Investimento em segurança de informações: uma obrigação da empresa - WHOW
Tecnologia

Investimento em segurança de informações: uma obrigação da empresa

Além de investir na segurança digital, empresas também precisam desenvolver planos de recuperação no caso de sofrerem ataques

POR André Cilurzo | 20/12/2021 19h56 Investimento em segurança de informações: uma obrigação da empresa

Nos últimos anos, temos visto um número crescente de ataques cibernéticos e vazamento de informações que causaram prejuízos financeiros relevantes para as organizações, assim como trouxeram danos à imagem das empresas e eventuais danos aos proprietários dos dados vazados.

De acordo com um levantamento realizado pela IBM Security em parceria com Ponemon Institute, os incidentes de segurança de informações têm causado uma perda média estimada de R$ 5,8 milhões por cada violação às empresas no Brasil.

O país já consta como um dos mais visados para ataques cibernéticos, apesar das perdas e custos relativos ao tratamento dos incidentes estarem abaixo da média global. Muitas empresas já não trabalham mais com a hipótese de “se” acontecer, mas sim “quando” um incidente de segurança irá acontecer.

Diante de dados tão alarmantes, o questionamento que os gestores têm feito atualmente é qual o nível de investimento adequado para mitigar riscos relacionados a incidentes de segurança de informações.

Primeiramente, antes de estimar um orçamento, a empresa deve avaliar qual a exposição ao risco em relação a vazamento de informações, sendo recomendado uma avaliação de probabilidade de ocorrência do risco e os impactos organizacionais gerado por incidentes, sejam eles financeiros ou reputacionais.

Exemplificando, uma empresa que já tenha realizado investimentos em tecnologias de proteção, tais como EDR (Endpoint Detection and response), gestão de vulnerabilidades e WAF (Web Access Firewall), terá uma exposição reduzida, bem como uma probabilidade de ocorrência menor em relação a uma empresa que tenha um antivírus padrão.

Entretanto, outros fatores como modelo de negócio e indústria de atuação são condições que devem ser consideradas para a avaliação de riscos. Por exemplo, uma empresa que tenha um volume de dados relevante, com diferentes tipos de dados expostos, tais como informações de clientes, fornecedores e colaboradores, principalmente pelo fato da LGPD (Lei Geral de Proteção de Dados) já estar em vigor, bem como suas sanções, terá um prejuízo muito maior do que um empresa que tenha dados expostos de sua base de compras de matérias para produção, por exemplo.

Em segundo lugar, o apetite ao risco e a capacidade financeira de investimentos em proteção de informações devem ser levados em consideração. Recomenda-se que as empresas que ainda não tenham feito o devido investimento em soluções de proteção, ou que tenham feito de maneira insatisfatória, desenvolvam um plano detalhado de investimento de longo-prazo para que não comprometam o caixa da empresa, com soluções sofisticadas que não possam ser utilizadas em sua plenitude, dado à baixa maturidade em proteção de dados da empresa.

Por fim, a empresa obrigatoriamente deverá desenvolver um plano de Gestão de Continuidade dos Negócios (GCN) e de Recuperação de Desastres (DRP) para reestabelecer a normalidade de sua operação no menor tempo possível. Isso reduzirá os prováveis impactos financeiros que a organização venha a ter, bem como os efeitos de sua reputação frente a clientes, fornecedores e investidores.

Portanto, os gestores obrigatoriamente devem avaliar os riscos relacionados à segurança de informações. Os investimentos também são obrigatórios, porém devem ser racionalizados e distribuídos conforme um plano adequado em relação ao seu estado atual, seu nível de maturidade e modelo de negócios da organização.

Assim, quando o incidente ocorrer, a empresa terá à sua disposição os mecanismos necessários para gerenciar tal crise e retornar à normalidade o mais breve possível, limitando ou mesmo evitando eventuais perdas relacionadas ao acontecimento.

*André Cilurzo é diretor de Data Privacy e especialista em LGPD da ICTS Protiviti, empresa especializada em soluções para gestão de riscos, compliance, auditoria interna, investigação, proteção e privacidade de dados.