Analysis

S21Sec realiza evento dedicado à gestão estratégica do risco cibernético

Decorreu no dia 26 de novembro, em Sintra, o evento ”Cyber Risk Management for Executives”, organizado pela S21Sec, para explorar o tema da integração da cibersegurança na gestão estratégica e o seu impacto no sucesso das organizações

Por Margarida Bento . 28/11/2019

S21Sec realiza evento dedicado à gestão estratégica do risco cibernético

Na era do digital, as empresas deparam-se com um ecossistema de ameaças muito particular. Por um lado, a superfície de ataque é muito maior, e os ataques são cada vez mais constantes e direcionados. Por outro, as empresas dependem muito do digital, seja do lado operacional, como da prestação de serviços, pelo que um único ciberataque pode comportar custos significativos.

A forma como as empresas operam as suas parcerias – nas quais é muitas vezes concedido acesso a redes, plataformas digitais e bases de dados – torna esta questão mais complexa: uma empresa pode ter a melhor tecnologia, políticas e cultura empresarial em termos de cibersegurança, mas basta que um parceiro com acesso aos seus dados tenha a segurança comprometida para que todo este investimento tenha sido em vão.

Como tal, cada vez mais executivos estão a tomar consciência do impacto real que a cibersegurança tem no negócio, não só em termos operacionais como de valor e marca. No entanto, ainda se verifica uma grande desconexão entre a gestão estratégica do negócio e a cibersegurança, que continua a ser vista como apenas mais uma parte do IT.

“É importante que a gestão do ciber risco e da cibersegurança passe a ser integrada nos processos de negócio, que os responsáveis de risco assumem um papel cada vez mais importante no negócio e na mitigação do risco para as organizações”, alerta Carla Zibreira, Head of Consultancy da S21Sec, uma vez que “o conhecimento e entendimento da cibersegurança por parte dos executivos é fundamental para o sucesso, valor, reputação e marca da organização”.

Prova disto é um estudo do Ponemon Institute que indica que o declínio médio das ações imediatamente após a revelação de um ciberataque é de 5%. Isto é inevitável – todas as empresas podem ser alvo de ciberataques. A diferença, explica Carla Zibreira, está na rapidez de resposta ao incidente. Se a capacidade de recuperação da empresa for rápida, as ações recuperam em média após sete dias – se for prolongada, 90 dias. O mesmo se aplica em termos de marca, com uma perda de 2% e 5% de clientes, respetivamente.

Contudo, existe uma clara desconexão entre estas implicações para o negócio e a integração da cibersegurança na gestão estratégica das organizações. Carla Zibreira defende que é essencial desenvolver a comunicação entre as equipas de cibersegurança e a gestão de topo, para que os líderes de negócio compreendam os riscos e necessidades de cibersegurança da empresa, bem como o valor estratégico dos investimentos que estão a fazer e tomem decisões informadas em função disto.

Para integrar a gestão de ciber risco na gestão estratégica da empresa, Carla Zibreira delineia quatro etapas: 

  1. Integrar a cibersegurança na framework de riscos da organização, numa categoria própria independente do IT, visto ter implicações, riscos e motivações específicas que precisam de ser avaliadas num contexto estratégico, não tecnológico;
  2. Integrar a gestão de ciber risco na agenda dos executivos. O responsável de segurança deve ser mais um facilitador de negócios, ao saber quais as implicações que os ciber riscos trazem para o negócio e como é que a empresa pode continuar a criar valor. Isto, por outro lado, facilita a comunicação, visto que o conselho de administração passa a ter alguém que domina igualmente a linguagem tecnológica e de negócios;
  3. Conhecer o ecossistema de ciber risco da organização. Isto requer, em primeiro lugar, sistematizar o ecossistema da gestão de informação: quem são os departamentos que vão estar envolvidos, identificar os fatores internos e externos, o contexto regulamentar, etc.. Ao fazer esta sistematização, é possível mapear detalhadamente os riscos de cibersegurança e o seu impacto na organização, servindo de base para determinar que controlos devem ser implementados;
  4. Promover a discussão de ciber riscos na tomada de decisão. Ou seja, apoiar a liderança na tomada de decisão ao delinear o valor estratégico da cibersegurança, o seu impacto nos custos, riscos, receitas, satisfação do cliente, etc.. Para isto, é necessário, em primeiro lugar, fornecer informação adequada ao conselho de administração, não só em termos de linguagem, mas também da natureza da informação disponibilizada – comunicar apenas as ameaças de cariz crítico, apresentadas de forma clara, estruturada e focada nas suas implicações para o negócio para construir um dashboard de cibersegurança que tenha de facto significado para a gestão.

Em nenhum ponto aqui estamos a falar de tecnologia, de ‘ciber’. Estamos a falar dos impactos que estes riscos têm na organização”, conclui Carla Zibreira. “O desafio [passa por] traduzir a nossa linguagem tecnológica em valor para a organização, marca e reputação, que são as palavras chave de um gestor de uma organização”.


NOTÍCIAS RELACIONADAS

RECOMENDADO PELOS LEITORES

REVISTA DIGITAL

IT SECURITY Nº21 Dezembro 2024

IT SECURITY Nº21 Dezembro 2024

NEWSLETTER

Receba todas as novidades na sua caixa de correio!

O nosso website usa cookies para garantir uma melhor experiência de utilização.