Outros sites Medialivre
Notícia

O CEO é o responsável pela cibersegurança

Os ciber-ataques podem colocar em causa a viabilidade de uma empresa e do seu negócio. A cibersegurança deixou de ser considerada um problema tecnológico e passou para o plano da administração, do CIO para o CEO.

18 de Julho de 2017 às 11:22
Reuters
  • Partilhar artigo
  • ...
Os ciber-ataques podem colocar em causa a viabilidade de uma empresa e do seu negócio. A cibersegurança deixou de ser considerada um problema tecnológico, foi colocada na agenda crítica do negócio e passou a ser discutida no conselho de administração e a ser responsabilidade do CEO. "É um dos pilares estratégicos que, com outros, faz com que o negócio funcione" disse Aurélio Blanquet, chair da European Energy-Information Sharing & Analysis Centre, e da direcção da Plataforma Digital de Redes da EDP Distribuição.

Esta mudança não contagiou todas as empresas. "Às vezes sinto que é um pequeno salto mas que falta dar na maior parte das empresas" referiu João Ricardo Moreira, administrador executivo da NOS. Acrescentou que "nas organizações o CEO não tem o mesmo nível de 'awareness' para o problema e, muitas vezes, este pequeno salto do CIO para o CEO pode fazer toda a diferença entre envolver os sistemas de informação e a tecnologia ou envolver uma empresa inteira".

O que foi corroborado por Pedro Miguel Machado, DPO da Ageas Seguros, que considerou que esta consciencialização do board é decisiva para a estratégia de cibersegurança, mas que ainda não está generalizada. "Um estudo de uma consultora questionava sobre quem seria responsável numa situação de 'data breaches'. A esmagadora maioria respondeu que deveria ser o CISO (chief information security officer) e só uma minoria referiu que deveria ser o conselho de administração. O que corporiza uma situação inversa ao que deveria ser" sublinhou o gestor da Ageas. "Talvez por isso o Regulamento Geral de Protecção de Dados estipule que quem é 'accountable' pela protecção de dados é o board".

Como referiu Pedro Veiga, coordenador do Centro Nacional de Cibersegurança, "deve ser o board a pedir ao IT que lhes dê as respostas. Um board que não está atento para o risco e para a transformação do digital é um mau board".

"O risco cresce na medida em que se banalizam as formas de poder atacar, se massificam os processos. É preciso em muitos casos fazer um trabalho de consciencialização da área de IT junto dos CEO que estão sempre a aumentar os riscos, é um tema da empresa, dos stakeholders, da sociedade" concluiu João Ricardo Moreira.

Preocupação com a segurança das PME

João Ricardo Moreira assinalou ainda a especificidade do tecido empresarial em Portugal, em que a esmagadora maioria das empresas está longe de se poder comparar com a Ageas, a EDP ou a Nos. Por isso este tema tem nessas empresas "menos importância, menos sofisticação, menos recursos, menos tecnologia, menos activos para fazer face ao tema da cibersegurança. E se não temos os principais responsáveis com este sentido de urgência é evidente que estamos a incorrer num risco maior". São estas PME que preocupam Pedro Veiga, que considera que "estas deviam estar também atentas, por exemplo, à espionagem industrial, que é uma coisa muito generalizada".

A formação e o empenho da organização no seu todo é fulcral. Para Aurélio Blanquet, "faz parte das nossas medidas de prevenção ter um adequado nível de 'awareness' que é transversal à organização e a todos os seus níveis. Recentemente, fizemos uma informação webizada que atingiu os 3.500 colaboradores, temos uma formação mais focalizada em áreas concretas que mexem de perto com diferentes tipos de tecnologias, temos formação com nível de especialização superior ao nível de pós-graduações e mestrados em cibersegurança e treino para decisão. Ou seja, a componente de macroestrutura é envolvida anualmente, são sessões em que toda a macroestrutura é envolvida numa situação mais expositiva ou de gamificação. É uma sensibilização para a importância da tomada de decisão em ambientes de risco associado ao ciberespaço".