Entre os desafios enfrentados pelos líderes de Segurança da Informação, estabelecer um espaço de diálogo eficaz com a alta liderança é considerado um dos mais significativos. De acordo com uma pesquisa recente conduzida pela Comunidade Security Leaders, embora os primeiros passos já tenham sido dados, ainda há oportunidades para aprimorar a compreensão do conselho sobre Segurança, o que é crucial para elevar a maturidade e a resiliência cibernéticas da organização.
O estudo, intitulado Segurança da Informação nos Conselhos de Administração e que entrevistou representantes de 57 empresas de diferentes portes e setores, revela que o valor estratégico da Cibersegurança já alcançou o corpo diretivo, impulsionado principalmente pela atuação de CISOs, CTOs e CIOs. Em 92% dos casos são estes três profissionais que abordam diretamente o tema com a alta direção.
Mesmo assim, esses líderes ainda enfrentam desafios significativos na relação com o board: 39% dos entrevistados acreditam que as pautas de cibersegurança não são priorizadas nos conselhos de administração e 64% mencionam uma cadência insuficiente de reportes. Isso pode ser extremamente crítico para a devida condução da estratégia de cibersegurança, para a priorização de riscos e para a resiliência cibernética das empresas.
Segundo Marcelo Miola, CISO do Grupo Boticário e autor da pesquisa, embora a Cibersegurança já tenha conquistado um reconhecimento de sua importância, a capacitação dos conselhos de administração é uma alavanca importante para abordar o tema de forma eficaz. Ela poderia melhorar significativamente a resiliência cibernética e a compreensão dos riscos, promovendo um alinhamento mais forte entre os objetivos estratégicos da empresa e as práticas de segurança cibernética.
“O estudo mostra que, quando há alguém na alta liderança com conhecimentos em Segurança, a priorização nas pautas dos conselhos de administração salta de 61% para 82%, assim como a frequência de apresentação de relatórios aumenta de 36% para 64%. Isso é positivo porque cria uma comunidade de alta liderança cada vez mais madura em relação à governança dos riscos cibernéticos”, explicou Miola em entrevista para a Security Report.
O CISO comenta que os conselheiros podem ser capacitados de forma direta, por meio de treinamentos específicos sobre cibersegurança, workshops, e programas de educação contínua. Além disso, contar com especialistas externos em segurança como consultores pode fornecer uma visão atualizada e abrangente das ameaças e melhores práticas, fortalecendo a capacidade do conselho de administrar os riscos cibernéticos.
“Isso poderia ser alcançado com a inclusão do CISO entre os quadros do board, mas não é algo mandatório. O fundamental é que haja presente alguém com conhecimento profundo na temática de segurança cibernética, e que atue como um consultor, ou conselheiro, para auxílio na tomada de decisão. Poderia ser o CISO, mas também o CIO, o CTO, o CRO ou até mesmo o CFO, a depender da cadeia hierárquica das empresas”, acrescenta Miola.
Benefícios
Os entrevistados deste estudo também apontam outras vantagens de fortalecer a preparação dos boards em Cibersegurança. Uma das vantagens é uma percepção de maior resiliência cibernética: conselhos capacitados relatam uma percepção de crescimento alta ou muito alta em 100% dos casos, comparado a apenas 45% das empresas sem essa capacitação.
Para Marcelo Miola, conforme a importância da Cibersegurança for crescendo, devido à digitalização das empresas, o relacionamento dos CISOs com os conselhos administrativos também tende a melhorar. “Esta melhora trará benefícios significativos, como uma resposta mais eficaz a incidentes e melhor alinhamento entre SI e negócio. A presença ativa dos CISOs também pode elevar a conscientização e a responsabilidade sobre segurança em todos os níveis da organização”, conclui.
