A atual realidade dos crimes virtuais, em que periodicamente são notícia de 1ª pagina, enfatiza a importância no investimento em Segurança da Informação e Cibersegurança, recomendando que esta seja uma das prioridades na gestão de Tecnologia da Informação.
A falta de investimento em cibersegurança, embora possa passar despercebido no curto prazo, tem impactos inegáveis decorrentes dessa decisão estratégica, e operacional, pela organização. Acabando por colocar o negócio e a própria empresa em risco devido a desatualização e excesso de falhas técnicas na infraestrutura, exposição dos sistemas de informação a ataques devido ao uso de aplicativos sem suporte ou com tecnologias descontinuadas — algo que afeta todos os departamentos — e ao baixo nível de controle e recuperação de desastres.
Garantir uma infraestrutura e sistemas aplicacionais moderna, atual e com suporte contínuo que permita a aplicação regular de patches de segurança, é um requisito e uma garantia de melhor gestão da segurança de informação. Sendo requisito adicional, a configuração de um perímetro de segurança de acessos de rede através da instalação de uma solução de UTM.
Obviamente, que o investimento em ferramentas de segurança de infraestruturas e sistemas, e de sistemas de gestão de vulnerabilidades, só por si não garantem total imunidade a ataques cibernéticos. Esse é um cenário não realista, independentemente do volume de investimento em Cibersegurança.
Mas o contrário é verdade. Não investir em ferramentas de segurança de infraestruturas e sistemas, e de sistemas de gestão de vulnerabilidades é um convite a ser alvo de ataques cibernéticos e ver os seus dados expostos na dark web.
Para além de que a falta de investimento em gestão de TI e Cibersegurança resulta, também, em:
- Maior risco na indisponibilidade dos sistemas;
- Maior exposição a roubo e violação de dados;
- Problemas na entrega de serviços;
- Redução da produtividade.
Uma eventual indisponibilidade das infraestruturas e sistemas informação, gera impacto nos processos internos da empresa, fazendo com que haja uma perda de receita significativa.
O impacto de uma possível invasão ao sistema de uma empresa envolve sérios riscos, pois a partir do momento em que dados confidenciais são roubados ou violados, a empresa passa a ficar exposta — assim como informações de clientes, funcionários, dados bancários, etc.
A falta de investimentos em infraestruturas (manutenção e upgrade dos equipamentos) e em políticas e procedimentos na gestão em Tecnologia da Informação, onde se inclui a gestão de ativos, gestão de incidentes, recuperação de desastres e continuidade de negócio, também se podem refletir na entrega de serviços.
Ao contrário do que pode parecer, a produtividade de uma equipa está diretamente relacionada aos aspetos organizacionais e comunicacionais da empresa. Uma gestão de TI que preza pela organização e planeamento deve estabelecer meios para:
- Gestão de recursos e ativos;
- Controlo de atividades dos seus colaboradores, ao nível de acesso aos sistemas e plataformas;
- Registo de ocorrências e incidentes;
- Promover a comunicação interna relacionada com ocorrências e incidentes;
- Acompanhar os processos;
- Implementação de processos de recuperação de desastres e continuidade de negócio.
Os impactos de falha dos sistemas e perda da informação só são percecionados na sua dimensão real quando uma organização sofre um ataque cibernético. É no momento seguinte a ser alvo de um ataque de rasonware, que a equipa de gestão ganha uma exata perceção das perdas ao nível de negociação e as ameaças à reputação da marca.
É no dia seguinte ao ataque cibernético, que os aspetos organizacionais e comunicacionais das empresas são sujeitos a teste em ambiente real. A falta de investimento em infraestruturas e sistemas chave ganha destaque. A exposição dos dados a ameaças é percecionada, e o pânico instala-se em todo o negócio. A indisponibilidade das infraestruturas e sistemas absorve todos os recursos técnicos e humanos para se conseguir a mais rápida recuperação do desastre.
O novo paradigma das organizações na abordagem da segurança de informação e cibersegurança, deve ter em conta a ameaça ao seu negócio e à reputação da organização resultante de estar exposta sem requisitos mínimos de proteção
Destas duas potenciais ameaças o risco para o negócio é o mais fácil de quantificar. A perda de agilidade, eficiência, escalabilidade e capacidade para responder às necessidades do negócio em tempo real. Incapacidade ou diminuição de resposta a pedidos dos clientes. Em resumo, perda de receita e aumento dos custos por perda de eficiência.
Mas, e o risco reputacional? O risco de mudança de perceção dos stakeholders em relação à empresa como consequência da ocorrência de eventos adversos, ou ilegais. O prejuízo na imagem da empresa, pela divulgação na comunicação social e nas redes sociais da perda de dados ou exposição pública de informação de clientes.
No relatório “Global Risk Management Survey”[i], publicado pela Aon plc, o risco reputacional á classificado na 4ª posição de preocupação dos gestores europeus, e primeiro não económico-financeiro. Sendo que no mercado da América do Norte ocupa a 2ª posição. O risco reputacional é real e pode ter consequências nas contas da empresa, destruindo todo um trabalho que demorou anos a construir.
A responsabilidade de levar uma empresa a bom porto, passa atualmente por uma visão 360º, que não pode ignorar a necessidade deste investimento em Cibersegurança, seja em equipamentos, serviços e, principalmente, na formação contínua de todos os trabalhadores. A segurança informática começa em cada um dos utilizadores, e a literacia em Cibersegurança é um dos principais passos para evitar a exposição gratuita ao risco.
Por estarmos atentos a esta necessidade, na Tecnologias Imaginadas temos agora um Serviço de Consultoria em Cibersegurança, adaptável às necessidades de cada empresa, que para além de um diagnóstico de segurança, inclui também formações técnicas para trabalhadores e quadros de Gestão.
Fale connosco e comece já a proteger a sua empresa, trabalhadores e clientes.
Carlos José Santos Silva
Consultor Sénior Especialista em Segurança da Informação
