Como os conselheiros corporativos podem fortalecer a segurança cibernética?

Gestão

Como os conselheiros corporativos podem fortalecer a segurança cibernética?

novembro, 2024‎ ‎ ‎ |

‎Por Glauco Sampaio

A segurança cibernética é um dos tópicos mais críticos para empresas de todos os tamanhos, especialmente em um contexto onde ataques digitais estão cada vez mais sofisticados e frequentes. No entanto, garantir uma postura de segurança robusta vai além das operações de TI. É uma questão estratégica que demanda atenção e envolvimento direto do conselho de administração, responsável por alinhar a segurança digital aos objetivos de longo prazo da organização.

“Os conselheiros precisam, além de apoiar as iniciativas de segurança da empresa, se preparar para fazer as perguntas corretas ao CISO durante as apresentações” explica Glauco Sampaio.

Segurança cibernética como responsabilidade estratégica

A segurança cibernética não é mais apenas uma questão técnica; trata-se de uma responsabilidade estratégica. De acordo com um estudo da PwC, a segurança cibernética é destacada como uma das principais preocupações dos executivos, especialmente em grandes empresas. Mais de 75% dos executivos globais consideram necessário o fortalecimento da transparência e o preparo em segurança cibernética para proteger a continuidade dos negócios. Adicionalmente, o relatório indica que há grande preocupação com a resiliência cibernética em setores estratégicos e nos conselhos executivos, onde o gerenciamento de incidentes cibernéticos tornou-se prioridade. Esse número reflete a crescente conscientização dos conselheiros de que ataques cibernéticos podem causar danos significativos, não apenas financeiros, mas também à reputação da marca e à confiança de stakeholders.

Para muitos conselheiros, a segurança cibernética está no mesmo nível de importância que outras responsabilidades corporativas, como a governança e a conformidade. Eles reconhecem que uma falha de segurança não impacta apenas a operação, mas pode desestruturar a confiança de investidores e consumidores. Assim, o conselho deve garantir que a segurança cibernética faça parte do planejamento estratégico da empresa, com objetivos e investimentos claros e mensuráveis.

O papel do conselho na segurança cibernética

Os conselheiros têm um papel fundamental em garantir que a empresa tenha uma estratégia robusta para gerenciar riscos cibernéticos. Embora muitos não tenham expertise técnica, eles podem atuar de forma estratégica, questionando, aprovando e monitorando políticas de segurança. Essa supervisão exige que os conselheiros compreendam o básico das ameaças cibernéticas, bem como os processos implementados pela empresa para mitigá-las.

Algumas ações práticas incluem exigir relatórios regulares sobre o estado de segurança da informação, não apenas sobre incidentes, mas também sobre as métricas de desempenho e os investimentos realizados. Participar de discussões sobre incidentes críticos; A gestão de crises cibernéticas deve contar com o apoio e o acompanhamento do conselho para decisões rápidas e acertadas. E garantir treinamentos regulares, pois um conselho bem informado e educado sobre cibersegurança é um conselho mais apto a apoiar a tomada de decisões sobre o tema.

A avaliação de riscos cibernéticos pelo conselho

O primeiro passo para um conselho efetivo na segurança cibernética é compreender e avaliar os riscos aos quais a empresa está exposta. Mas essa não é uma tarefa simples. A natureza mutável das ameaças, como ataques de ransomware, engenharia social e vulnerabilidades em cadeias de suprimentos digitais, significa que o ambiente de risco está em constante evolução.

A maioria dos conselheiros reconhece a importância de entender o contexto específico de sua organização para priorizar riscos. Empresas com grande volume de dados de clientes, por exemplo, podem ser alvos prioritários de hackers. Por isso, os conselhos estão cada vez mais utilizando metodologias de avaliação de risco que integram aspectos de segurança cibernética com os demais riscos de negócio, como frameworks de Enterprise Risk Management (ERM), que incorporam a segurança digital como um componente integral.

“O letramento dos conselheiros em temas específicos, como cybersecurity, se torna algo cada vez mais fundamental. E hoje, temos materiais como o manual da NACD (Cyber-Risk Oversight) que fornecem informações muito valiosas e entendíveis aos conselheiros”, ressalta Glauco Sampaio.

Indicadores de risco para o conselho

Para facilitar essa avaliação, muitos conselhos têm adotado indicadores-chave de desempenho (KPIs) específicos para segurança cibernética. Exemplos incluem o tempo médio de detecção e resposta a incidentes, que é um indicador fundamental para avaliar a eficácia da resposta cibernética. O número de tentativas de ataque bloqueadas, embora não revele o impacto direto, indica a capacidade da infraestrutura de segurança da empresa. E a frequência e resultado de testes de penetração, tais testes simulam ataques e permitem avaliar vulnerabilidades reais nos sistemas.

Com esses indicadores, os conselheiros conseguem acompanhar o nível de risco e a resiliência cibernética da empresa, criando uma visão mais detalhada e informada sobre a postura de segurança.

Outro aspecto crucial na visão dos conselheiros é a alocação de recursos para segurança cibernética. Nos últimos anos, muitas empresas aumentaram significativamente seus orçamentos de segurança, mas os conselheiros estão cada vez mais questionando como esses recursos estão sendo aplicados e quais são os retornos em termos de redução de riscos.

O estudo “Global Future of Cyber 2023” da Deloitte explora como as empresas estão integrando a segurança cibernética em suas estratégias e medindo o valor do investimento, esse estudo mostra que conselhos e executivos estão cada vez mais interessados em aumentar o orçamento dedicado à segurança cibernética e monitorar sua eficácia. A transparência e a medição de resultados são aspectos essenciais, especialmente à medida que os líderes buscam justificar e otimizar investimentos em cibersegurança de acordo com os riscos reais da organização.

A importância do retorno sobre investimento (ROI) em segurança cibernética

Em resposta a essa demanda, muitas empresas começaram a adotar o conceito de Retorno sobre Investimento (ROI) em segurança cibernética, o que permite aos conselhos avaliar a relação entre o custo das iniciativas de segurança e a redução potencial de riscos e perdas. Métodos como o cálculo do Value at Risk (VaR) são cada vez mais usados para demonstrar os benefícios financeiros da cibersegurança para os acionistas.

“É papel dos CISOs, tangibilizar o risco cibernético da forma mais alinhada ao modelo risco entendível pelos executivos”, reforça Glauco Sampaio.

Para os conselheiros, é essencial que a liderança de TI e segurança da informação apresente relatórios claros que mostrem o impacto financeiro das iniciativas. Isso não apenas justifica o orçamento de segurança, mas também ajuda o conselho a tomar decisões informadas sobre novos investimentos.

A cultura organizacional e a cibersegurança

A segurança cibernética não se trata apenas de tecnologia; a cultura organizacional desempenha um papel crucial. Os conselheiros estão cada vez mais conscientes de que o comportamento dos funcionários pode representar tanto uma linha de defesa quanto uma vulnerabilidade crítica. O papel crítico do erro humano em incidentes de segurança é amplamente discutido em relatórios recentes. Segundo o estudo Voice of the CISO da Proofpoint, cerca de 71% dos CISOs no Brasil consideram o erro humano uma das maiores vulnerabilidades de segurança. Em geral, o erro humano é citado como responsável por uma parcela significativa dos incidentes, destacando a necessidade de fortalecer a cultura de segurança cibernética por meio de educação e conscientização contínuas.

Para criar essa cultura, os conselheiros podem incentivar a realização de treinamentos frequentes e avaliações de segurança comportamental. Algumas práticas recomendadas incluem treinamento contínuo para todos os níveis da organização, desde executivos até colaboradores operacionais, todos devem entender seu papel na proteção dos dados, simulação de phishing e testes de conscientização, medidas práticas que ajudam a identificar e corrigir fraquezas comportamentais e políticas de incentivo e accountability, que é reconhecer boas práticas e responsabilizar os que negligenciam a segurança ajudam a solidificar a cultura desejada.

Ao promover uma cultura de cibersegurança, os conselheiros ajudam a criar uma empresa mais resiliente, onde todos se sentem responsáveis pela proteção dos dados corporativos.

A visão dos conselheiros sobre segurança cibernética evoluiu para uma perspectiva estratégica e integrada. Hoje, eles entendem que a segurança digital é uma responsabilidade compartilhada, que exige avaliação constante de riscos, alocação eficiente de recursos e, acima de tudo, uma cultura organizacional que priorize a proteção de dados. Essa visão holística permite que as empresas se tornem mais resilientes e preparadas para enfrentar os desafios de um ambiente digital cada vez mais ameaçador.

Para empresários e líderes de tecnologia, o alinhamento com a visão do conselho é essencial. Garantir que a segurança cibernética seja uma prioridade estratégica e não apenas um item no checklist de TI pode fazer toda a diferença na proteção dos ativos e na preservação da confiança dos stakeholders.

“Precisamos garantir que essa comunicação, entre o CISO e os membros dos conselhos, se torne uma via de duas mãos de verdade para que os temas de segurança cibernética sejam melhores discutidos nas reuniões”, pontua Glauco Sampaio.

CONSELHEIR@

Glauco Sampaio

Profissional da área de gestão de riscos, com enfoque nas questões de tecnologia e segurança de informação, atuando a mais de 20 anos em empresas de grande porte como Banco Santander, Banco Votorantim, Banco Original, Editora Abril e Cielo. Também é professor do tema na FIA e Conselheiro Consultivo de empresas.