Desde que o Regulamento Geral de Proteção de Dados (RGPD) passou a ser aplicável em todos os Estados-membros, garantir a segurança das redes, dos sistemas e dos serviços vitais de informação tornou-se prioridade absoluta para o contexto empresarial.
Tendo em vista o enquadramento jurídico da nova moldura legal, a segurança da informação passou a ser vital para as pequenas, médias e grandes empresas, até porque o novo Regulamento prevê coimas e sanções pesadas para a perda e fuga de dados ou violações de segurança dos sistemas que resultem em riscos para os titulares desses mesmos dados.
Apesar do RGPD ir muito mais além das questões da cibersegurança, as empresas, para se protegerem das sanções (e manterem a confiança do mercado e dos seus clientes), terão de continuar a combater falhas na segurança de dados, devendo começar a apostar, por exemplo, em tecnologias de cibersegurança e de encriptação que as protejam do roubo de dados através de softwares maliciosos, ciberataques ou fugas de informação acidentais.
Cibersegurança: o maior desafio das empresas do século XXI
Em linhas gerais, pode definir-se cibersegurança como o conjunto de tecnologias, processos e práticas especificamente desenhado para proteger computadores, dispositivos, sistemas, redes e dados de eventuais ataques ou ameaças. Ou seja, promove ações de monitorização, prevenção e neutralização de ameaças que possam colocar em risco a liberdade dos cidadãos e das empresas.
Porém, o alcance da cibersegurança não se circunscreve apenas a estes fatores. Visa também proteger comportamentos e atitudes dos utilizadores, os quais, muitas vezes, condicionam a segurança da informação.
Mas não será a proteção cibernética, sobretudo, uma questão de cultura empresarial? A ideia pré-concebida de que a cibersegurança deve aplicar-se apenas ao departamento de Tecnologias da Informação (TI) pode ser perigosa. No contexto empresarial, deverá ter quase um caráter rizomático. Isto é, dever-se-á aplicar a toda a estrutura organizacional – ao contexto do negócio, às políticas, aos comportamentos e, claro, aos padrões de segurança.
Importa recordar que os ciber-riscos são, indiscutivelmente, uma das maiores ameaças com que as empresas se deparam atualmente, contabilizando perdas de receitas, clientes, oportunidades de negócio e reputação empresarial.
Qualquer que seja o ramo de atuação da sua empresa, é importante que saiba que este é um mercado altamente dinâmico que não pára de evoluir. As redes sociais, o Big Data, o Cloud Computing, o Business Intelligence, a Internet das Coisas (IoT), criaram um mercado em contínua transformação.
Queremos com isto dizer que a exposição ao risco de violações de segurança da informação aumentou exponencialmente e as consequências podem ser devastadoras para qualquer empresa.
Os ciberataques não só podem travar o acesso à informação confidencial, como também podem causar danos a pessoas e à própria empresa. Podem estar em causa, por exemplo, as infrações de direitos de autor, a divulgação de dados sensíveis e as exigências do RGPD em relação à proteção de dados.
As coimas elevadas, o tempo de interrupção do negócio, os processos judiciais, os custos de investigação e de reparação, a confiança do mercado e dos clientes são algumas das consequências com as quais terá de lidar e que podem pôr em risco a sobrevivência da sua empresa.
As ameaças de segurança cibernética são inevitáveis, convença-se disso, mas isto não significa que não se possam tomar medidas para minimizar a exposição e mitigar as possíveis perdas.
Boas práticas para proteger a sua empresa de ciberataques
Além de um conjunto de medidas de ordem técnica/tecnológica e de cultura organizacional que visam melhorar a cibersegurança do seu negócio, sublinhamos a importância da contratação de um Chief Security Officer (CSO) e de um seguro contra os ciberataques.
Chief Security Officer (CSO)
Além de ter um papel fundamental no desenvolvimento de uma estratégia de segurança para a empresa, o CSO tem ainda as seguintes responsabilidades:
a) Acompanhar eventuais auditorias, garantindo a conformidade com as políticas de segurança;
b) Estabelecer normas associadas ao desenvolvimento, implementação e manutenção de processos de segurança, a fim de proteger a propriedade intelectual da empresa. A este respeito, uma das suas responsabilidades será a de criar um documento de políticas de cibersegurança e gestão de riscos cibernéticos. Neste documento deverão constar todos os procedimentos de cibersegurança da empresa, bem como as respostas a dar em caso de ataque cibernético;
c) Antecipar eventuais riscos e danos de um ataque;
d) Definir os custos de uma mitigação, bem como o seu impacto;
e) Aumentar a resiliência geral face ao ciber-risco, através do planeamento contínuo dos diversos cenários e respetivas respostas;
f) Como líder executivo, tem ainda a função de criar uma cultura de segurança.
Seguro contra os ciberataques
Como já referimos, atualmente, nenhuma empresa está imune a ataques cibernéticos, interrupções de rede, serviços, de negócios ou mesmo de violações de dados. Contratar um seguro contra ciberataques é, por isso, um investimento inteligente para qualquer empresa, sobretudo desde que o RGPD entrou em vigor.
Apesar das empresas estarem muito mais inclinadas para investirem em seguros que protegem ativos tangíveis do que em seguros específicos para cibersegurança, o ambiente regulatório vigente poderá, a curto prazo, alterar esta tendência – uma vez que o impacto financeiro que a perda e violação de dados representa poderá, em muitos casos, ser muito superior àquele que envolve danos patrimoniais e/ou equipamentos.
Este tipo de seguro pode incluir cobertura para alguns dos seguintes incidentes:
- Ativos digitais danificados ou perdidos, como dados e software;
- Perdas de oportunidades de negócios ou aumento de custos operacionais devido a uma interrupção dos sistemas da empresa;
- Extorsão cibernética se o hacker detiver os dados do segurado para resgate;
- Dinheiro roubado através de um cibercrime;
- Violações de segurança da confidencialidade dos funcionários;
- Perda de dados e informações dos clientes;
- Notificação do cliente após uma violação de segurança;
- Esforços de relações públicas, sobretudo no que diz respeito a assegurar a reputação da empresa e violações de propriedade intelectual.