Governance digital: que lições para segurança informática?

Artigos Notícias
  1. Em comunicado datado de 21 de Junho, o Instituto das Telecomunicações (INACOM) e a UNITEL (empresa angolana de telefonia móvel) deram a conhecer que as operadoras móveis angolanas tinham sofrido um ataque informático, conhecido como “toque e foge”, que se caracteriza como uma fraude económica e que visa atrair os utilizadores a retornar a chamada de telefone, com o objectivo de arrecadar receitas pelas chamadas internacionais.
  2. Ao lado deste, em Janeiro de 2020, a Sonangol EP (empresa petrolífera angolana) foi vítima de mais um ataque informático que destruiu e/ou fomentou o desaparecimento de alguns dos seus documentos internos, nomeadamente, informação financeira e contabilística que, em grande parte, não estava alojada em servidores nem em sistemas de armazenamento secundários (backups).
  3. Situação semelhante foi regista ainda em Maio deste ano, em 2020, com a companhia aérea britânica low cost, EasyJet, que teve um ataque informático no qual resultou na exposição de informação de nove milhões dos seus clientes, incluindo dados de cartões de crédito de parte deles. No mesmo sentido, a Zoom, plataforma de interacção digital e uma das empresas que mais se valorizou neste período de pandemia do Covid-19, debateu-se com o espetro de ser pouco segura e teve de investir em actualizações dos padrões de segurança para manter a sua valorização meteórica.
  4. Ao lado dos ataques, encontramos ainda outras situações de ameaça de segurança informática, por exemplo, as fraudes informáticas, as acções de espionagem e, apesar de serem actos não digitais, mas ainda assim relevantes, o vandalismo, incêndios, interrupção da fonte de energia eléctrica e falhas humanas.
  5. Estes perigos, que podem comprometer o futuro de qualquer organização empresarial, nos colocam diante de uma questão de governação corporativa, na medida em que as tecnologias de informação e comunicação (TIC´s) são ferramentas fundamentais para que as empresas consigam realizar os seus objectivos e, sobretudo, conquistar novos mercados e clientes, bem como aumentar a sua produtividade e eficiência.
  6. Sendo o governance um sistema de conciliação dos diversos interesses que gravitam em torno de uma empresa, devendo atender ao conjunto de regras, princípios e práticas relativas ao modo como estas são geridas, organizadas e controladas, o aumento crescente da inter-conectividade no ambiente de negócios e a dependência cada vez maior das TICs, faz da gestão da segurança informática uma verdadeira ferramenta de g
  7. E é precisamente nesse âmbito – da organização e controlo – que se coloca o desafio do governance digital e da cibersegurança, residindo o ponto de convergência no facto de que a ausência de um sistema eficiente de proteção contra ataques informáticos e gestão de informação, em caso de perda, roubo ou ataque, pode acarretar enormes prejuízos financeiros ou até mesmo a descontinuidade do negócio e, consequentemente, o colapso de qualquer empresa.
  8. Para o efeito, enquanto mecanismo de controlo e boas práticas de governação corporativa e no âmbito da adopção das medidas de segurança previstas na Lei n.º 7/17, de 16 de Fevereiro, sobre a protecção das redes e sistemas informáticos, as empresas devem implementar uma estratégia de gestão e de segurança informática capaz de proteger não só o seu negócio, mas também os dados dos seus clientes e todos os seus stakehoders.
  9. Nesta linha, o Banco Nacional de Angola, por meio do seu Aviso n.º 8/2020, de 02 de Abril, estabeleceu a obrigatoriedade de definição de uma política e procedimentos semelhantes, adequada aos padrões internacionais e definidos pelo International Organization for Standardization (ISO), concretamente pelas normas ISO 27035 e ISO 27001, relativas à gestão de segurança de informação, bem como a adopção de um plano de acção de resposta a incidentes e a observação de critérios rigorosos para contratação de computação em nuvem, que garantam que a instituição nunca perca o controlo sobre os dados.
  10. Vários são os métodos que têm sido utilizados para este efeito, por exemplo, para além do uso de passwords de acesso e firewall com prevenção contra ameaças à rede, software antivírus, anti-spam e anti-phishing, as boas práticas de corporate governance orientam que as empresas devem definir uma política de segurança constituída por normas e procedimentos claros que deverão ser seguidos por todos os usuários da empresa.
  11. A política de segurança deve impor a adopção de um conjunto de práticas, por exemplo, (i) fazer backups de todos os dados; (ii) instalação de alertas para possíveis irregularidades; (iii) programa de educação dos trabalhadores e demais stakehoders para que estejam comprometidos com a segurança informática da empresa; (iv) utilização de um sistema de criptografia e VPN (Virtual Private Network), com base nos quais se protegem os dados dos computadores e telemóveis da empresa que, eventualmente, possam ser roubados ou se percam.
Leonildo Manuel & Desidério Albano