As organizações são como organismos vivos, elas crescem, se fundem, se dividem, modificam seus processos e adquirem novas tecnologias. E se movem em um contexto dinâmico, no qual riscos, regulamentações e ameaças mudam, se multiplicam ou se tornam mais sofisticadas. Como manter as organizações protegidas? Qualquer estratégia de cibersegurança deve girar em torno da gestão de riscos: conhecer os riscos, mensurá-los, saber sua origem e desenvolver a capacidade de minimizá-los.
À medida que a digitalização se consolida como o caminho inevitável para o futuro das empresas de todos os tamanhos e setores, surgem tendências relacionadas à cibersegurança para capitalizar essas oportunidades e, ao mesmo tempo, manter os riscos sob controle. Por exemplo, a adoção do modelo zero trust, que propõe proteção em camadas e tem como filosofia que nenhuma pessoa ou dispositivo dentro ou fora da rede de uma empresa tenha acesso para se conectar a sistemas ou serviços de TI até que seja autenticado, e que a identidade seja constantemente verificada.
Outra tendência está ligada ao fato de que, historicamente, alguns setores da indústria tomavam decisões de segurança partindo do pressuposto de que suas operações estariam sempre desconectadas. Hoje essa realidade mudou e as organizações do setor precisam fortalecer e, em especial, investir em cibersegurança associada à Internet das Coisas (IoT) e à tecnologia operacional (OT), o que inclui desafios e necessidades diferentes da segurança tradicional de TI.
Desafios e recomendações
O primeiro passo para qualquer organização é entender em qual nível de maturidade se encontra a proteção de seus principais ativos digitais. Existem cinco níveis de maturidade: inicial (quando os primeiros processos aparecem, mas não há uma estratégia estruturada), repetível (práticas básicas de gestão de projetos), definido (existe um padrão organizacional e alguma proatividade), gerenciado (os projetos são planejados e executados pensando na segurança) e otimizado (melhoria contínua de todos esses processos).
Uma vez realizado o diagnóstico, é necessário estabelecer um nível de maturidade-alvo e elaborar um roteiro de crescimento até atingir essa maturidade em um determinado período de tempo. Um ponto importante, a maturidade não é uma variável que aumenta continuamente. Quando uma empresa adota uma nova tecnologia, se não pensar em segurança desde o início do projeto, sua maturidade pode piorar. Por outro lado, é preciso garantir que os investimentos realizados estejam alinhados com esse objetivo.
Por outro lado, as regulamentações relacionadas à segurança e à privacidade no mundo da inteligência artificial (IA) estão avançando. A União Europeia já concluiu seu projeto e diversos países estão trabalhando em iniciativas semelhantes. Será fundamental que as organizações entendam essas estruturas regulatórias, como elas se aplicam ao seu setor em particular e, é claro, que tenham os mecanismos em vigor para cumprir todos os requisitos.
A base para a resiliência
Neste processo, é essencial contar com os talentos certos. Para isso, é essencial treinar profissionais e ter o suporte de parceiros de negócios que disponham de equipes com essas habilidades. E por último, é importante que o CISO tenha uma função mais relevante dentro do organograma, inclusive deve ser equiparado ao CIO.
Nunca se deve perder de vista o fato de que um incidente de segurança pode causar sérios danos a uma organização. Aliás, muito já se fala sobre isso, e com certeza será reforçado no próximo ano, que a cibersegurança e uma boa estratégia de proteção são fundamentais para a resiliência organizacional e a sustentabilidade dos negócios.
As novas tecnologias estão gerando benefícios para os negócios como nunca antes visto na história. A adoção segura é o que permite que as organizações aproveitem as oportunidades e minimizem os riscos.