Proteção de dados nas empresas: Como manter a informação segura e ao mesmo tempo disponível para quem precisa?

Por Sara Loja, Chief Information Security Officer (CISO) na Volkswagen Digital Solutions

O ativo mais valioso de uma empresa é a sua informação – seja ela sobre os colaboradores, produtos, serviços, informação confidencial de desenvolvimento e inovação ou mesmo dados pessoais. Existe uma necessidade muito importante de proteger essa informação, ao mesmo tempo que é preciso que a mesma esteja disponível e acessível a quem precise de a usar. A resposta para esse desafio é o CISO (Chief Information Security Officer) da empresa.

O CISO deve estar envolvido em tudo o que são atividades corporativas e de negócio, uma vez que o seu papel é garantir que existem todos os controlos de segurança ao crescimento e/ou aparecimentos de novos riscos, de acordo com o seu grau de importância e sensibilidade para a organização. Por esta razão, o CISO deve conhecer bem o negócio, estar nele envolvido, e ter uma relação de proximidade e confiança com os colaboradores.

Ultimamente, fala-se muito nos ataques cibernéticos, que podem ser antecipados para mitigar os seus impactos ou investir-se na prevenção para diminuir a probabilidade de acontecerem – não é uma questão de “se acontecer”, mas sim de “quando acontecer” – e neste caso é o CISO quem identifica, em colaboração com as equipas, os controlos necessários para diminuir a probabilidade da sua ocorrência ou o impacto, se ocorrer. Mas também é o CISO, em conjunto com equipas internas, nomeadamente o IT, que define o plano de resposta no caso de um ataque ter sido bem-sucedido.

Contudo, em 2019, 38% das empresas da Fortune 500 não tinham um CISO. E mesmo em 2021, nos Estados Unidos, 45% das empresas não tinham alguém nesta posição. Acontece que quanto mais se fala nestes ataques serem uma questão de tempo e de saber estar preparado para o pior, mais sentido faz criar uma posição CISO em todas as organizações, com uma função ativa e participativa na gestão das empresas.

Desde o início da Volkswagen Digital Solutions em Portugal, que esteve claro para a organização a necessidade de ter alguém transversal m empresa e a todas as unidades de negócio, que pudesse trabalhar na prevenção e ajudar os colaboradores a identificarem os riscos a que estão mais expostos. O mundo cibernético avança tão rápido que tipicamente estamos sempre a correr atrás do prejuízo e a tentar apreender a nova forma de ataque.

Se olharmos para a definição desse papel, um CISO é responsável por definir e manter a proteção de todos os ativos de informação, então é inerente que tal responsabilidade passe por sensibilizar os colaboradores e atacar de dentro para que se comece a reconhecer os tipos de ataque a que se está sujeito. Um trabalhador pode abrir um email perigoso quando está mais desatento e pôr em perigo toda a organização, é tão simples como isto. Costumamos brincar e dizer que “o nome do cão não é uma password”. Tudo tem que ver com a postura adotada, e como CISO da Volkswagen Digital Solutions um dos meus objetivos é criar consciência para os riscos e dar formação sobre o outro lado da moeda, através de treino, de jogos e inovação para criar momentos de sensibilização de forma pedagógica e não de imposição. Usamos experiências gamificadas e tentamos usar o humor para captar e garantir o engagement dos nossos colaboradores.

Isto faz parte de uma estratégia de segurança alinhada com a estratégia de gestão da empresa, que cresce por necessidade da transformação digital e da evolução do mundo cibernético com o surgimento de novas ameaças, mas de igual forma alinhada com as necessidades do negócio e do seu crescimento.

Só assim conseguiremos mitigar a probabilidade de sermos alvo de um ataque e estaremos prontos para reagir de forma eficaz e garantir uma rápida recuperação do serviço na eventualidade do mesmo acontecer.

Por todas estas razões, a função de CISO na gestão e liderança torna-se fundamental para a definição de uma estratégia única e transversal. Se os ativos vão crescer e vão sendo alterados, também a estratégia de segurança deve seguir esse caminho.