É notório que a acelerada transformação digital dos últimos anos, especialmente após os eventos da pandemia do COVID-19, veio a modificar diversos setores de negócio. Desde a indústria pesada à prestação de serviços do terceiro setor, inegável que o papel do departamento de tecnologia da informação cresceu de sobremaneira em seu grau de importância.
É correto afirmar que passou em muitos casos de um papel de suporte para uma posição de destaque, enquanto setor estratégico, para a o atingimento das atividades empresariais finalísticas. Tal fator de transição pode ser encarado como um desafio em potencial a ser ultrapassado pela gestão empresarial, uma vez que nem sempre a tratativa da segurança das informações acompanhou a velocidade empregada pela evolução dos investimentos em TI e na transformação digital dos negócios.
Percebemos esse contexto não apenas como desafio empresarial, mas também como a abertura para se enxergar um espaço para a discussão, acerca da necessidade de as empresas encararem o investimento na segurança da informação como elemento chave de seu planejamento estratégico para os próximos anos, correndo em paralelo com os investimentos em tecnologia de suporte e operação dos negócios.
As linhas definitivamente se dividiram em um paralelo. Novas capacidades e iniciativas no setor da segurança da informação são fundamentais para os próximos três anos; e para que esses dois aspectos se desenvolvam corretamente, as empresas devem ser capazes de demonstrar agilidade organizacional tal como descritos nos manuais de gestão empresarial atuais.
Mormente, o emprego de mudanças repentinas acarreta riscos, sendo sua gestão outro aspecto que agora passa a ser de vital importância para os objetivos de negócios. Avaliação e gestão de riscos é, no contexto atual, um fator estratégico que irá garantir a sustentabilidade e continuidade de muitos negócios.
Passada deve ser a visão de que a promoção da gestão de riscos se limita a ser encarada como motivo de despesas indesejadas e entrave ao desenvolvimento do próprio negócio, uma vez que aparentemente aponta muita cautela em relação a tomadas de decisões comerciais e ou de investimentos. Deve-se ter em conta que, clareza é sinônimo de valor no mercado de capitais. Lidar e encarar os riscos digitais demonstra honestidade e transparência por parte das organizações.
Por sua vez, a questão da segurança da informação, dentro do universo maior da gestão de risco, vai agora ocupar posição de protagonismo e relevo crescente. O mundo é hoje informacional e os ativos digitais são os bens mais preciosos de uma companhia. Não é segredo que estão sendo constantemente ameaçados por organizações multinacionais criminosas, cada vez mais bem aparelhadas e estruturadas, que têm como objetivo existencial a tomada criminosa de dados de terceiros e a interrupção de negócios e de redes de estruturas essenciais, para o funcionamento até mesmo de um estado nacional.
Some-se a isso o pesado contexto regulatório em que diversos setores são levados a obter compliance sob a força coercitiva do poder estatal. A LGPD no Brasil é um pequeno exemplo que veio para demonstrar que, agora, as empresas não possuem mais direito a escolha entre se proteger digitalmente ou deixar de fazer. Agora é uma imposição legal dar a proteção às informações pessoais que tratam.
Superado o introito contextual universal, a pergunta que surge e resta para a alta gestão solucionar é a de como promover essa mudança de mentalidade no contexto organizacional e quais pontos e passos devem ser observados nessa jornada, para a crescente maturidade em gestão da segurança da informação e observância dos riscos digitais de uma perspectiva agora estratégica.
Em princípio, como passo inicial, podemos pensar em um promover uma divisão acerca de quais seriam os apontados riscos digitais que precisam ser tratados no contexto do ecossistema digital e da transformação digital dos negócios.
RISCOS DOS ECOSSISTEMAS DIGITAIS
Pensamos que podem ser subdivididos em dez áreas de destaque – i) Privacidade e pessoalidade (LGPD); ii) vazamento de dados, iii) Resiliência, iv) Cyber riscos; v) riscos forenses, vi) riscos regulatórios, em geral, vii) riscos de terceiros, viii) riscos da operação, ix) Riscos das tecnologias empregadas e x) Riscos estratégicos.
Evidentemente que, é com base em cada classificação acima descrita que diferentes medidas de controle devem ser aplicadas. Referidas estratégias de controle devem ser padronizadas em aderência com as melhores práticas internacionais para cada setor produtivo, e a adoção de frameworks de referência operados por profissionais devidamente capacitados e especializados.
Não basta mais que um profissional do time de tecnologia da informação seja o agente designado para a promoção da mudança paradigmática. É imprescindível especializar, treinar e promover a busca por ajuda técnica qualificada e certificada. É ainda imprescindível contextualizar e engajar a direção e equipes.
Voltando a tratar sobre os controles, o aspecto crítico ao se definir um deles é o de se levar em consideração a natureza e o nível de digitalização nas operações, vez que na maior parte dos casos, essa curva ainda se encontra em sua fase de nascimento e permeada de processos manuais e sistemas obsoletos, o que pode vir a causar restrições nas aplicações de diversos controles. É preciso conhecer os contornos e como superar esse desafio.
Outro ponto de destaque, que gera dúvidas e atrito, é que o conceito de DIGITALIZAÇÃO não é universal e estritamente objetivo, e dessa forma, pode ser interpretado por cada organização ou setor de uma maneira totalmente diferente.
Digitalização é um conceito que muda de acordo com o agente de interesse. Enxergamos, na prática, uma sobreposição de visões, sendo de um lado o enquadramento do negócio (visão do negócio) e de outro lado o enquadramento do risco (visão da análise de risco).
Assim, se de um lado, partindo da visão de negócios temos que a estratégia empresarial/visão de negócios e visão da análise de riscos:
i) Definem a digitalização estratégica;
ii) Implementam, de forma a transformar as ferramentas e capacidades utilizadas para a entrega de seus serviços e produtos;
e iii) Realizam a gestão do programa, focados no tempo e no uso de recursos alocados para a transformação digital para cada uma das equipes do negócio.
De outro lado, na perspectiva da visão do RISCO, temos:
o iv) Risco Contextual, que fiscaliza a adequação dos agentes de transformação digital selecionados, partindo do contexto dos objetivos do negócio;
v) Implementação de arquitetura de risco nos diversos agentes de transformação digital, tais como regras para sistemas, segurança e resiliência;
e ainda vi) Governança de risco acerca das transformações digitais para garantir sinergia cruzada e eliminar risco advindos de processos interdependentes.
Ainda, definidos esses aspectos, precisamos refletir quais seriam as atividades seguintes a serem tomadas por parte da gestão dos riscos digitais. Acreditamos que o próximo passo é tratar a aplicação dos consagrados frameworks internacionais de maior aderência ao contexto do negócio.
Como vários aspectos são fortes em um ou outro diploma a ser escolhido, devemos destacar que todos sugerem aproximadamente a seguinte abordagem sistêmica e faseada de desenvolvimento:
A fase inicial é sempre aquela de Descoberta ou Assessment, em que se aprofunda na análise dos contextos de negócio e dos ativos informacionais da organização, estudando-os, e analisando em conformidade com a visão de transformação digital proposta pela organização, verificando, inclusive, os impactos de cada opção e dos agentes de transformação digital.
A Etapa posterior é aquela do Desenvolvimento, em que se define um planejamento posterior de implementação, com base nas medições de risco observadas e nas decisões da alta gestão sobre seu apetite ao risco e capacidade de se realizar investimentos e de modificar aspectos operacionais do negócio.
A próxima etapa cuida da Implementação, fase na qual se executam as diretrizes apontadas pela governança, de acordo com as políticas e ordens de prioridade anteriormente definidas para os agentes de transformação digital.
Finalmente, a etapa derradeira de um programa, seria a fase de medição e monitoramento, etapa em que se averigua processos de revisão contínuos que levam em conta as diligências regulatórias e metas estabelecidas de forma a se manter uma constante vigília sobre as operações; que agora devem já nascer preparadas para refletir o contexto maior de governança previamente estabelecido (design e default).
Como se pode perceber, a escolha precipitada (desprovida de cenário mandatório específico) de ferramentas e sistemas, na tentativa de se promover uma maturidade em segurança da informação e da prevenção de riscos digitais, em geral, é atitude totalmente temerária e desprovida de contexto, que em nossa visão e experiência prática, apenas leva ao dispêndio ineficiente e prematuro de poderosos recursos financeiros que serão tardiamente desejados quando uma estratégia coesa de governança de dados esteja de fato se impondo sobre o ambiente de transformação digital dos negócios.
Nunca é suficiente reforçar que não são as ferramentas singulares que proporcionam a segurança desejada pela gestão, mesmo que sejam proibitivamente custosas e tecnicamente carregadas de recursos. O que proporcionará o resultado esperado é o conjunto de fatores tais como o emprego eficiente de processos/governança, pessoas treinadas, capacitadas e motivadas, ampla visão e análise assertiva do contexto legal e regulatório do setor de negócios, emprego de recursos e ferramentas tecnológicas assertivas e alinhadas com as políticas de governança, e com o grau de exposição ao risco, que, em camadas sobrepostas, irão garantir que sua organização está no direcionamento correto em segurança da informação e com a tratativa de riscos digitais, de maneira estratégica.
Perfil do Autor
- Saulo Almeida
- Diretor de Riscos e Compliance da NowCy. Advogado sênior, pós-graduado em Direito Empresarial. Especialista em Direito Digital, LGPD, Cibersegurança e Risco Corporativo. Atualmente ocupando posição estratégica na gestão de riscos digitais.
Últimas Postagens
- Gestão e estratégia12 de março de 2024Avaliação de Risco: Por que a personalização é importante nessa estratégia?
- Gestão e estratégia8 de fevereiro de 2024Regulamentações de Compliance: Como a avaliação de riscos pode ajudar na conformidade das empresas
- Gestão e estratégia30 de janeiro de 2024Avaliação de Riscos: Descubra e mitigue riscos potenciais com uma estratégia abrangente
- Cibersegurança16 de janeiro de 2024A avaliação de riscos como aliada contra os perigos cibernéticos