A consultora EY, líder global em auditoria, assessoria fiscal, assessoria de transacções e assessoria de gestão, realizou a vigésima segunda edição do EY Global Information Security Survey (GISS) no final de 2019, onde sondou líderes de 1300 organizações de vários países, nomeadamente Angola.
Na presente edição do GISS, a EY preparou, exclusivamente, um relatório específico nacional, onde é possível encontrar o estado actual da situação da cibersegurança no país, assim como os desafios que os líderes das Organizações enfrentam actualmente. O certo é que, apesar do crescimento generalizado de ciberataques, apenas um terço das organizações nacionais, afirmam que a função de cibersegurança é parte activa nas fases de planeamento de uma nova iniciativa de negócio.
Note-se que quase 50% das Organizações enfrentaram um número crescente de ataques disruptivos nos últimos 12 meses, nos quais 16% dos ataques de cibersegurança, bem-sucedidos, foram feitos por activistas, e 19% por agentes maliciosos internos.
Figura 1: Responsáveis pelos incidentes SI em Angola (Fonte: EY GISS 2020)
O especialista EY da vasta área de cibersegurança, Sérgio Martins, alerta: “Acreditamos que, nos próximos meses, os grupos activistas vão aumentar os ataques, em função da reacção das organizações à pandemia do COVID-19.” No entanto, e apesar do risco acrescido, apenas 33% das iniciativas de negócio suportadas por tecnologias, afirmaram incluir as equipas de segurança desde o início dos projectos.
Figura 2: Intervenção das equipas de cibersegurança nas novas iniciativas de negócio (Fonte: GISS 2020)
Perante o cenário, o especialista da EY garante que o modelo usado pela maioria não é sustentável: “A cibersegurança, tradicionalmente, tem sido uma actividade dirigida à conformidade, executada recorrendo a abordagens de checklist, ao invés de ser incorporada de raiz nas iniciativas suportadas por tecnologias. Este não é um modelo sustentável. Se alguma vez esperamos antecipar-nos à ameaça, teremos de nos focar na criação de uma cultura de security by design”. Sérgio Martins afirma que esta solução só pode ser concretizada se “conseguirmos superar a divisão existente entre as funções de cibersegurança e as funções de negócio, assim como permitir que o Chief Information Security Officer (CISO) actue como consultor e facilitador, e não como um obstáculo estereotipado”, conclui.
De acordo com este estudo, as equipas de cibersegurança das organizações nacionais, têm boas relações com as funções adjacentes, tais como IT, auditoria, risco e jurídica, sendo que existe uma desconexão latente com outras áreas de negócio. Vejamos que quase três quartos (71%) das empresas, afirmam que a relação entre a cibersegurança e o marketing é, no melhor dos casos, escassa, se não inexistente, enquanto que 86% relatam uma relação neutra. E mais de metade (67%) apontam relações tensas com o departamento financeiro, do qual dependem, naturalmente, para autorização de orçamento.
Em jeito de conclusão do estudo, os especialistas EY aconselham que “a relação de confiança entre departamentos, deve ser contruída, de forma transversal, durante o processo de transformação digital das empresas”. Este trabalho deve começar ao nível da gestão de topo, tudo para que a cibersegurança seja instituída como um activador chave de valor acrescentado. Na presente senda, Sérgio Martins acrescenta que “a gestão de topo, as direcções, os CISOs e líderes da organização, devem colaborar para posicionar a cibersegurança no centro da transformação e inovação dos negócios”, tendo sempre presente que, perante a pandemia, esta colaboração é ainda mais sensível, uma vez que “estamos a viver uma grande e forte aceleração da digitalização das empresas, assim como uma activa adaptação a novos métodos de trabalho, nomeadamente o teletrabalho, que arcam riscos acrescidos”, termina.
