A tomada de consciência, pelas empresas e a sua direção, do risco e exposição a crimes virtuais, e da necessidade de atuar preventivamente, e criar resiliência, coloca o tema da cibersegurança e uso das tecnologias de informação na agenda dos decisores.
A procura da melhor estratégia de abordagem ao tema segurança da informação e de soluções com o melhor TCO (Custo Total de Propriedade), coloca aos decisores a dúvida de como definir um programa de transformação digital para a maturidade digital da sua organização, que melhor se adeque à sua operação e à cultura organizacional.
Em artigos anteriores, abordámos a importância da resiliência das organizações e o impacto da perda de informação. Os danos financeiros, mas também reputacionais, de um ataque cibernético e a falta de preparação para responder e recuperar os sistemas de informação.
Na nossa visão do presente, é absolutamente essencial que empresas e organizações estejam preparadas e equipadas para lidar com ameaças à segurança da informação.
Mas também é verdade que não podemos criar politicas e procedimentos, e instalação de ferramentas e plataformas de gestão de incidentes, que promovam o imobilismo e a burocracia na operação e possam ter impacto negativo no desenvolvimento de negócio. Manter uma abordagem simples e eficiente, para se obter resultados e ser eficaz.
E é neste contexto, que a Tecnologias Imaginadas qualifica um roteiro para a maturidade em cibersegurança – o primeiro passo de preparação da empresa, para a conformidade com o quadro nacional de referência do Centro Nacional de Cibersegurança.
Devendo ser entendido, pelos decisores e gestores de sistemas de informação, que a maturidade digital e o roteiro mínimo para a cibersegurança (iniciativas ambas patrocinadas pelo governo português), têm âmbitos e objetivos diferentes – ainda que se complementem e contribuam para que o tecido empresarial português evolua, de forma progressiva no cumprimento das diretivas europeia sobre segurança da informação e cibersegurança.
Um roteiro de transformação das infraestruturas e sistemas de informação, para a maturidade em cibersegurança, tem como ponto de partida a transformação digital, rumo à obtenção de maturidade digital para se atingir capacidades em cibersegurança.
Para uma empresa atingir a maturidade digital, ela precisa, primeiro, começar por uma transformação digital. A transformação digital acontece quando a empresa implementa sistemas que melhoram o desempenho e a produtividade das equipas, permitindo também que decisões sejam tomadas com base em dados.
É, seguramente, um passo essencial para a rentabilidade e sustentabilidade do negócio. Condição necessária para a empresa sobreviver numa economia digital, e um dos fatores críticos para a retenção de talentos.
Isto porque a transformação digital impacta na essência da empresa, transformando processos, ambientes e a própria cultura organizacional.
A maturidade digital é um passo mais avançado, que acontece após a transformação digital. Para uma empresa ter maturidade digital, não basta que ela utilize sistemas para os seus processos internos. É necessário que fornecedores e clientes estejam também integrados nessa transformação.
O governo de Portugal, ao abrigo da iniciativa Portugal Digital, lançou o programa “Avaliar a maturidade digital e certificar a sua empresa”. Classificando a maturidade em três níveis: Ouro; Prata; e Bronze.
No normativo de avaliação da maturidade digital, a certificação em cibersegurança assume como diretriz o quadro de referência nacional em cibersegurança, respeitando os princípios definidos pela UE. Mas não substitui o quadro de referência nacional em cibersegurança publicado pelo CNCS, o qual tem mais detalhe e exigências de conformidade.
Analisando o documento normativo, publicado pelo Instituto Português de Qualidade (IPQ), podemos interpretar que uma maturidade digital com nível de certificação “ouro” cumpre os requisitos do conceito de uma maturidade em cibersegurança
Para alguns negócios e empresas a maturidade digital com nível de certificação “prata” será um passo importante e deverá ser o objetivo principal ao aderir à iniciativa, abrangendo capacidades básicas de resposta a incidentes e ataques cibernéticos. Uma certificação que pode abrir novas oportunidades de negócio e até notoriedade da marca.
Ainda assim, o Custo Total de Propriedade (TCO) recomenda a opção de investir na maturidade digital com nível de certificação “ouro” (maturidade em cibersegurança), colocando como objetivo assegurar a máxima conformidade com o roteiro de capacidades mínimas em cibersegurança.
Maturidade em cibersegurança é mais do que instalar politicas e procedimentos, e adquirir ferramentas de controlo e monitorização. Maturidade em cibersegurança tem como requisito obrigatório o envolvimento de clientes e fornecedores na implementação das capacidades mínimas em cibersegurança.
Assegurar que os fornecedores são um elemento ativo nos procedimentos de recuperação de desastre e continuidade de negócio. Os Clientes estão informados e cumprem as politicas de utilização dos serviços constituindo-se como uma primeira barreira a intrusões e ataques cibernéticos.
A segurança informática começa com a maturidade em cibersegurança. O investimento em equipamentos, serviços, na formação contínua de todos os trabalhadores, e, principalmente, relação com os seus clientes e fornecedores.
Para a realidade do tecido empresarial, maioritariamente constituído por PME e microempresas, o cumprimento do roteiro mínimo de capacidades em cibersegurança e a certificação em maturidade digital é o caminho certo.
As empresas e os decisores devem procurar a melhor solução e custo total de propriedade, não adiando decisões críticas e de risco para as suas operações e negócio. Qualquer que seja o roteiro e “framework” a adotar, importa combater o imobilismo, porque a ameaça “está atrás da porta”.
Se tiver dúvidas, fale connosco e conheça o nosso serviço de Consultoria em Cibersegurança. Iremos ajudá-lo no processo de Transformação Digital da sua empresa, de forma a atingir esta maturidade digital, que é hoje o ex-libris de qualquer organização.
Carlos José Santos Silva
Consultor Sénior Especialista em Segurança da Informação