No mercado angolano, tem-se verificado que a maioria das organizações, apesar de estar sensível para as principais vulnerabilidades de cibersegurança, ainda não têm implementados mecanicismos de controlo robustos de mitigação dos diversos riscos cibernéticos.

 Actualmente, as organizações têm elevado volume de dados financeiros e de negócio (fornecedores, clientes, parceiros de negócios e outros) disponíveis nos seus sistemas de Tecnologias de Informação (TI), que se encontram, muitas vezes, vulneráveis e expostos a diversos riscos cibernéticos.

No mercado angolano, tem-se verificado que a maioria das organizações, apesar de estar sensível para as principais vulnerabilidades de cibersegurança, ainda não têm implementados mecanicismos de controlo robustos de mitigação dos diversos riscos cibernéticos. Esta situação deve ser encarada pela Gestão Executiva como uma preocupação transversal a toda a organização e não somente das Direcções de Sistemas de Informação, visto que os riscos cibernéticos, tal como outros, representam uma ameaça que, no limite, pode colocar em causa a viabilidade da organização, incluindo distorção relevante das demonstrações financeiras.

Nesta óptica, a EY Angola considera fundamental incorporar no seu processo de auditoria financeira, nomeadamente nos clientes com maior nível de exposição, a avaliação de maturidade de cibersegurança com o objectivo de avaliar a sua exposição aos riscos e ameaças cibernéticas, a maturidade dos mecanismos de gestão de risco implementados pela Gestão, e, em caso de ataques cibernéticos, analisar os principais impactos (ex: perda de dados e indisponibilidade de sistemas críticos do negócio) e como este foi remediado e comunicado às entidades relevantes.

Com base na nossa experiência, destacamos os cincos principais pontos de melhoria que as organizações em Angola devem implementar:

(i) elaborar políticas de segurança de informação e de cibersegurança;

(ii) contemplar os riscos cibernéticos na gestão de riscos da organização;

(iii) criar um comité cibersegurança;

(iv) elaborar programas de sensibilização, acções de consciencialização e realizar formações de temas relacionados com cibersegurança periodicamente; e

(v) implementar ferramentas de detecção de ameaças e vulnerabilidades.

 Apesar de actualmente a maioria organizações angolanas não apresentar um nível de maturidade de cibersegurança robusto comparativamente a outras geografias, denotamos uma preocupação crescente por parte das Gestões Executivas para esta temática. A capacidade de tradução de “preocupação” em “acção”será factor crítico para que as organizações angolanas alcancem um nível de maturidade na gestão dos riscos cibernéticos alinhado com as práticas de referência internacionais.