Hoje em dia, as empresas enfrentam a necessidade de melhorar os seus níveis de segurança, contendo, ao mesmo tempo, os seus custos. É também essencial criar valor, através de sistemas de informação, para os seus clientes e com base em processos empresariais eficientes.
O IMI (International Maritime Industries), no Reino da Arábia Saudita, é consciente dos desafios atuais relacionados com o novo paradigma das Tecnologias da Informação (TI), sendo de especial relevância a necessidade de implementar uma política de Gestão Integrada de Riscos. É por esta razão que o IMI selecionou o Grupo SATEC, através da sua filial na Arábia, como parceiro para levar a cabo um projeto de conceção e definição de todos os mecanismos necessários para estabelecer os processos de governação, gestão de risco e conformidade regulamentar para as suas TI.
O Contexto
O IMI é visto como o maior estaleiro de serviços marítimos do Reino da Arábia Saudita e um motor para o desenvolvimento de uma nova indústria marítima na região. Visa construir e operar as maiores instalações de serviços marítimos integrados no Médio Oriente e Norte de África, oferecendo soluções competitivas, seguras e de alta qualidade aos clientes de navios e plataformas em todo o mundo.
O estaleiro do IMI tem quatro zonas:
- Zona A: oferece serviços de construção, manutenção, reparação e revisão (MRO, pela sua sigla em inglês) para navios comerciais; incluídos os grandes petroleiros, os graneleiros, os navios de apoio em alto-mar e as plataformas;
- Zona B: dedicada à construção de navios de apoio em alto-mar;
- Zona C: a maior, onde se levam a cabo atividades de nova construção de navios comerciais;
- Zona D: dedicada à construção de plataformas marítimas e barcos elevadores ou barcaças.
As tecnologias de ponta como a inteligência artificial, biometria e a Internet das Coisas estão integradas na infraestrutura do estaleiro, dando aos clientes uma vantagem vanguardista para uma era de digitalização.
O desafio da segurança
Adaptar as TI ao negócio é um mantra bem conhecido por qualquer empresa. Dentro dos fatores de sucesso há três medidas-chave que merecem ser destacadas:
- Definição de um processo de gestão de riscos;
- Alinhamento com os riscos das TI com os riscos empresariais;
- Rastreabilidade comparável, mensurável e garantida.
Com base em normas e regulamentações internacionais reconhecidas, como a ISO 31000, as principais considerações para alcançar este alinhamento entre as empresas e as TI, partindo de uma compreensão da organização e do contexto, incluem:
- Estabelecimento de uma política de gestão de riscos adequada;
- Integração da TI nos processos da empresa;
- Atribuição de perfis e responsabilidades;
- Estabelecimento de mecanismos de comunicação interna e externa, e apresentação de relatórios.
Por um lado, o IMI deu-se conta da necessidade de criar um programa global de segurança, consistente no desenvolvimento e aplicação de processos, tecnologias e procedimentos.
Por outro lado, SATEC, consciente da habitual escassez de recursos próprios nas empresas no âmbito da segurança, adapta sempre as suas propostas à realidade dos clientes e estabelece como prioritária a necessidade de contar com um Sistema robusto de Gestão da Segurança da Informação. Como parte deste Sistema, SATEC implementará um processo de análise de riscos no qual se decide que atividades e ativos são os mais importantes para a empresa e, como tal, aqueles nos quais se deve centrar o investimento.
Avaliação da maturidade da cibersegurança
A primeira fase realizada no projeto foi uma avaliação da maturidade da cibersegurança, que envolve a análise da forma como o IMI está a gerir a sua cibersegurança, em comparação com os padrões de referência das melhores práticas do setor.
Neste caso, a SATEC aplicou como referência o Cybersecurity Framework (CSF) fornecido pelo NIST (National Institute of Standards and Technology – USA). Este quadro está subdividido em várias funções que a empresa, neste caso o IMI, deve desenvolver em relação à cibersegurança:
- Identificar: entender a organização para gerir os riscos da cibersegurança em sistemas, ativos, dados e capacidades;
- Proteger: implementar a proteção adequada para garantir a segurança da empresa;
- Detectar: implementar as atividades necessárias para detectar um ataque à segurança da empresa;
- Responder: desenvolver as atividades necessárias para ser capaz de responder a um ataque à segurança;
- Recuperar: desenvolver as atividades necessárias para ser capaz de recuperar o estado normal da empresa depois de ter sofrido um ataque de segurança.
Enquadramento da Governança de TI
Como parte de la estrategia del proyecto, Satec también ha proporcionado una guía para la implementación de un marco de gobierno de los sistemas de información y sus procesos asociados, basado en el estándar internacional COBIT 2019 desarrollado por ISACA.
COBIT es una guía de buenas prácticas presentada como marco de trabajo, orientada al control y la supervisión de la TI que proporciona una serie de recursos que pueden servir como modelo de referencia para su gestión. En ella se incluye un resumen ejecutivo, un marco de trabajo, los objetivos de control, los mapas de auditoría, las herramientas para la implementación y, principalmente, una guía de técnicas de gestión.
Para el IMI, Satec ha entregado un mapa de procesos adaptado a sus necesidades y, para cada objetivo de control, una definición y guía del proceso, una matriz de funciones y responsabilidades y una guía de sus componentes.
A alto nivel, los objetivos de la gestión de COBIT se agrupan en 4 dominios:
- Alinear, Planificar y Organizar: se dirigen a toda la organización, su estrategia y el resto de las actividades que dan soporte a la TI.
- Construir, Adquirir e Implementar: se ocupa de la definición, adquisición e implementación de las soluciones informáticas junto con su integración en los procesos de negocio.
- Entregar, Dar servicio y Apoyar: se encarga de la entrega y el apoyo de los servicios de las TI, incluida la seguridad.
- Supervisar, Evaluar y Valorar: aborda la supervisión del rendimiento de la tecnología de la información y el cumplimiento de sus objetivos internos y externos.
Avaliação de riscos
A última fase do projeto para o IMI consistiu em elaborar uma análise de riscos e posterior avaliação do Centro de Operações de Segurança (SOC).
Normalmente, é comum implementar demasiada segurança, pouca segurança ou controlos de segurança incorretos, resultando em custos excessivos no processo, sem alcançar os resultados desejados. As avaliações de risco ajudam as empresas a dar prioridade aos seus riscos e a mostrar à gestão a quantidade óptima de recursos a considerar, a fim de proteger eficazmente a empresa contra esses riscos.
A avaliação de riscos identifica vulnerabilidades e ameaças e analisa potenciais impactos para determinar onde os controlos e medidas de segurança devem ser implementados numa organização. O objetivo da avaliação de risco é implementar estas medidas da forma mais rentável, adequada e oportuna possível para o IMI. Para o efeito, a SATEC teve em conta as seguintes atividades durante o processo de avaliação de risco:
- Identificação dos ativos e do seu valor para a organização;
- Determinação da probabilidade de que uma ameaça aproveite uma vulnerabilidade;
- Determinação do impacto empresarial destas possíveis ameaças;
- Realização de um equilíbrio económico entre o impacto das ameaças e o custo da medida de segurança a implantar, para assim a contrariar.
Na sequência da análise de risco, foi efetuada uma avaliação do estado atual do SOC do IMI para determinar se os seus processos, tecnologia e pessoal atuais são adequados para satisfazer as suas necessidades e, caso contrário, para fazer as recomendações apropriadas.
Se você deseja saber mais sobre nossos serviços, não hesite em nos contatar.