Linkedin Youtube Instagram
Faça parte
Linkedin Youtube Instagram

Cibersegurança e Governança Corporativa: como os Conselhos podem impulsionar uma abordagem baseada em Riscos

‎Por Ricardo Dastis

A crescente sofisticação dos ataques cibernéticos tornou a segurança digital um tema essencial para o alto escalão das empresas. O que antes era visto como uma questão puramente técnica agora está no centro das discussões estratégicas, exigindo que conselhos de administração e executivos adotem uma abordagem proativa na gestão de riscos cibernéticos.

A realidade, no entanto, mostra que muitos conselhos ainda têm dificuldades em integrar a cibersegurança às suas agendas. De acordo com um artigo da McKinsey, embora a responsabilidade dos conselhos em relação à cibersegurança esteja aumentando, muitos membros ainda carecem de compreensão profunda sobre o assunto, o que pode comprometer a resiliência cibernética das organizações. Isso evidencia a necessidade urgente de um alinhamento entre segurança digital, estratégia de negócios e governança corporativa.



A evolução  da   cibersegurança como pilar estratégico

Tradicionalmente, a cibersegurança foi tratada como uma função operacional, limitada ao departamento de TI e distante das discussões estratégicas da organização. Esse cenário mudou conforme os riscos digitais começaram a impactar diretamente a reputação, a continuidade dos negócios e até mesmo o valor das empresas no mercado.

Relatórios da McKinsey e da RSAC – por exemplo, “Cybersecurity in a Digital Era – destacam que os Conselhos precisam enxergar a cibersegurança como um pilar de governança, tão essencial quanto finanças, compliance e estratégia corporativa. Isso significa que não basta apenas responder a incidentes; é necessário antecipar ameaças, avaliar continuamente os riscos e tomar decisões embasadas em dados.

A abordagem baseada em riscos tem se mostrado a mais eficiente, pois permite que os conselhos concentrem esforços nos ativos mais críticos e nas ameaças mais relevantes, em vez de tentar proteger tudo da mesma forma. Esse modelo permite um equilíbrio entre investimento, resiliência e impacto nos negócios.



As principais métricas para um programa de cibersegurança eficaz

Uma das maiores dificuldades dos conselhos de administração é compreender se os investimentos em cibersegurança realmente estão trazendo impacto para a organização. Para isso, é fundamental adotar métricas estratégicas, que traduzam riscos técnicos em indicadores de negócios.

Alguns exemplos de métricas que ajudam a comprovar a eficácia de um programa de segurança cibernética:

●      Tempo médio para detectar e responder a ameaças (MTTD/MTTR): Quanto tempo a empresa leva para identificar e mitigar um ataque cibernético?

●      Exposição a riscos críticos: Quais ativos da empresa estão vulneráveis e qual o impacto potencial dessas falhas?

●      Efetividade das proteções implementadas: Medida por meio de testes de segurança contínuos, como simulações de ataques e auditorias.

●      Impacto financeiro das falhas de segurança: Traduz os riscos cibernéticos em perdas financeiras potenciais, ajudando o conselho a priorizar investimentos.

Métricas bem estabelecidas permitem que os conselhos avaliem a maturidade da segurança digital de maneira clara e objetiva, garantindo que decisões sejam tomadas com base em dados concretos.

Já há algum tempo o Gartner introduziu o framework CARE (Consistente, Adequado, Razoável e Eficaz) para ajudar as organizações a desenvolver métricas que comprovem a efetividade de seus programas de segurança cibernética. Por exemplo, em vez de apenas confirmar a presença de ferramentas e processos para corrigir vulnerabilidades, uma organização deve medir resultados diretamente relacionados ao nível de proteção, como o número de dias necessários para atualizar sistemas com correções de segurança críticas.



As perguntas-chave que os conselhos devem fazer sobre cibersegurança

Para que a governança em cibersegurança seja eficaz, os conselhos de administração precisam fazer as perguntas certas aos seus CISOs e equipes de segurança.

Algumas questões essenciais incluem:

●      Quais são os ativos mais críticos da empresa e quais riscos eles enfrentam?

●      Temos um plano claro de resposta a incidentes e testes frequentes de sua eficácia?

●      Os investimentos em cibersegurança estão alinhados aos riscos reais do nosso setor?

●      Estamos em conformidade com as regulamentações e padrões mais recentes de segurança digital?

●      Como nossa postura de segurança se compara à de nossos concorrentes e ao benchmark do setor?

Essas perguntas ajudam a transformar a cibersegurança em um tema recorrente dentro do conselho, permitindo um acompanhamento mais próximo e estratégico.



O papel do conselho na construção de uma cultura de segurança

Investir em tecnologia e processos de proteção cibernética é fundamental, mas não suficiente. Para que um programa de segurança seja verdadeiramente eficaz, ele precisa estar enraizado na cultura organizacional. Isso significa que todos os colaboradores – do nível operacional ao executivo – devem entender sua responsabilidade na proteção dos dados e sistemas da empresa.

Os conselhos desempenham um papel essencial na promoção dessa cultura, garantindo que:

●      Os líderes da empresa sejam exemplos de boas práticas de segurança digital;

●      Os treinamentos em cibersegurança sejam recorrentes e atualizados conforme novas ameaças surgem;

●      A comunicação interna enfatize a importância da segurança da informação como um valor corporativo.

Empresas que criam uma cultura de segurança forte conseguem reduzir erros humanos, evitar ataques cibernéticos e fortalecer a confiança de clientes e parceiros.

A crescente complexidade das ameaças digitais exige que os conselhos de administração adotem uma postura mais estratégica em relação à cibersegurança. Isso significa ir além da conformidade regulatória e integrar a segurança digital às decisões de negócios, garantindo que a empresa esteja preparada para lidar com riscos e responder a incidentes de maneira ágil e eficiente.

Ao adotar uma abordagem baseada em riscos, acompanhar métricas estratégicas e fomentar uma cultura organizacional voltada para a segurança, os conselhos não apenas protegem a empresa contra ameaças, mas também fortalecem sua resiliência, competitividade e valor de mercado.

Ricardo-Dastis1803

CONSELHEIR@

Ricardo Dastis

Sócio e CTO da Scunna S/A. Mais de 25 anos de experiência na área de segurança da informação. Associado ao IBGC. Atuou como Executive Partner de Security and Risk Management do Gartner. CISM pelo ISACA. BS7799 Lead Auditor na primeira turma do Brasil. Atuou como CISO em empresas líderes do varejo, indústria e telecom; e como Advisor em grandes consultorias do mercado. Graduado e Pós-Graduado em Ciências da Computação pela UFRGS. Professor de Pós-Graduação em Segurança Cibernética da Unisinos, PUCRS e Mackenzie. Coautor do livro “GRC: Governança, Risco e Conformidade – Siga Este Conselho”, publicado pela Edipucrs.

Search
LinkedIn
Twitter
Facebook
WhatsApp
Email

, , , , ,

Quem também está com a gente

Empresas, Startups, Centros de Pesquisa e Investidores

blocoAssociados_1811-mix_01
blocoAssociados_1811-mix_02
blocoAssociados_1811-mix_03
blocoAssociados_1811-mix_11
blocoAssociados_1811-mix_04
blocoAssociados_1811-mix_10
blocoAssociados_1811-mix_09
blocoAssociados_1811-mix_08
blocoAssociados_1811-mix_07
blocoAssociados_1811-mix_06
blocoAssociados_1811-mix_05

Um ecossistema onde inovação e conexão se somam para desbloquear o potencial
ilimitado da transformação digital. Faça parte!

assessoria@redelideres.com

55 (11) 98426-4469

© 2024 Rede Líderes Digitais. Todos os direitos reservados.