nos processos de negócio, que os responsáveis de risco assumem um papel cada vez mais importante no negócio e na mitigação do risco para as organizações”, alerta Carla Zibreira, Head of Consultancy da S21Sec, uma vez que “o conhecimento e entendimento da cibersegurança por parte dos executivos é fundamental para o sucesso, valor, reputação e marca da organização”. Prova disto é um estudo do Ponemon Institute que indica que o declínio médio das ações imediatamente após a revelação de um ciberataque é de 5%. Isto é inevitável – todas as empresas podem ser alvo de ciberataques. A diferença, explica Carla Zibreira, está na rapidez de resposta ao incidente. Se a capacidade de recuperação da empresa for rápida, as ações recuperam em média após sete dias – se for prolongada, 90 dias. O mesmo se aplica em termos de marca, com uma perda de 2% e 5% de clientes, respetivamente. Contudo, existe uma clara desconexão entre estas implicações para o negócio e a integração da cibersegurança na gestão estratégica das organizações. Carla Zibreira defende que é essencial desenvolver a comunicação entre as equipas de cibersegurança e a gestão de topo, para que os líderes de negócio compreendam os riscos e necessidades de cibersegurança da empresa, bem como o valor estratégico dos investimentos que estão a fazer e tomem decisões informadas em função disto. Para integrar a gestão de ciber risco na gestão estratégica da empresa, Carla Zibreira delineia quatro etapas:
“Em nenhum ponto aqui estamos a falar de tecnologia, de ‘ciber’. Estamos a falar dos impactos que estes riscos têm na organização”, conclui Carla Zibreira. “O desafio [passa por] traduzir a nossa linguagem tecnológica em valor para a organização, marca e reputação, que são as palavras chave de um gestor de uma organização”. |