
A importância estratégica do Diagnóstico de Risco Cibernético no Plano Diretor de Segurança da Informação.
Por Maurício Sena
Assessment é um procedimento utilizado para diagnosticar a classificação do nível de maturidade das organizações. É com ele que sua empresa determina quais são as vulnerabilidades e os pontos de atenção, de prevenção e redução dos riscos, para o modelo de negócio. Em resumo, trata-se de uma avaliação da maturidade dos seus processos, assim como do ambiente tecnológico e da estratégia de governança adotados pela organização.
A aplicação de um Assessment é normalmente utilizada para diagnosticar inconsistências na segurança cibernética das organizações que estão cada vez mais conscientes e preocupadas com vulnerabilidades, ameaças e riscos de suas operações. Ataques em seu ambiente pode expô-la a perdas financeiras e, consequentemente, a algum impacto na reputação da imagem, pois os ataques sofridos em sua infraestrutura, servidores e aplicações podem ser irreversíveis.
Diante desse cenário, um assessment de segurança é o primeiro passo para auxiliar as empresas a avaliar o seu nível de maturidade e mitigar os riscos de ataques cibernéticos que elas possam vir a sofrer.
Com o resultado de um assessment de cibersegurança, a diretoria e os executivos tem informações para apoiar a tomada de decisões operacionais e estratégicas, tais como a definição de metas operacionais, necessidade de recursos financeiros e o planejamento de investimentos.
O relatório resultado do assessment contém o detalhamento de riscos ou pontos de atenção que pode orientar os líderes técnicos e de segurança da informação na escolha por controles e na implementação de políticas de proteção que visam aumentar a proteção do ambiente corporativo e operacional.
Assim, a melhor forma de prevenir ataques e outros tipos de incidentes de cibersegurança são os diagnósticos de maturidade de cibersegurança, através da identificação de falhas e fragilidades de todos os níveis de criticidade, permitindo um planejamento assertivo de acordo com a necessidade de cada negócio.
O Assessment, que geralmente contempla a análise de processos, pessoas e tecnologias, deve estar baseado e uma ou mais referências, por exemplo, na ISO27001, no NIST, no CIS20 e PCI DSS/PIN.
Como está o alinhamento da Cibersegurança da sua empresa com o negócio e estratégia?
(*) Maurício Sena é Consultor da AuditSafe especializado em Segurança Cibernética, Gestão de Riscos e Privacidade.