Com o fim de 2022 se aproximando, é natural que comecemos a refletir sobre o que aconteceu no ano e a planejar o que vem pela frente. E uma das formas de fazer isso é analisando as tendências que estão surgindo e que devem continuar a influenciar o mundo nos próximos meses, especialmente no que diz respeito à gestão de riscos, segurança cibernética e privacidade.
Foi um ano desafiador para muitas pessoas e empresas, ainda com as incertezas sobre a pandemia de COVID-19, o aumento da digitalização e dependência da tecnologia e, consequentemente, a exposição a ameaças cibernéticas e novas preocupações de segurança.
Lembrar que o futuro é sempre incerto e é preciso então estar preparado para enfrentar desafios e aproveitar as oportunidades que surgem.
Assim, adotar uma abordagem de gestão de riscos pode ajudar a uma melhor tomada de decisão para proteger a empresa contra ameaças e garantir que estejamos preparados para lidar com os problemas que podem surgir no futuro.
No ano passado, sobre este tema, realizamos uma Live onde arrisquei 31 previsões (em referência a ISO 31000), sendo que a maior parte delas se concretizou, como por exemplo o aumento dos ataques cibernéticos como ransomware e phishing, a migração de sistemas para o ambiente de nuvem, o surgimento de novas leis e regulamentações, o aumento de soluções para proteger a identidade dos usuários, maior aplicação da inteligência artificial e ferramentas automatizadas, integração da segurança da informação com privacidade, adoção da gestão quantitativa de riscos (cyber risk quantification), dentre outros.
Para este ano, as tendências apontam na mesma direção com ênfase na adoção do que a ISO chama de "mentalidade de risco" (risk-based thinking), uma abordagem que consiste em considerar os riscos como parte de todas as atividades de uma organização e gerenciá-los de maneira proativa. Envolve avaliar o que pode dar errado em um determinado processo ou atividade, determinar a probabilidade e impacto da ocorrência de um evento indesejável e definir ações e controles para tratamento.
A abordagem baseada em riscos vem sendo aplicada em várias áreas, as versões mais recentes da ISO 9001 e 14001 orientam que as organizações usem esta mentalidade para gerenciar vários processos incluindo áreas como qualidade, compliance, segurança, saúde e meio ambiente.
Uma referência importante é o Relatório de Riscos Globais do Fórum Econômico Mundial, que este ano de 2022, em sua 17a edição, atualizou os principais riscos econômicos, sociais, ambientais e tecnológicos, a partir de uma Pesquisa de Percepção de Riscos Globais.
Riscos tecnológicos são apontados como relevantes para os próximos anos, com destaque para a desigualdade digital, a crescente dependência e adoção de novas tecnologias, com o aumento das ameaças cibernéticas e fraudes, devido a falhas em sistemas de segurança e proteção da infraestrutura crítica digital. O estudo aponta ainda Falha na Governança Tecnológica com a falta de estruturas, instituições ou regulamentações globalmente aceitas para o uso de redes e tecnologias digitais críticas, como resultado de diferentes países ou grupos que adotam infraestrutura, protocolos e padrões digitais incompatíveis.
Para apoiar nesta padronização relativa a gestão de riscos, o Comitê Técnico da ISO/TC-262 - Risk Management vem trabalhando no desenvolvimento de normas e documentos complementares a ISO 31000, como o ISO 31000 - A practical guide, com orientações práticas para auxiliar as organizações sobre como integrar uma estrutura eficaz de tomada de decisão em sua governança, liderança e cultura por meio do uso da ISO 31000.
No Brasil, o ISO 31000 - A practical guide já foi traduzido para português e deve ser lançado pela ABNT no início de 2023.
Quanto a Segurança da Informação, tivemos recentemente o lançamento das versões atualizadas da ISO/IEC 27001 e ISO/IEC 27002 em substituição aos documentos de 2013. Publicada também a ISO/IEC 27005, que trata especificamente de gestão de riscos de segurança da informação.
O Grupo de Trabalho da ABNT já traduziu também a nova versão da 27005, que deve ser publicada em Consulta Nacional em fevereiro/março.
Para a privacidade e tratamento de dados pessoais, a ISO trabalha na atualização da ISO/IEC 27701 - Privacidade da Informação. Em breve o CIS (Center for Internet Security) deve publicar um anexo específico para o seu Privacy Guide, sobre as implicações de privacidade na implementação dos Controles Críticos, considerando os princípios da LGPD - Lei Geral de Proteção de Dados Pessoais.
Esperamos também para o próximo ano que a ANPD continue com o excelente trabalho que vem realizando com publicações que educam, orientam e conscientizam as empresas sobre o atendimento da LGPD.
Finalmente, em termos de novas leis e regulamentações, o Conselho Europeu adotou recentemente o DORA (Digital Operational Resilience Act) que estabelece requisitos para que entidades financeiras, tais como bancos, companhias de seguros e empresas de investimento reforcem sua segurança digital, mantendo-se resilientes frente a ataques em grande escala ou perturbações operacionais graves ao setor financeiro europeu.
Quem sabe este documento pode inspirar novas leis e regulamentações semelhantes para garantir a resiliência digital também das empresas aqui no Brasil?
Ao longo do ano estaremos atualizando estas informações e tendências em outros artigos, e desejamos a todos Boas Festas e um 2023 próspero e seguro.
Abraços,
