Como a proteção de dados ajuda a lidar com os riscos do negócio?

Segurança e negócios podem andar lado a lado

Nesse contexto, é fundamental que haja diálogo constante entre as equipes de segurança da informação e os setores de negócios das empresas –ideia ressaltada por Márcia Tosta: "Em vez de inviabilizar, a segurança da informação deve impulsionar os negócios. É muito importante que as duas áreas estejam próximas".

Porém, demonstrar a importância da segurança e os benefícios que ela traz para o ambiente corporativo não é tarefa fácil, e exige que o diretor de segurança da informação saiba se comunicar efetivamente com o board (conselho administrativo) da empresa. "É preciso entender qual linguajar o board da companhia entende para fazê-lo enxergar a segurança como um fator agregador para o negócio", comentou Márcia. 

Alexandre Ibrahim também enfatizou que os especialistas em cibersegurança devem conseguir explicar às outras equipes da empresa que o ambiente digital é altamente complexo e volátil e, por isso, vulnerabilidades novas surgem a todo momento. "Além da capacidade técnica para gerenciar equipes, a função de um chief information security officer (CISO) é comunicar adequadamente os principais riscos e indicadores a serem observados, bem como as abordagens de segurança de dados a serem adotadas pela companhia", pontuou o especialista.

Outra função do diretor de segurança da informação é se aproximar da área de gestão de riscos da empresa a fim de entender como é executada a mensuração e a categorização dos riscos dentro daquela organização. "O CISO deve conquistar uma cadeira dentro do comitê de riscos estratégicos da organização e desenvolver uma rotina de reuniões tanto com o comitê de administração quanto com o comitê de auditoria e com a diretoria", explicou Márcia. "Assim, ele poderá se posicionar em assuntos da companhia e ser consultado antes que novos negócios sejam feitos".

A LGPD como aliada das empresas brasileiras

A LGPD, aprovada em 2018, é a legislação que regula o tratamento de dados pessoais no Brasil, dispostos em meio físico ou digital. Inspirada na General Data Protection Regulation (GDPR) –regulamento do direito europeu sobre privacidade e proteção de dados pessoais– a LGPD estabelece as diretrizes para a coleta, o processamento e o armazenamento desse tipo de informação.

Para Daniel Beltran Motta, a entrada em vigor da LGPD foi essencial para que muitas empresas começassem a se dar conta da importância da segurança da informação: "Com a chegada da lei, houve um aumento da responsabilidade das companhias em relação aos dados corporativos e aos dados de terceiros, controlados por elas". Dessa forma, muitos executivos passaram a investir mais nesse ramo, uma vez que proteger os dados do titular, dos sócios e dos clientes de uma empresa é uma maneira de reduzir riscos corporativos.

O especialista também pontuou que as empresas não precisam necessariamente criar uma nova matriz de gestão de riscos corporativos para se adequarem à LGPD: "Na Eletrobrás, aproveitamos o processo de identificação, gestão e resposta a incidentes que já tínhamos, e o complementamos com treinamentos obrigatórios, palestras e eventos relacionados à privacidade".

Como criar uma cultura de riscos nas empresas

Os especialistas presentes no webinar destacaram, ainda, que as questões de segurança devem ser incorporadas à cultura das empresas, de modo que todos os colaboradores –inclusive os novos– passem por treinamentos que os permitam adotar as melhores práticas e padrões de segurança no dia a dia.

"O desenvolvimento de uma cultura de riscos é um trabalho de médio a longo prazo. É preciso trabalhar para que isso seja realmente introjetado no cotidiano da corporação", afirmou Alexandre Ibrahim. "O que se tem procurado fazer é inserir, no momento da ideação e do desenvolvimento de qualquer projeto, a presença de algum especialista na área de dados, de compliance e de segurança da informação". Dessa forma, as empresas garantem que a segurança e a privacidade serão levadas em consideração nas tomadas de decisões.