Linkedin Youtube Instagram
Faça parte
Linkedin Youtube Instagram

,

Gestão de crises cibernéticas: o papel da governança corporativa diante de incidentes

fevereiro, 2025‎ ‎ ‎ |

‎Por Paulo Barbosa

Em uma realidade onde um ataque cibernético pode desvalorizar empresas em questão de horas, como os conselhos de administração devem agir para mitigar danos e preservar valor? Diante desse cenário, o papel do conselho de administração na gestão de crises cibernéticas tornou-se cada vez mais estratégico. Conselheiros precisam estar preparados para agir de forma rápida e eficaz, garantindo que a organização responda a incidentes com resiliência e governança adequadas.



Lições aprendidas com grandes incidentes cibernéticos

Os ataques recentes mostram que falhas na resposta a incidentes cibernéticos podem amplificar as consequências negativas. Alguns exemplos ilustram os desafios enfrentados por grandes empresas e as lições aprendidas:

·      Caso Equifax (2017): O vazamento de dados de 147 milhões de pessoas foi atribuído à falta de atualização de segurança e falhas na comunicação interna. A demora na resposta e a falta de transparência resultaram em processos bilionários e perda de credibilidade. Lição: Conselhos devem garantir que a segurança seja uma prioridade contínua, conhecendo os riscos cibernéticos mais destacados e acompanhando a mitigação daqueles mais críticos.

·      Caso Colonial Pipeline (2021): O ataque de ransomware interrompeu o fornecimento de combustível nos EUA, forçando a empresa a pagar um resgate milionário. A falta de um plano robusto de resposta atrasou a recuperação do serviço. Lição: Conselheiros precisam garantir que a empresa tenha planos de resposta a incidentes testados e que alternativas operacionais sejam previstas.

·      Caso Norsk Hydro (2019): A empresa de alumínio sofreu um ataque de ransomware e optou por não pagar o resgate. Sua resposta exemplar, baseada em transparência e comunicação eficaz com o mercado e com reguladores, ajudou a mitigar danos à reputação. Lição: Conselhos devem fomentar uma comunicação eficiente em situações de crise, adotando uma cultura de transparência, além de estar preparados para tomar decisões rápidas.

Diante dessas lições, como os conselhos podem estruturar sua governança para evitar erros semelhantes?

Ainda que a atuação mais aprofundada na gestão de crises caiba aos executivos e suas equipes técnicas, conselheiros podem tomar a dianteira em algumas decisões críticas. Decidir, por exemplo, sobre realizar ou não o pagamento do resgate no caso de um ataque por ransomware envolve muito mais do que fatores voltados à tecnologia ou um eventual impacto financeiro. Os valores da organização, a relação com investidores, reguladores e outros interessados, a reputação do negócio, enfim, muitas são as dimensões potencialmente afetadas e que, observadas pelo conselho, devem ser seriamente consideradas.

Os conselhos, por sua vez, devem entender que situações de crises cibernéticas demandam uma tomada de decisão tempestiva, além de eficaz. Para que isso ocorra de forma adequada, conselheiros precisam estar informados, ser conhecedores dos principais riscos cibernéticos da organização, ter sido treinados sobre como lidar com crises cibernéticas, e idealmente ser envolvidos periodicamente em simulações de crise, exercitando seu papel de forma prática e realista.



O papel das estruturas de governança corporativa na gestão de crises cibernéticas

Conselho de Administração

O conselho deve garantir que a organização tenha um plano robusto de resposta a incidentes cibernéticos, definindo diretrizes estratégicas para a mitigação de riscos. Seu papel inclui:

·      Definir expectativas claras sobre a resiliência cibernética e os investimentos necessários.

·      Garantir a supervisão dos planos de resposta e recuperação de incidentes.

·      Assegurar alinhamento estratégico entre cibersegurança e objetivos organizacionais.

·      Exigir prestação de contas de executivos e líderes sobre a implementação de medidas de mitigação de riscos.

Comitê de Auditoria

O comitê de auditoria é responsável por garantir a supervisão dos controles de cibersegurança. Ele deve:

·      Avaliar se a organização possui políticas, processos e estruturas robustas para prevenir, detectar e responder a incidentes.

·      Realizar a supervisão dos planos de resposta e recuperação de incidentes, assim como os resultados de testes e simulações de crises, medindo sua efetividade e que haja cooperação entre áreas-chave (Cibersegurança, TI, jurídico, comunicação, operações, etc.).

·      Certificar-se de que a empresa cumpre suas obrigações perante órgãos reguladores.

·      Avaliar relatórios de investigação pós-incidente e recomendar ações para evitar recorrência.

Comitê de Risco

O comitê de risco é responsável por garantir que os riscos cibernéticos sejam devidamente identificados, mensurados e mitigados. Ele deve:

·      Integrar a cibersegurança ao framework geral de gestão de riscos.

·      Avaliar a eficácia dos controles e métricas de risco cibernético.

·      Exigir que a organização desenvolva controles para o monitoramento de ameaças emergentes.

·      Monitorar as ações para contenção e recuperação frente a incidentes cibernéticos, assegurando que decisões sejam baseadas em riscos e não apenas em pressões momentâneas.

·      Exigir um relatório pós-incidente para identificar falhas e oportunidades de melhoria na gestão de riscos cibernéticos.

Comitê de Cibersegurança

Esse comitê tem um papel mais equilibrado entre o estratégico e operacional, garantindo que as defesas estejam alinhadas com as melhores práticas e tendências do setor. Ele deve:

·      Supervisionar a Estratégia de Resposta a Incidentes.

·      Monitorar a evolução do cenário de ameaças.

·      Assegurar que planos de resposta a incidentes sejam eficazes e testados regularmente.

·      Garantir a sinergia entre TI, segurança da informação, jurídico, compliance, operações e comunicação corporativa para uma resposta eficaz.

·      Avaliar indicadores de ameaças e tendências do setor para tomar decisões informadas.

·      Garantir que a empresa tenha acesso a inteligência de ameaças e parceiros especializados para suporte em crises.

·      Recomendar investimentos estratégicos em tecnologia e capacitação.

·      Apoiar a definição da narrativa da empresa para comunicação com clientes, reguladores, acionistas e mercado.

·      Durante crises, avaliar os impactos da crise e real capacidade de resiliência cibernética.

·      Trabalhar em conjunto com o Comitê de Riscos e o Conselho de Administração para manter uma visão integrada da crise.

·      Assegurar que os controles de segurança sejam reforçados após o incidente para evitar recorrências.

·      Garantir que o aprendizado da crise seja incorporado na estratégia de segurança cibernética da empresa.



O envolvimento de parceiros estratégicos

Uma resposta eficaz a incidentes cibernéticos exige colaboração com parceiros estratégicos. Entre os mais relevantes estão:

·      Fornecedores de tecnologia e segurança: prestadores de serviços gerenciados de segurança (MSSPs) e fornecedores de soluções de proteção de dados.

·      Órgãos reguladores e autoridades: é fundamental manter um canal aberto com reguladores para garantir conformidade e mitigar riscos legais.

·      Especialistas jurídicos e de compliance: auxiliam na resposta legal e regulatória ao incidente.

·      Empresas de relações públicas e comunicação de crise: ajudam a preservar a reputação da organização.

·      Companhias de seguro cibernético: fornecem uma alternativa com suporte financeiro e logístico na gestão do impacto financeiro de um ataque.



Como o conselheiro deve comunicar durante uma crise cibernética

Uma comunicação inadequada pode agravar significativamente a crise. Conselheiros devem adotar uma abordagem estruturada para garantir transparência e controle da narrativa.

Princípios de comunicação durante crises

·      Transparência: comunicar com clareza e honestidade sobre o incidente.

·      Rapidez: agir com agilidade para evitar lacunas informativas que possam gerar especulações.

·      Coerência: garantir que todas as mensagens sejam consistentes com as diretrizes estratégicas.

·      Confidencialidade: divulgar apenas informações verificadas, evitando exposição desnecessária.

Estratégias de comunicação em diferentes fases da crise

  1. Antes da crise:

·      Definir um plano de comunicação de incidentes.

·      Treinar porta-vozes para lidar com a mídia e stakeholders.

  1. Durante a crise:

·      Ativar um comitê de crise para alinhar mensagens.

·      Comunicar de forma controlada com clientes, reguladores e investidores.

·      Gerenciar informações vazadas para evitar desinformação.

  1. Após a crise:

·      Publicar um relatório transparente sobre o incidente.

·      Demonstrar ações corretivas para reforçar a confiança e evitar recorrências.

·      Monitorar o impacto da comunicação na reputação da empresa.

A gestão de crises cibernéticas exige atuação coordenada das estruturas de governança corporativa. O envolvimento de parceiros estratégicos é essencial para mitigar impactos, enquanto a comunicação eficaz dos conselheiros pode evitar danos adicionais. Conselhos que adotam uma abordagem proativa e estruturada conseguem não apenas minimizar perdas, mas também fortalecer a resiliência organizacional frente a ameaças digitais.

Paulo-Barbosa1501

CONSELHEIR@

Paulo Barbosa

Executivo de cibersegurança e riscos digitais, proteção de dados pessoais, resiliência cibernética e prevenção de fraudes digitais.
Professor de pós-graduação.

Especialização em Dirección y Gestión de Seguridad Integral pela UNED (Espanha). Certificado CISSP e ISSMP pelo ISC2, SMBCI pelo BCI e ISO 27001.

Nos últimos anos ocupou posições de liderança no setor financeiro, telecomunicações e tecnologia, atuando no mercado brasileiro e europeu, promovendo a viabilidade de negócios através da sua proteção digital.

Search

Categorias

Posts Recentes

LinkedIn
Twitter
Facebook
WhatsApp
Email

, , , , ,

Quem também está com a gente

Empresas, Startups, Centros de Pesquisa e Investidores

blocoAssociados_1811-mix_01
blocoAssociados_1811-mix_02
blocoAssociados_1811-mix_03
blocoAssociados_1811-mix_11
blocoAssociados_1811-mix_04
blocoAssociados_1811-mix_10
blocoAssociados_1811-mix_09
blocoAssociados_1811-mix_08
blocoAssociados_1811-mix_07
blocoAssociados_1811-mix_06
blocoAssociados_1811-mix_05

Um ecossistema onde inovação e conexão se somam para desbloquear o potencial ilimitado da transformação digital. Faça parte!

assessoria@redelideres.com

55(11) 916091108

© 2024 Rede Líderes Digitais. Todos os direitos reservados.