CRO da M3Corp indica 7 pontos para avaliar maturidade em cibersegurança nas empresas

*Por Antônio Mocelim

Hoje sobre isso, um conselho para qualquer empresa é “faça uma autoavaliação da sua maturidade em cibersegurança e veja onde você está”. A partir do resultado, é possível definir suas prioridades e metas de melhoria para tomar as medidas necessárias. Afinal, a cibersegurança é um requisito para a transformação e evolução digital, uma tendência irreversível que envolve o uso de tecnologias avançadas para melhorar os processos, os produtos e os serviços das empresas.

Avaliar e melhorar a maturidade em cibersegurança do seu negócio, ter uma visão clara de onde sua empresa está hoje em termos de cibersegurança e o que você pode fazer para alcançar um nível mais elevado de maturidade é essencial. Por isso, como exercício inicial, selecionei sete pontos principais para ajudar qualquer empresa a entender seu nível de amadurecimento em relação à proteção e prevenção contra os cibercriminosos.

Leia também: Gerente de Marketing da TPV Brasil ressalta importância de ferramentas adequadas para home office

Lembrando que a maturidade em cibersegurança é a capacidade de uma organização de prevenir, detectar e responder a ataques cibernéticos de forma eficaz e contínua, usando as melhores práticas, ferramentas e recursos disponíveis. Ela pode ser medida por meio de modelos e frameworks que avaliam diferentes aspectos da segurança cibernética, como governança, estratégia, processos, tecnologia e cultura.

Segundo estudo realizado pela  Associação Brasileira da Distribuição de Tecnologia da Informação (ABRADISTI), com o apoio da empresa de pesquisa IT Data, 44% das empresas que possuem alguma infraestrutura de TI afirmam que seus equipamentos estão defasados. Além disso, 67% dos entrevistados sofreram com algum problema de segurança da informação em 2022, principalmente com ransomware e fraudes de pagamento.

A pesquisa também revelou que o nível de maturidade digital e conhecimento de informática das empresas dobrou em 2023 relação ao período anterior à pandemia. No entanto, ainda foi verificado um nível baixo de conhecimento tecnológico por parte delas. Portanto, as empresas brasileiras devem buscar um alto nível de maturidade em cibersegurança para se protegerem das ameaças cibernéticas e se beneficiarem das oportunidades da transformação digital.

Essas ferramentas e técnicas podem variar em termos de abrangência, complexidade, custo e tempo. Algumas das principais ferramentas e técnicas são:

• O Modelo de Maturidade da Capacidade de Segurança Cibernética (C2M2), que é uma ferramenta desenvolvida pelo setor de energia dos EUA e pelo Departamento de Energia (DOE) para avaliar e melhorar a segurança cibernética.
• A Estrutura de Segurança Cibernética (CSF) do Instituto Nacional de Padrões e Tecnologia (NIST), que é um framework voluntário que fornece orientações para gerenciar riscos cibernéticos.
• O Cyberscore, que é uma avaliação desenvolvida pelo Security Design Lab na França para medir a maturidade das empresas em segurança digital.

Na prática, avaliar a maturidade também pode ajudar as empresas a comparar seu desempenho com outras organizações do mesmo setor ou tamanho, e a demonstrar sua conformidade com normas e regulamentos.

Existem diversas ferramentas e técnicas que podem ser usadas para medir a maturidade em cibersegurança, como modelos, frameworks, questionários, indicadores e auditorias. Sobre os 7 indicadores de maturidade em Cibersegurança que mencionei, podemos considerar os seguintes pontos:

1. Políticas e Procedimentos: São as regras e as orientações que definem como a sua empresa deve gerenciar a segurança cibernética, desde a definição de responsabilidades até a implementação de controles.
2. Conscientização e Treinamento: É o processo de educar e capacitar os seus colaboradores, clientes e parceiros sobre as ameaças cibernéticas e as boas práticas de segurança cibernética.
3. Gestão de Riscos: É identificar, analisar, avaliar e tratar os riscos cibernéticos que podem afetar a sua empresa, considerando o impacto e a probabilidade de cada um.
4. Resposta a Incidentes: Significa detectar, conter, analisar, erradicar e recuperar-se de incidentes cibernéticos que possam comprometer a sua empresa, minimizando os danos e as perdas.
5. Proteção de Dados: É a forma de garantir a confidencialidade, a integridade e a disponibilidade dos dados da sua empresa, protegendo-os contra acessos não autorizados, alterações indevidas ou perdas acidentais.
6. Avaliação Contínua: É o processo de monitorar e medir o desempenho da sua empresa em relação aos objetivos e às metas de segurança cibernética, usando indicadores e métricas relevantes.
7. Melhoria Contínua: Consiste em revisar e atualizar as suas políticas, procedimentos, ferramentas e recursos de segurança cibernética, com base nos resultados das avaliações contínuas e nas lições aprendidas.

As empresas devem estar sempre buscando maneiras de melhorar suas práticas de segurança cibernética com base nos resultados das avaliações contínuas e nas lições aprendidas com incidentes de segurança.

A jornada para a maturidade em cibersegurança é contínua e requer comprometimento e esforço constantes, mas vale a pena estar mais protegido e preparado para enfrentar desafios cibernéticos.

*Por Antônio Mocelim, CRO da M3Corp, uma empresa associada à ABRADISTI – Associação Brasileira da Distribuição de Tecnologia da Informação.

** Os artigos publicados na coluna não refletem necessariamente a opinião da ABRADISTI.