Vivemos numa sociedade digital avançada, em que todos os dias surgem soluções tecnológicas disruptivas, como metaverso, dinheiro virtual e NFT, que colocam novos desafios e novas oportunidades às organizações.
A ascensão destas tecnologias fez com que a cibersegurança passasse a ser uma condição fundamental para o bom governo de um mundo cada vez mais global. Esta nova realidade digital exige que os nossos líderes assumam um papel cada vez mais interventivo no processo de gestão do risco cibernético, quer ao nível da sua avaliação quer ao nível da sponsorização das iniciativas de mitigação, uma vez que este pode ameaçar a reputação, a confiança dos clientes e o posicionamento competitivo, e possivelmente resultar em multas e processos judiciais.
Muitas abordagens estão disponíveis para apoiar os nossos líderes no seu papel de definir e implementar uma estratégia sustentável de cibersegurança e de resiliência cibernética. Exemplos incluem avaliações periódicas de risco usando frameworks reconhecidos pela indústria – como o Quadro Nacional de Cibersegurança, o NIST CSF e a ISO 27001.
Um princípio fundamental nesta orientação é que a gestão do risco cibernético deve ser enquadrada no processo geral (Enterprise Wide Risk Management) a par dos outros riscos que possam afetar uma determinada organização. A avaliação do risco cibernético deve ser assim um processo contínuo, onde se identificam as ameaças, os vetores de ataque, as potenciais vulnerabilidades e os respetivos planos de mitigação.
No passado estas ações de mitigação eram muito focadas na prevenção do risco, hoje e cada vez mais as organizações começam a investir na resiliência dos seus negócios, garantindo a existência de manuais de gestão de crise e de contingência que possam rapidamente assegurar a reposição dos sistemas e dados garantindo desta forma a continuidade do negócio. Também no capítulo da gestão da reputação é de vital importância que as organizações possuam um bom plano de comunicação adaptado aos diferentes stakeholders, alicerçados na transparência e no reforço da confiança. Ainda no capítulo da resiliência cibernética, é fundamental que as organizações realizem periodicamente testes éticos aos seus sistemas de informação nos quais se simulam diferentes cenários de ataque por forma a avaliar a eficácia dessa resposta.
Por último, não devemos esquecer a importância do fator humano e a boa gestão dos comportamentos. Também aqui importa garantir que cada um de nós pode desempenhar um papel muito importante na proteção do risco cibernético, devendo as organizações adotar programas de formação e sensibilização contínuos para estas temáticas.
Em resumo, o risco cibernético veio para ficar, pelo que quanto mais cedo as organizações adotarem um processo contínuo para a sua gestão, melhor será a forma como estas poderão assegurar a sua sobrevivência. Nós, na MC, já demos esse passo, mas só com o contributo de todos é que vamos conseguir atingir a tão desejada imunidade de grupo que permitirá combater da melhor forma o risco cibernético.
Este artigo foi publicado na edição de inverno da revista Líder
Subscreva a Líder AQUI.
