A importância da gestão da análise dos riscos
Os incidentes de cibersegurança e os indicadores de cibercrime cresceram significativamente em 2020, coincidindo com os períodos de confinamento. De acordo com o relatório sobre Riscos & Conflitos de 2021 pelo Centro Nacional de Cibersegurança, as ciberameaças mais relevantes foram o phishing/smishing e sistemas infetados por diversos tipos de malware (sobretudo o ransomware).
Os elevados custos económicos que advêm e que advirão do cibercrime evidenciam a urgência de acelerar a implementação da Cibersegurança na indústria, instituições, empresas ou serviços. A União Europeia está a tornar a Cibersegurança numa alta prioridade, financiando equipamentos e infraestruturas (serviços bancários, financeiros, seguros) assim como o financiamento da Ciberdefesa dos países da UE.
Segundo a RedTeam Security, os colaboradores (utilizadores com acesso privilegiado a dados sensíveis) representam cerca de 60% das ameaças que possam surgir numa empresa. Estas ameaças estão associadas a uma proteção insuficiente dos dados da empresa, como ter colaboradores a aceder a redes externas e desprotegidas (fora do local de trabalho) através de equipamentos da empresa, clicar em links suspeitos que surjam via e-mail, visitantes acedendo à rede interna, dispositivos IoT ligados à rede empresarial…
Todos estes e outros fatores associados tornam necessária uma análise mais aprofundada dos riscos e das estratégias de mitigação que poderão ser implementadas. Então, identificar, quantificar e gerir os vários riscos aos quais uma determinada empresa possa estar exposta, torna-se indispensável para um negócio ser bem-sucedido.
Como tal, e de modo a agilizar e a tornar mais eficiente a análise dos riscos, existem normas e frameworks que poderão ser implementadas, principalmente a ISO 27001.
A ISO 27001 (ISO/IEC 27001:2013) é o padrão de referência internacional para os Sistemas de Gestão de Segurança da Informação. Esta norma, detalha os requisitos para implementar, estabelecer, manter e melhorar continuamente a segurança da informação numa organização, de modo que os ativos da informação sejam mais seguros.
A ISO 27001 poderá ser alargada ao integrar outras normas ou frameworks, como a framework de Cibersegurança desenvolvida pela NIST (National Institute of Standards and Technology). Esta framework assenta sobre cinco pilares (1. Identificar; 2. Proteger; 3. Detetar; 4. Responder; 5. Recuperar) que ajudam as empresas ou organizações a gerir os seus riscos. A NIST e a ISO 27001 complementam-se no sentido de melhorarem uma análise de riscos e de tornarem a análise mais completa e eficaz.
Uma boa gestão da análise dos riscos de uma empresa permitirá atingir metas em termos de Cibersegurança, como prevenir incidentes futuros, ajudar a planear respostas e tomadas de decisões rápidas, assim como a obter uma economia financeira significativa. Contudo, ao falhar na gestão dos riscos, os custos financeiros consequentes e a diminuição do grau de confiança por parte dos clientes poderão levar a que uma empresa encontre um final mais prematuro.
