A Política de Segurança de Informação deve estar definida, documentada, comunicada aos colaboradores, e deverá ser objeto de um procedimento de melhoria contínua.
O interesse das empresas e organizações sobre Segurança da Informação tem tido um ritmo crescente. Ameaças externas, estratégias de mitigação de risco, boas práticas recomendadas são tudo temas de interesse para a concessão e implementação de uma estratégia segura de Transformação Digital.
Este movimento tecnológico imparável que vivemos, impulsionado por poderosas empresas de Tecnologias de Informação e Comunicação (TIC), levaram a que os Sistemas de Informação (SI) nas empresas tenham evoluído de um minúsculo gabinete para passarem a disputar um lugar nuclear e crítico.
A DPO Consulting tem vindo a defender que este crescimento deve ser ajustado com um desejável aumento da maturidade tecnológica alinhada com os objetivos de negócio das organizações, pelo que recomendamos que:
1. Deve existir por parte do Top Management consciência do alcance das iniciativas dos seus departamentos de Segurança da Informação, de modo a permitir a identificação cabal dos riscos decorrentes das vulnerabilidades nos sistemas e consequentes impactos no negócio da organização.
2. O papel dos responsáveis das TIC nas organizações deverá passar de solucionadores de problemas tecnológicos de forma reativa para parte integrante do planeamento e estratégia de negócio das organizações, contribuindo para um progressivo alinhamento entre as Tecnologias de Informação, a Segurança da Informação e as necessidades de negócio.
3. Do lado dos Procedimentos, se assegure a produção de uma documentação eficaz de aplicações, sistemas e processos para que os seus colaboradores – os que operam diariamente os sistemas críticos, que respondem às questões dos clientes, que recebem e respondem a emails de fornecedores e parceiros – estejam preparados para o fazer tendo em conta as práticas da chamada higiene na segurança de informação (evitar a entrada de malware e ramsomware na organização, prevenir data breaches, etc.).
4. As organizações devem dar treino e formação aos seus colaboradores, nomeadamente os que operam com ativos de informação, no sentido de estes estarem cientes dos impactos para a sua empresa de algumas ações inocentes que podem ocorrer na sua operação diária.
Defendo que as organizações que desenvolvam uma verdadeira Política de Segurança da Informação, em conformidade, em primeira instância, com o Regulamento Geral de Proteção de Dados, vão ter importantes benefícios a vários níveis, nomeadamente ao nível dos dados pessoais e dos dados de negócio.
A Política de Segurança de Informação deve estar definida, documentada, comunicada aos colaboradores e, para além de ser controlada a sua aplicação, deverá ser objeto de um procedimento de melhoria contínua.
Defendemos também que as organizações devem iniciar o processo tendente à implementação e manutenção de um Sistema de Gestão de Segurança de Informação (SGSI), atendendo aos princípios da norma ISO 27001 para assegurar um ciclo contínuo de planeamento, execução, monitorização e melhoria dos ativos de informação nas organizações.
A Dinamarca por exemplo, definiu no seu plano estratégico de cibersegurança para os serviços públicos locais e centrais a implementação da ISO 27001 como requisito mínimo. Previsivelmente, nos próximos anos, os restantes países europeus seguirão as suas pisadas e, como tal, qualquer organização que pretenda colaborar com um destes países terá de ter o seu nível de Segurança de Informação substancialmente mais maduro e integrado nos processos de negócio do que hoje.
Como a Segurança de Informação tem como missão proteger ativos de informação e dados pessoais são naturalmente ativos de informação, esta norma disponibiliza por excelência um conjunto de requisitos comprovado, reconhecido e eficaz para que as organizações possam também demonstrar conformidade com a aplicação de medidas técnicas e organizativas de segurança de dados pessoais (Artigo 32 do RGPD).
Assim, com a entrada em execução do Regulamento Europeu de Proteção de Dados, deu-se início a uma necessária transformação do mercado digital europeu e mundial, onde a Segurança da Informação e os seus impactos nas pessoas, processos e tecnologia têm um papel decisivo.
Urge que as organizações tomem as ações necessárias para estarem conformes com o RGPD e, num âmbito mais alargado, lançarem as linhas mestras para enfrentarem os desafios de segurança e ciberriscos, aumentando a sua competitividade.
A adoção de novos processos, a educação e sensibilização das pessoas, a adoção de novas tecnologias bem como de um programa de Segurança de Informação, criará um aumento de maturidade organizacional fundamental para a mitigação dos riscos inerentes a esta transformação digital da sociedade e do mercado.
A realidade é clara, gostemos ou não, dado que se trata de um processo de transformação irreversível e sobre o qual é necessário agir. Já.
