Num paradigma empresarial e corporativo cada vez mais dependente da tecnologia, gerir o risco tecnológico é uma prioridade absoluta para qualquer organização. Com este objetivo, é importante olhar para dois conceitos que se complementam: o Return On Security Investment (ROSI) e o Governance, Risk e Compliance (GRC).
Na PwC, partilhamos consigo a importância de cada um dos conceitos e clarificamos como ambos ajudam as organizações a estar na linha da frente, relativamente à segurança tecnológica, com uma abordagem estratégica e racional em termos de investimento.
ROSI – a importância de medir o ROI no investimento em Segurança de Informação
O ROSI (Retorno sobre Investimento em Segurança) é, essencialmente, uma forma de medir o retorno financeiro do investimento que a organização faz sobre a segurança. É habitual, no sentimento dos decisores, ficar uma sensação de investimento sem retorno, mas na realidade não se trata só de desembolsar dinheiro em tecnologia ou processos. Entender o quanto um incidente (de forma direta ou indireta), seja ele um ataque informático ou uma penalização regulatória, pode custar, é essencial para tomar decisões de forma coerente e justificada. Se for possível estimar a que valor aquele incidente, ou uma coima por incumprimento, pode ascender, fica muito mais fácil quantificar o benefício de evitá-lo ou minimizar o seu impacto.
Uma excelente forma de agir é focar nas medidas que efetivamente reduzem o impacto e o custo de um incidente. Uma boa noção do ROSI vai justificar investimentos que, à partida, podem parecer elevados, uma vez que colocamos “no papel” as consequências reais de não agir. É um conceito que alinha (no que nos concerne) segurança de informação, com a gestão financeira e operacional, garantindo que as decisões são sustentadas numa perspetiva de valor e não apenas de necessidade técnica ou regulatória.
O papel fundamental do GRC e a relação com a Cibersegurança
Num contexto empresarial e regulatório que evolui a velocidades nunca vistas, (especialmente com o grande “push” de legislação como o NIS2 ou o DORA), é importante encarar o risco tecnológico de forma holística. Uma iniciativa sólida de GRC (integração entre Governança, Riscos e Conformidade), permite precisamente isso:
assegurar a existência clara de estruturas de decisão e responsabilidades definidas para a gestão do risco;
identificar e avaliar possíveis eventos que podem afetar a organização, tendo em conta a sua probabilidade de ocorrência e o seu potencial impacto; e
garantir conformidade, tendo em conta que as medidas adotadas cumprem os requisitos legais e normativos aplicáveis.
Esta abordagem integrada traz vários benefícios, ajudando as organizações a:
ter visibilidade sobre a eficácia das atividades de controlo implementadas – dando confiança a todos os stakeholders, quanto à resiliência operacional digital da organização, tendo em consideração os riscos a que estão inerentemente expostos; e
gerir incidentes de segurança – a resposta a esses incidentes e a continuidade de negócio (quando ativada), garantem mecanismos de resiliência que permitam à organização manter as operações críticas para o negócio, mesmo quando o cenário habitual é perturbado.
No fundo, o GRC aplicado com base nas melhores práticas da atualidade, ajuda as organizações a harmonizar o ritmo acelerado da evolução regulamentar e tecnológica. E isso, implica olhar para a cadeia como um todo (processos-sistemas-pessoas-risco de TIC).
NIS2 e/ou DORA – estratégias para ir além da conformidade regulatória e garantir resiliência operacional
Muitos decisores, em organizações abrangidas por legislação como o NIS2 e/ou o DORA, tendem a encarar os processos de avaliação de conformidade e respetivas implementações que advêm de obrigatoriedades regulamentares, como meros entraves burocráticos ou um peso extra para as operações diárias. É comum ver estes requisitos como obrigações que atrasam ou complicam a atividade, em vez de oportunidades de melhoria.
Contudo, a realidade é diferente. Cumprir estas legislações de cibersegurança traz um valor significativo, pois fortalece a resiliência digital da organização, ao ajudar a antecipar e mitigar riscos que podem causar impactos gravíssimos. Estes riscos vão muito para lá de multas ou sanções. Incluem potenciais consequências financeiras diretas, danos à reputação da organização, perda de confiança por parte dos clientes e parceiros, períodos prolongados de indisponibilidade dos sistemas críticos e até impactos legais.
Assim, a conformidade com legislação como o NIS2 e o DORA, deve ser vista como uma oportunidade de reforçar a segurança, a continuidade do negócio e a confiança junto de todos os stakeholders. Encarar a conformidade desta forma contribui para transformar obrigações regulatórias em vantagens competitivas, habilitando as organizações para um ambiente tecnológico cada vez mais exigente e incerto.
A integração do ROSI e GRC é fundamental para organizações que querem prosperar num cenário digital complexo e regulado
Ao analisar as métricas de retorno (ROSI), é possível justificar investimentos em segurança com base em valor real, enquanto a interligação entre Governança, Riscos e Conformidade (GRC) assegura uma estratégia robusta e eficaz, cumprindo a conformidade com normas como a NIS2 e o DORA.
Esta combinação não só reduz vulnerabilidades e custos associados a incidentes de segurança digital, como também fortalece a resiliência operacional e a confiança dos stakeholders. Isto significa que ROSI e GRC transformam obrigações regulatórias em vantagem competitiva e garante continuidade de negócio num ambiente tecnológico cada vez mais exigente.
__
Marcelo Ferreira Rodrigues
Cybersecurity & Privacy Lead Partner, PwC Portugal
Artur Sampaio Veloso
Cybersecurity & Privacy Senior Associate, PwC Portugal
Fortaleça a segurança da sua organização
Explore as nossas soluções de cibersegurança e garanta a proteção dos seus dados, sistemas e processos com um ambiente digital seguro.
Contacte-nos
