Cibersegurança passa por processos e gestão, lembra consultor e CEO do Grupo Daryus. Especiaista dá dicas para obter o ISO 27001
Em meio a crescente complexidade que envolve os negócios e que pode resultar em maior vulnerabilidade das informações, manter em dia a Gestão de Segurança da Informação se tornou um grande desafio para os CIOs e CISOs. Jeferson D’Addario, CEO do Grupo Daryus, professor e consultor no tema, reforça que delegar a cibersegurança às áreas de Tecnologia da Informação, sem investir de forma estruturada, ou terceirizar, sem a devida supervisão, são os dois erros mais comuns que impedem as empresas de estarem melhor protegidas.
“Comprar tecnologias de cibersegurança não é a única necessidade. É importante a mudança de mentalidade e atitude de todos na empresa, construindo uma cultura de segurança da informação suportada por processos e uma gestão adequada”, aconselha.
Na visão do especialista, uma boa referência para ajudar as empresas, é a ISO 27001, uma norma internacional ISO (International Organization for Standardization), que orienta as empresas a implementar a Gestão de Segurança da Informação, para melhorar a performance, a gestão de riscos, a resiliência e agregar valor ao negócio.
Leia também: Prevenções de fraudes e de lavagem de dinheiro devem caminhar juntas
Além de orientar sobre os fundamentos, ela possibilita que a empresa se certifique no ISO, o que representa um diferencial competitivo e risco menor para os acionistas, investidores e clientes. Segundo a ISO, apenas 165 empresas no Brasil possuem gestão de segurança certificada nesta norma.
Pensando em conscientizar e auxiliar as empresas que ainda não possuem essa certificação, o especialista lista cinco passos indispensáveis para certificar sua empresa na ISO 27001.
A gestão da segurança da informação é praticada e cultivada dia a dia, e os líderes de negócios precisam estar comprometidos e aprender para transformar suas empresas, destaca D’Addario. O tema é fundamental para a transformação digital e de negócios exigida nos próximos anos. Caso contrário, apostar em 5G, IA. e outras novas tecnologias transformadoras pode se tornar um risco muito alto e inviável.
Segundo o Global Risk Report 2023, o risco adverso proveniente do uso das novas tecnologias está entre os mais altos nesse momento.
A implementação da norma ISO 27001 vai gerar uma transformação na cultura corporativa. Melhoria na gestão de riscos nos processos de negócios, nos recursos humanos e na tecnologia da informação.
“É importante destacar que apesar de algumas empresas terem receio de implementar uma certificação ISO, identificar os riscos de segurança da informação permitirá o tratamento adequado para evitar ou enfrentar incidentes de segurança. Isso auxilia em desafios como na adequação à LGPD (Lei Geral de Proteção de Dados), além de tornar o negócio mais competitivo”, afirma D’Addario.
É muito importante que todas as camadas da empresa estejam envolvidas para alcançar a transformação e a certificação, incluindo a liderança, os gestores, os colaboradores, os fornecedores e os parceiros, lembra o executivo.
Nesse passo, é necessário definir uma Política de Gestão de Segurança da Informação que esteja alinhada aos objetivos e expectativas do negócio, respeitando o orçamento, o porte e a cultura da organização. Os gestores e colaboradores ficam responsáveis por garantir a eficácia das práticas de segurança diárias, por isso é importante fazer ajustes, reuniões e validações dos riscos de cibersegurança, além dos tratamentos a serem implementados, seguindo as recomendações da ISO.
A Gestão da Segurança da Informação trata de priorizar o que é necessário para investir, monitorar e gerenciar os demais riscos existentes. “Sendo assim, não há necessidade de implementar todas as recomendações da ISO 27001, porém a empresa precisa estar ciente de tomar decisões baseadas na gestão de riscos. Isso poderá diferenciar empresas comuns que correm mais riscos, de empresas certificadas na norma 27001 que são mais resilientes”, explica o especialista.
Contar com especialistas em Gestão e Governança da cibersegurança, para orientar e esclarecer dúvidas durante o processo, pode garantir o sucesso na implementação da ISO 27001.
“É possível também implementar o Sistema de Gestão de Segurança da Informação (SGSI) de forma parcial em setores da organização. Com o tempo a empresa pode expandir o escopo, de acordo com objetivos, requisitos, interesses e recursos disponíveis”, ressalta D’Addario.
Siga o IT Forum no LinkedIn e fique por dentro de todas as notícias!
