5 dicas da Gartner para equilibrar a segurança e os objetivos comerciais
Atualmente, a cibersegurança é mais do que uma questão técnica. Tornou-se um elemento estratégico para as empresas. No entanto, encontrar o equilíbrio certo entre a proteção dos dados e a sua utilização para atingir os objetivos comerciais continua a ser um desafio significativo.
De acordo com a Gartner, apenas 14% dos líderes de segurança e gestão de riscos conseguem atingir este equilíbrio. Cerca de 35% das empresas concentram-se na proteção dos seus ativos de dados e 21% utilizam-nos para fazer avançar o seu negócio. Esta disparidade realça uma questão preocupante: a maioria das organizações não consegue extrair valor dos seus dados sem comprometer a segurança. As empresas que se concentram apenas na proteção de dados correm o risco de se tornarem rígidas e menos competitivas, uma vez que a limitação do acesso pode dificultar a inovação e atrasar a tomada de decisões. Por outro lado, as organizações que dão prioridade à utilização de dados sem implementar controlos adequados expõem-se a riscos críticos, como violações de dados, danos à reputação e sanções regulamentares.
É crucial encarar a cibersegurança como um facilitador da estratégia empresarial e não como um obstáculo. Esta abordagem permite que uma empresa aproveite o valor dos seus dados, mantendo-se protegida e preparada para o futuro. Ou seja, significa integrar a segurança nos objetivos empresariais desde o início.
Tendo isto em conta, a Gartner oferece 5 recomendações para alcançar o equilíbrio, assegurando a proteção dos dados e promovendo a inovação:
1. Reduzir o atrito na governação de dados
Isto envolve o estabelecimento de processos co-criados para políticas e normas de segurança de dados, envolvendo vários departamentos, garantindo que as políticas são práticas, compreensíveis e que estão alinhadas com as necessidades da empresa. Ao reduzir o atrito, as organizações podem adotar uma abordagem de tomada de decisões proativa e colaborativa que mantém os objetivos comerciais em foco.
2. Alinhar a governação com a segurança de dados
Enquanto a segurança dos dados protege contra o acesso, utilização, modificação ou divulgação não autorizados, a governação assegura o armazenamento, acesso e utilização adequados. O alinhamento dos dois requer uma colaboração estreita entre as equipas de cibersegurança e as unidades empresariais, identificando sobreposições e vulnerabilidades que podem passar despercebidas se as equipas trabalharem isoladamente.
3. Definir requisitos de segurança não negociáveis
Definir os requisitos de segurança não negociáveis significa identificar as medidas essenciais que devem ser sempre cumpridas para garantir a proteção dos dados e a continuidade operacional. Estes requisitos incluem a confidencialidade e a disponibilidade dos dados, assegurando que a informação só é acessível aos profissionais autorizados, não podendo ser modificada sem consentimento e estando sempre disponível quando necessário. Isto minimiza o risco de violações e penalizações, enquanto garante a conformidade regulamentar e a estabilidade do negócio.
4. Definir limites para a utilização da IA generativa
A integração de novas tecnologias, como a IA generativa, apresenta desafios de segurança. Para equilibrar a inovação com a proteção de dados, é essencial definir previamente parâmetros claros.
Estes limites incluem a monitorização dos resultados gerados peor IA, a criação de políticas que proíbam a utilização de dados sensíveis em plataformas de IA, sem recorrer à encriptação ou anonimização, a utilização responsável de modelos internos, a prevenção de preconceitos e desinformação e a proteção contra fugas e ataques.
Uma vez implementada esta estratégia, a utilização de tecnologias que melhorem a segurança dos dados sensíveis nos dispositivos pode ajudar a manter o controlo e a proteção em todos os momentos. Estas soluções permitem uma gestão de riscos mais eficiente sem comprometer a integridade ou o valor dos dados.
5. Promover a colaboração com equipas de análise de dados externas
A segurança dos dados não pode ser da responsabilidade exclusiva da equipa de cibersegurança. Os departamentos que trabalham diretamente com os dados devem ser envolvidos em todo o processo, uma vez que isso integra as políticas de segurança nas operações diárias.
Equilibrar a segurança dos dados com os objetivos empresariais é difícil, mas integrar a cibersegurança como um facilitador estratégico é crucial para proporcionar uma proteção sólida sem comprometer a agilidade empresarial a longo prazo.
