A RELEVÂNCIA DA GESTÃO DO RISCO NO PROCESSO DE TRANSIÇÃO DIGITAL

A evolução a que se tem assistido nos últimos anos das plataformas digitais, sobretudo a designada 3ª plataforma (a cloud ou a mobilidade, a agilidade de sistemas e o negócio em rede) aceleraram o processo de transição digital e introduziram uma nova realidade nas organizações públicas e privadas. A utilização do digital deixa de estar circunscrita ao perímetro físico das organizações, passando a existir num vasto conjunto de dispositivos conectados em rede. Com este processo de transição digital os dados e a informação transformam-se na nova matéria-prima da economia digital, fazendo com que as organizações e a administração pública passem a avaliar a informação como ativo intangível, que importa proteger face à vulnerabilidade dos recursos (humanos e tecnológicos) fruto de uma maior exposição intrínseca ao digital e à conectividade dos dispositivos. Os requisitos de segurança, a privacidade e integridade da informação, a conformidade legal e normativa, passam assumir um papel preponderante para as organizações, exigindo maior atenção às novas oportunidades de criação de valor e ao impacto que as ameaças relacionadas com esta nova era digital passaram a representar.

No caso da administração pública, considerando a responsabilidade perante a sociedade e o volume da informação com que trabalha, bem como a sua abrangência e sensibilidade, garantir a sua segurança e integridade assume especial relevância, levando a administração pública a uma alteração de paradigma na forma como trata a informação. Esta deve ser tratada numa perspetiva transversal e integrada, independentemente do serviço, só assim é possível identificar as vulnerabilidades existentes e, consequentemente, definir os controlos necessários à sua minimização. Ora, tudo isto implica uma mudança de paradigma na gestão organizacional, que deve ser assumida através da adoção de um pensamento baseado no risco.

Se pensarmos que o risco é uma ameaça que pode acontecer em qualquer atividade, e que a probabilidade da sua ocorrência conjugada com o respetivo impacto vão determinar a sua gravidade, facilmente se percebe a importância da adoção do pensamento baseado no risco, nesta nova era digital, pois só identificando os riscos é possível definir os controlos necessários à segurança e salvaguarda da informação.

Refira-se, por exemplo, o risco do acesso indevido à informação de que o Município de Guimarães é detentor. Com a transição digital essa informação deixa de estar circunscrita ao espaço físico (edifício) e passa a estar disponível num vasto conjunto de dispositivos conectados em rede (cloud). Reconhecendo esta vulnerabilidade/risco, o Município deve olhar para toda a informação que possui, avaliar que colaboradores têm acesso a essa informação, definir critérios de criticidade da informação e calcular a probabilidade desse acesso indevido acontecer. E acontecendo, qual o impacto vai que ter na organização e na salvaguarda da informação. Perante o nível de risco obtido resultante da conjugação da probabilidade e do impacto, deve-se definir ações de controlo/monitorização que mitiguem esse risco. Uma das ações poderia passar por se promover e fomentar a consciencialização contínua sobre a segurança de informação e pela análise do nível de literacia digital dos colaboradores que, de algum modo, têm acesso à informação de forma a dotá-los de competências para a correta utilização da tecnologia, que permitam a salvaguarda da informação e um correto tratamento dos dados, respeitando assim a privacidade dos seus titulares.

Esta abordagem não é mais do que uma gestão corporativa do ativo Informação, responsabilizando todos os intervenientes no processo. Cada um de nós, no seu dia a dia, passa a ter responsabilidades adicionais na forma como gere e acede à informação, sob pena de colocar em causa a segurança e a integridade da informação organizacional. A consciencialização de todos para comportamentos digitais responsáveis é um dos novos desafios das organizações, pois a adequada preparação de cada um pode ser a proteção de todos.

Sabemos que quase tudo o que pode criar progresso a uma sociedade, por definição, também pode destruí-la e é por isso que temos de associar à transformação digital também alguns padrões morais e éticos que hoje reconhecemos como válidos e que devem ser reforçados junto de todos os que acedem à informação.

A tecnologia é, sem dúvida, o motor que permite a velocidade de tantos avanços, mas tem de ser acompanhada de mecanismos que reforcem a segurança da informação, esta conjugação deve andar lado a lado neste processo de transição digital.

Desenvolver programas de proteção para impedir intrusões, é uma base cada vez mais essencial na atividade das organizações e nas estratégias de transformação digital, no entanto a sua eficácia está dependente de uma correta identificação, avaliação e gestão do risco.

Graça Moura

Chefe da Divisão de Auditoria e Qualidade

Ricardo Machado

Chefe da Divisão de Sistemas Inteligentes e de Informação