Governança é essencial para mitigar riscos e garantir continuidade e negócios

Views: 51
0 0
Read Time:5 Minute, 57 Second

A cibersegurança é um componente crítico do plano de continuidade de negócios  de uma organização. As políticas e processos relacionados às tecnologias essenciais e à proteção de dados confidenciais devem ser levados em consideração e podem representar, em caso de ataques, como os que massivamente vem ocorrendo nos últimos tempos, perdas incontáveis.

No último dia do Cybersecurity Forum , promovido pela TI Inside, nesta quinta-feira, 28, Leon Rodrigues, Engenheiro de Soluções da Onetrust  convidou-nos  a refletir sobre alguns pontos estratégicos da cibersegurança: a continuidade dos negócios, gestão de riscos e LGPD –  que mesmo parecendo distintos e que se cruzam em vários itens em comum.

“A Lei (LGPD) prevê que as empresas a observem para garantir que no contexto da regulação, haja entre elas, o compliance, a gestão de riscos e a governança de forma geral. Estar em conformidade é obedecer a lei, entretanto esta conformidade precisa considerar os aspectos de impacto nos negócios e a tecnologia que deve suportar de forma robusta estes processos”, disse o especialista.

Dessa forma, como reiterou Leon Rodrigues, a conformidade  é o primeiro status das empresas estabelecem, mas segundo ele, as questões regulatórias necessitam de planejamento e se convergem para questões que envolvem o mapeamento dos riscos e rastreabilidade necessárias para que estas empresas “conversem”  com o órgão regulador e possam demonstrar seu cumprimento.

“Neste aspecto, modelos como Security by Design e o Privacy by Design desempenham um papel essencial tanto para os processos de continuidade de negócios quanto para conformidade para manter agora  ponto central de foco e assim gerenciar e assessments e observar a privacidade e segurança desde o nascedouro de qualquer projeto nesta área”

Diante da complexidade dos processos internos das empresas hoje, Rodrigues recomenda a automação, a fim de eliminar os processos manuais   e  proporcionar uma perspectiva mais tecnológica para dar visibilidade às vulnerabilidades e integrar c- perspectiva de riscos cyber elevar o nível de controle e integrar os ativos de segurança e aumentar a visibilidade e  relacionamento dos processos críticos de negócios que possam trazer riscos.

O executivo ainda reiterou a importância de utilizar padrões de mercado, melhores práticas , modelos e controles para sustentar os  programas de segurança  e finalmente treinar e capacitar equipes para  o tratamento de dados das organizações.   “Ter uma visão global permitirá sinalizar os riscos  e trazer integração com perspectivas de gestão de incidentes diante da regulaçao”, salientou.

Dario Caraponale, sócio fundador da Strong Security Brasil, reforça a ideia de que “a continuidade dos negócios é sempre destacada, mas ela precisa estar apoiada nos pilares da segurança da informação”.

Segundo ele, a competência da segurança é  multidisciplinar e precisa  tangenciar  várias áreas da organização. “Mesmo assim, os investimentos com segurança ainda são vistos como gastos e outra dificuldade sempre apontada é a cultura da segurança entre as equipes”, reforçou o especialista.

Ele alerta ainda para que os projetos de segurança atendam  às conformidades regulatórias e também os prováveis riscos e vulnerabilidades, que embora complexos, podem ser atendidos igualmente para uma sistema holisticamente mais seguro.

” Um outro alerta importante deve ser feito. Ao se implementar um processo, por vezes,  não se avalia a maturidade  da empresa, não  o direciona para o nível de maturidade que aquela empresa tem em relação aos riscos que está sujeita.”, explica o executivo. “Os processos de segurança não tem um fim em si, são uma jornada de evolução contínua e permanente e essa melhoria contínua  reduz riscos e aumenta a segurança”, reiterou.

Para Samanta Oliveira, DPO do Mercado Livre Brasil e líder do Comitê de Proteção de Dados da Associação Brasileira Online to Offline (ABO2O) a repercussão causada pelos ataques e vazamentos dados são um dos mais graves problemas do mundo hoje. “Diante disso, a  governança em privacidade, as regras de proteção de dados não estão restritas a este ou aquele país. Hoje mais que nunca há a necessidade de um programa de compliance de privacidade em todas as empresas já que os dados não são mais restritos a um grupo ou país.”, reforçou a executiva.

“Assim como os dados são a base de crescimento das companhias eles são  também responsáveis pela percepção que as organizações têm junto ao público. Aquelas que cuidam e protegem os dados de seus clientes diante das regulações e normas possuem avaliações mais positivas e tendem a crescer entre seus usuários”, destacou Samanta Oliveira.

Ela ainda mostrou que pesquisas encomendadas por várias empresas globais também demonstram  a importância da observação das regulações globais e locais, bem como das boas práticas instituídas pelas normas técnicas.

“Ter um programa robusto de segurança, independente do tamanho da empresa, que atente  para  medidas práticas e que possam ser implementadas em casos de violação de dados, com respostas rápidas a incidentes constituem um esforço possível,  especialmente visando evitar as penalizações e altos custos intangíveis a que as organizações estão sujeitas”.

Como disse  Cláudio Dodt, sócio da DARYUS Consultoria, a privacidade é direito fundamental  das pessoas  e sua proteção deve estar garantida pelas empresas, seja na observância das leis seja por meio de medidas preventivas das organizações quando observa a  gestão de riscos, nos desafios da segurança da informação e continuidade  dos negócios.

Dodt  também destacou que os incidentes de segurança penalizam gravemente as pessoas e organizações que são amplamente prejudicadas,  daí garantir uma abordagem  de segurança com  visão global possibilita que o  impacto financeiro, à  reputação e ao operacional das empresas  seja o menor possível.

“Alinhar ações de continuidade de negócios com  os DPO das companhias é uma questão vital para o sucesso dos projetos de segurança. Além disso, é preciso que se observe a disponibilidade de medidas de proteção; validar a resiliência dos processos de negócios ; incluir o tratamento de dados na Análise de impacto ( BIA); validar a transferência internacional de dados para ambientes de contingência e  usar a LGPD como cenário para simulação de crises e desastres, a fim coibir eventos”, disse.

Finalizando, Gustavo Duani, diretor de cibersegurança na Claranet, mostrou dados sobre o cenário atual da cibersegurança no Brasil que, em 2020 , sofreu  3,4 bilhões de ataques e em 2021 já teve um  aumento de 62%, em relação ao ano anterior.

Como reforçou o especialista, as  estratégias de negócio  precisam de  equipes especializadas, maturidade, visibilidade e controle, já que  são itens importantes para o quanto se quer  antecipar e mitigar riscos dentro da empresa.  “Todos os esforços de segurança têm como finalidade a auditoria , não há mágica, são controles e precisam ser auditados a cada etapa permanentemente a fim de aumentar a cibersegurança na empresa”, comentou.

Segundo ele, a observância do tripé da segurança ( Pessoas , Processos e Tecnologia) –  é análoga  às ações de respostas a incidentes, processos/procedimentos e ferramentas. “O importante é a prevenção, criar um plano de ação e por último elevar o nível de maturidade das empresas com relação ao entendimento e  importância da segurança”, concluiu.

FONTE: TI INSIDE

Previous post Ataques cibernéticos na saúde: Como atestar a segurança dos dados sensíveis?
Next post Custos com ransomware serão os maiores da história em 2021, afirma SonicWall

Deixe um comentário