Por: Varela da Silva – Consultor de Segurança da Informação/Cibersegurança
Em países como Angola, onde o processo de digitalização ainda é uma agenda a preencher num cenário de necessidades em que se beneficiarão comunidades, municípios e/ou províncias é necessário juntar à disponibilidade desses serviços todos um novo senhor: “Segurança da Informação”. Uma área não tão nova, mas que causa muitas vezes interpretações que geram enquadramentos mal alinhados ao negócio ou uma má interpretação do seu papel em qualquer negócio.
Hoje, por força do actual cenário, é preciso perceber que a continuidade de qualquer empresa se baseia não só no seu negócio mas também na forma como ele é percebido pelas pessoas e com a quantidade de informação manipulada e mal veiculada garantir que segurança da informação seja uma das preocupações pilares/primordiais de qualquer empresa.
Agora falar em plano de continuidade sem uma base de segurança de informação não é fiável para nenhuma corporação. Estamos impregnados em um ambiente de constantes mudanças, sendo muitas delas radicais a todo modus operandi de uma empresa, e não alinhar a isso no mínimo a tríade de segurança de informação (Confidencialidade, Integridade e Disponibilidade) com a poderosa ferramenta de cibersegurança, é não ter certeza dos riscos em que se encontra envolvido, chegando a um ponto de fraqueza totalmente desnecessário.
É necessário fazer os boards de qualquer empresa, seja ela de que sector for, entender que aliar a segurança de informação ao seu negócio é investir na prevenção a um nível de previsão considerado bom para a saúde e continuidade da empresa.
Trazer para os colaboradores boas práticas, como cultura de trabalho da própria empresa, garante confiança na estratégia de abordagem de qualquer processo de segurança alinhada ao negócio, tornando assim ela resiliente a qualquer tentativa de exploração de uma vulnerabilidade, seja de infra-estrutura ou através do comportamento humano pela falta de sensibilidade com a segurança da informação.
O ideial seria introduzir aos boards uma visão da seguinte forma:
Visão do Negócio ⇒ Visão Estratégica ⇒ Objectivos Estratégicos ⇒ Estratégia de IT ⇒ Estratégia de Seg. da Informação.
Ao saber definir isso junto de uma administração, a implementação de um programa de segurança da informação vem como garantia que por mais invasivo ou por mais desconforto que cause no seu início de implementação, irá garantir que a empresa esteja mais segura possível e com um grau de maturidade aceitável.
Uma grande valia na implementação de um programa de segurança da informação é entender o seu contexto de negócio, saber que tipo de framework deve ser adoptada, que ferramentas devem ser implementadas com base no seu negócio, saber como deve realmente proteger o seu negócio, que tipos de ataques o seu negócio sofre e como pode melhorar a segurança sobre ele, entender quem são seus clientes e que tipo de estratégia pode implementar para os seus clientes se sentirem seguros com a utilização do produto. E não apenas adoptar segurança da informação/cibersegurança por ser um movimento mundial ou por influência de vendedores de soluções de segurança.
É importante definir métricas de segurança e processos de segurança cada vez mais alinhados aos standards internacionais e locais para melhor proteger o negócio de uma empresa, mas sempre defina as métricas que melhor se enquadram a empresa.
Já assistiu aos nossos vídeos no YouTube? Inscreva-se no nosso canal clicando aqui !!!