Nos dias atuais, é notável o aumento do volume de dados disponíveis nas empresas. Segundo a IBM, o mundo gera cerca de 2,5 quintilhões de dados, tendo sido 90% destes gerados nos últimos três anos. Porém, os dados por si só não são suficientes para gerar inteligência para os negócios. É crucial estabelecer uma governança adequada para garantir que os dados estejam disponíveis, integrados e, principalmente, seguros.
A segurança dos dados, por sua vez, deve ter atenção especial, pois basta uma “brecha” para prejudicar o sucesso dos negócios de forma fatal. Uma pesquisa do American Institute of Certified Public Accountants (AICPA), que compara o volume e a complexidade dos riscos de segurança ao longo dos anos, indica no estudo mais recente que 6 em cada 10 empresas afirmam que houve um aumento expressivo dos mesmos.
Neste sentido, como consequência surgem os crimes cibernéticos que, apenas no estado de São Paulo, cresceram 144% em 2022, segundo dados da Secretaria da Segurança Pública (SSP). Tais informações reforçam a preocupação crescente com os perigos, especialmente tecnológicos, que uma empresa pode enfrentar. Por isso, conhecer os tipos de riscos e formas de mitigá-los é essencial.
Os tipos de riscos para uma empresa
O risco é uma combinação entre a probabilidade de ocorrência de um determinado evento e dos impactos – positivos ou negativos – que ele pode gerar. Infelizmente, em muitos casos, os riscos permanecem ocultos e desconhecidos, o que leva algumas empresas a negligenciarem fatores críticos.
Atualmente, os riscos de segurança mais comuns são: Risco de Conformidade, que se refere à violação de leis, regulamentos e padrões externos ou internos, como a LGPD; Risco Legal, que representa uma forma específica de risco de conformidade, ocorrendo quando uma organização não cumpre as regras estabelecidas pelo governo para empresas; e Risco Estratégico, que surge como resultado de uma estratégia de negócios defeituosa ou da falta de planejamento estratégico adequado.
Além disso, há também o Risco de Reputação, que abrange corrupção e violações éticas, impactando negativamente a posição da empresa, bem como a opinião pública sobre ela. E por fim, o Risco Operacional está relacionado às atividades diárias de uma companhia, como o direito à privacidade, vazamento de informações, invasões de sistemas, fraudes, entre outras situações.
Apesar de tipos distintos, os perigos se complementam e geram consequências negativas aos negócios, como oscilação no lucro, reputação abalada, perda de controle dos sistemas ou dados, danos na infraestrutura e quebra do SLA. Nestes casos, a mitigação de riscos oferece técnicas que reduzem seus níveis a um patamar tolerável para o negócio.
Técnicas para mitigação de risco
A gestão da segurança, que abrange identificação de riscos, implementação de controles, monitoramento e gerenciamento de incidentes, é uma das principais ações que uma empresa deve tomar para garantir uma mitigação de risco eficaz, a fim de estar em compliance com a Norma ISO 27001 (padrão para sistema de gestão da segurança da informação), e com a Lei Geral de Proteção de Dados Pessoais (LGPD), assegurando a conformidade e segurança das informações.
As principais técnicas a serem aplicadas pela gestão da segurança das organizações atualmente são, em primeiro lugar, o treinamento e conscientização dos colaboradores, conhecidos como grandes portas de entrada vulneráveis para invasões e vazamento de dados.
Outras técnicas, tão importantes quanto, são varreduras de vulnerabilidade das plataformas, testes constantes de phishing, segurança dos endpoints – como controle de acessos tecnológicos e uso cauteloso de pen-drives – e a governança corporativa, que expõe uma visão do perigo e auxilia na expansão da maturidade organizacional e tecnológica.
Por fim, apostar em um processo de gestão de incidente, que percorre desde seu registro, até a comunicação com o cliente, é imprescindível para entender os impactos e as formas de conduzir qualquer situação de perigo, consolidando a mitigação de riscos de segurança na empresa e contribuindo para maior ganho de confiabilidade e escalabilidade dos negócios.
*Por Cristiane Santos é Head de Governança de TI da Sky.One
