A cibersegurança é um componente crítico do plano de continuidade de negócios de uma organização. As políticas e processos relacionados às tecnologias essenciais e à proteção de dados confidenciais devem ser levados em consideração e podem representar, em caso de ataques, como os que massivamente vem ocorrendo nos últimos tempos, perdas incontáveis.
No último dia do Cybersecurity Forum , promovido pela TI Inside, nesta quinta-feira, 28, Leon Rodrigues, Engenheiro de Soluções da Onetrust convidou-nos a refletir sobre alguns pontos estratégicos da cibersegurança: a continuidade dos negócios, gestão de riscos e LGPDLei Geral de Proteção de Dados (Lei nº 12.709/2018): Lei Brasileira que visa garantir a proteção e a privacidade de dados pessoais. Equivalente a GDPR que é o regulamento europeu... – que mesmo parecendo distintos e que se cruzam em vários itens em comum.
“A Lei (LGPD) prevê que as empresas a observem para garantir que no contexto da regulação, haja entre elas, o complianceSubstantivo advindo do verbo to comply (agir de acordo, cumprir, obedecer). Estado de estar de acordo com as diretrizes ou especificações estabelecidas pela lei ou regras, políticas e procedimentos de..., a gestão de riscos e a governança de forma geral. Estar em conformidade é obedecer a lei, entretanto esta conformidade precisa considerar os aspectos de impacto nos negócios e a tecnologia que deve suportar de forma robusta estes processos”, disse o especialista.
Dessa forma, como reiterou Leon Rodrigues, a conformidade é o primeiro status das empresas estabelecem, mas segundo ele, as questões regulatórias necessitam de planejamento e se convergem para questões que envolvem o mapeamento dos riscos e rastreabilidade necessárias para que estas empresas “conversem” com o órgão regulador e possam demonstrar seu cumprimento.
“Neste aspecto, modelos como Security by Design e o Privacy by DesignEm tradução livre “Privacidade desde a Concepção”, significa proteção de dados por meio de design de tecnologia. desempenham um papel essencial tanto para os processos de continuidade de negócios quanto para conformidade para manter agora ponto central de foco e assim gerenciar e assessments e observar a privacidade e segurança desde o nascedouro de qualquer projeto nesta área”
Diante da complexidade dos processos internos das empresas hoje, Rodrigues recomenda a automação, a fim de eliminar os processos manuais e proporcionar uma perspectiva mais tecnológica para dar visibilidade às vulnerabilidades e integrar c- perspectiva de riscos cyber elevar o nível de controle e integrar os ativos de segurança e aumentar a visibilidade e relacionamento dos processos críticos de negócios que possam trazer riscos.
O executivo ainda reiterou a importância de utilizar padrões de mercado, melhores práticas , modelos e controles para sustentar os programas de segurança e finalmente treinar e capacitar equipes para o tratamento de dados das organizações. “Ter uma visão global permitirá sinalizar os riscos e trazer integração com perspectivas de gestão de incidentes diante da regulaçao”, salientou.
Dario Caraponale, sócio fundador da Strong Security Brasil, reforça a ideia de que “a continuidade dos negócios é sempre destacada, mas ela precisa estar apoiada nos pilares da segurança da informação”.
Segundo ele, a competência da segurança é multidisciplinar e precisa tangenciar várias áreas da organização. “Mesmo assim, os investimentos com segurança ainda são vistos como gastos e outra dificuldade sempre apontada é a cultura da segurança entre as equipes”, reforçou o especialista.
Ele alerta ainda para que os projetos de segurança atendam às conformidades regulatórias e também os prováveis riscos e vulnerabilidades, que embora complexos, podem ser atendidos igualmente para uma sistema holisticamente mais seguro.
” Um outro alerta importante deve ser feito. Ao se implementar um processo, por vezes, não se avalia a maturidade da empresa, não o direciona para o nível de maturidade que aquela empresa tem em relação aos riscos que está sujeita.”, explica o executivo. “Os processos de segurança não tem um fim em si, são uma jornada de evolução contínua e permanente e essa melhoria contínua reduz riscos e aumenta a segurança”, reiterou.
Para Samanta Oliveira, DPOEncarregado de dados. É o profissional responsável pela proteção de dados dentro da empresa, garantindo a segurança das informações, tanto dos clientes quanto da própria organização.... do Mercado Livre Brasil e líder do ComitêGrupo de pessoas escolhido para análisar assuntos específicos, podendo ser composto por membros externos da empresa; de Proteção de Dados da Associação Brasileira Online to Offline (ABO2O) a repercussão causada pelos ataques e vazamentos dados são um dos mais graves problemas do mundo hoje. “Diante disso, a governança em privacidade, as regras de proteção de dados não estão restritas a este ou aquele país. Hoje mais que nunca há a necessidade de um programa de complianceNo Brasil também conhecido como "programa de conformidade” ou "programa de integridade" , é o modelo para estruturação e aplicação de ações dentro de uma organização visando o cumprimento das... de privacidade em todas as empresas já que os dados não são mais restritos a um grupo ou país.”, reforçou a executiva.
“Assim como os dados são a base de crescimento das companhias eles são também responsáveis pela percepção que as organizações têm junto ao público. Aquelas que cuidam e protegem os dados de seus clientes diante das regulações e normas possuem avaliações mais positivas e tendem a crescer entre seus usuários”, destacou Samanta Oliveira.
Ela ainda mostrou que pesquisas encomendadas por várias empresas globais também demonstram a importância da observação das regulações globais e locais, bem como das boas práticas instituídas pelas normas técnicas.
“Ter um programa robusto de segurança, independente do tamanho da empresa, que atente para medidas práticas e que possam ser implementadas em casos de violação de dados, com respostas rápidas a incidentes constituem um esforço possível, especialmente visando evitar as penalizações e altos custos intangíveis a que as organizações estão sujeitas”.
Como disse Cláudio Dodt, sócio da DARYUS Consultoria, a privacidade é direito fundamental das pessoas e sua proteção deve estar garantida pelas empresas, seja na observância das leis seja por meio de medidas preventivas das organizações quando observa a gestão de riscos, nos desafios da segurança da informação e continuidade dos negócios.
Dodt também destacou que os incidentes de segurança penalizam gravemente as pessoas e organizações que são amplamente prejudicadas, daí garantir uma abordagem de segurança com visão global possibilita que o impacto financeiro, à reputação e ao operacional das empresas seja o menor possível.
“Alinhar ações de continuidade de negócios com os DPO das companhias é uma questão vital para o sucesso dos projetos de segurança. Além disso, é preciso que se observe a disponibilidade de medidas de proteção; validar a resiliência dos processos de negócios ; incluir o tratamento de dados na Análise de impacto ( BIA); validar a transferência internacional de dados para ambientes de contingência e usar a LGPD como cenário para simulação de crises e desastres, a fim coibir eventos”, disse.
Finalizando, Gustavo Duani, diretor de cibersegurança na Claranet, mostrou dados sobre o cenário atual da cibersegurança no Brasil que, em 2020 , sofreu 3,4 bilhões de ataques e em 2021 já teve um aumento de 62%, em relação ao ano anterior.
Como reforçou o especialista, as estratégias de negócio precisam de equipes especializadas, maturidade, visibilidade e controle, já que são itens importantes para o quanto se quer antecipar e mitigar riscos dentro da empresa. “Todos os esforços de segurança têm como finalidade a auditoriaÉ um processo de verificação e análise de atividades desenvolvidas por uma determinada empresa. O seu objetivo principal é examinar se elas estão de acordo com o que foi planejado... , não há mágica, são controles e precisam ser auditados a cada etapa permanentemente a fim de aumentar a cibersegurança na empresa”, comentou.
Segundo ele, a observância do tripé da segurança ( Pessoas , Processos e Tecnologia) – é análoga às ações de respostas a incidentes, processos/procedimentos e ferramentas. “O importante é a prevenção, criar um plano de ação e por último elevar o nível de maturidade das empresas com relação ao entendimento e importância da segurança”, concluiu.
Publicado originalmente no portal TI Inside