Dentre os possíveis riscos, segurança da informação é a mais perigosa e desafiadora para as companhias na era digital
De acordo com levantamento de 2023 da Deloitte, empresas que realizam investimentos adequados na área de gestão de riscos têm maior nível de maturidade e agilidade para tomada de decisões em ambientes de negócios cada vez mais complexos. “Um negócio sempre envolve riscos e estes precisam ser entendidos e gerenciados de forma técnica e processual a fim de colocar a empresa em vantagem competitiva e agregar valor a ela e à toda cadeia”, opina Hermínio Gonçalves, CEO da SoftExpert Brasil, empresa que oferece soluções para a gestão integrada da conformidade, inovação e transformação digital.
Segundo a norma internacional ISO 31000:2009, risco é o efeito da incerteza nos objetivos. Essa incerteza gera insegurança para os gestores, que precisam medir e prever para antecipar ou evitar situações que prejudicam o negócio. Alguns dos possíveis são: segurança empresarial, saúde e meio ambiente, tecnológicos ou de segurança da informação, continuidade de negócios, governança, responsabilidade social corporativa e conformidade.
Para minimizar as ameaças frente a um leque extenso de riscos, o CEO da SoftExpert sinaliza algumas dicas para preveni-los nas companhias:
1. Criação de comitê de riscos multidisciplinar incluindo liderança, RH, jurídico, TI, finanças etc;
2. Mapeamento de todos os riscos preocupantes já conhecidos ou não pelos líderes;
3. Definição de papéis e responsabilidades dentro da equipe;
4. Definição de periodicidade para reuniões e discussões sobre o tema;
5. Seleção de metodologia para análise, avaliação e tratamento dos riscos;
6. Identificação e classificação dos riscos estratégicos para o negócio;
7. Classificação da probabilidade, vulnerabilidade e impactos frente a cada um dos riscos mapeados;
8. Definição dos responsáveis por monitorar cada risco;
9. Criação de plano de ação para monitoramento dos riscos;
10. Definição de indicador de medição dos riscos.
Gestão de riscos e segurança da informação: qual o papel da ISO 270001?
A segurança da informação é um dos riscos mais sensíveis para os negócios. Empresas, comércio internacional, mídias sociais e tudo o que compõe a infraestrutura digital dependem de tecnologias e serviços que precisam estar protegidos contra os riscos de invasões, acessos não autorizados, perda de dados e outras ameaças. Gerenciar a segurança da informação é ainda mais desafiador, pois envolve variáveis como políticas, procedimentos, processos, medidas de controle e aplicativos, que precisam ser administrados de forma estratégica e inteligente.
Dentre as normas de segurança de ativos de informação, a ISO 27001 é a principal delas. Focada em segurança da informação, ela apresenta um conjunto de requisitos para desenvolver, estabelecer, implementar, operar, monitorar e revisar um Sistema de Gerenciamento de Segurança da Informação (SGSI). A ISO 27001 também é usada para selecionar controles de segurança adaptados às necessidades de cada organização com base nas melhores práticas do setor.
A norma é baseada em 3 pilares: confidencialidade, integridade e disponibilidade. Proteção de dados e sistemas contra acesso não autorizado, verificação de precisão, confiabilidade e integridade dos dados e compreensão das informações para as partes autorizadas é o papel de cada um deles, respectivamente.
“A ISO 270001 foi criada para fornecer um modelo de gestão de segurança da informação em organizações de diferentes tamanhos e tipos para proteger informações confidenciais, como dados pessoais, informações financeiras e propriedade intelectual”, explica Gonçalves. Dentre os benefícios da certificação com a norma, estão redução da vulnerabilidade aos ataques cibernéticos, resposta aos riscos de segurança, garantia da segurança de dados confidenciais (desde propriedade intelectual até dados financeiros ou pessoais), domínio de informações seguras, economia de dinheiro aumentando a eficiência e estrutura gerenciada que protege as informações em somente um lugar.
O SoftExpert Suite, plataforma integrada da SoftExpert, ajuda as empresas a aderirem à ISO 27001 juntando, em somente um lugar, soluções de otimização processual para o gerenciamento de riscos, controles, políticas de segurança da informação, ativos, incidentes, fornecedores, indicadores de desempenho, processos, entre outros.