Cibersegurança, Conselho Administrativo e Estratégia: Indo além de proteger o negócio

Com a retomada econômica, os conselheiros e diretoria precisam olhar cada vez mais para Cybersecurity como um diferencial competitivo

Compartilhar:

*Por Marco Túlio Moraes

 

Em Cybersecurity é comum usarmos o ditado popular que segurança “se não vem pelo amor, vem pela dor”. Infelizmente, algumas empresas vêm sofrendo com incidentes cibernéticos, e se deparando com a necessidade de implementação de um Programa de Segurança Cibernética. É importante ir além do pós-crise e pensar também no longo prazo.

 

Antes de implementar um Programa de Cybersecurity, realizando grandes investimentos em tecnologias, mudando e implementando políticas, processos e controles, é essencial entender os riscos existentes, os potenciais “trade-off” e as oportunidades de viabilização de negócios que podem ser otimizadas, sempre relacionando à estratégia da organização e às suas metas de curto, médio e longo prazo.

 

O papel estratégico de Cybersecurity

 

Um programa de Cybersecurity nada mais que é do que uma jornada de definição, educação e conscientização, e execução dos papéis a serem desempenhados por diversos atores na organização, incluindo o Conselho Administrativo, que é essencial para deliberar o tema de uma forma estratégica, dando o tom quanto ao equilíbrio ideal frente aos negócios, a inovação e aos riscos.

 

A função de Segurança da Informação, antes, de suporte, técnica e operacional, é hoje, na nova economia, intrínseca ao core business, e precisa agir permeando toda a organização. Precisa não somente garantir Compliance e trazer confiabilidade para as operações, mas também viabilizar negócios e dar confiança e transparência para clientes, parceiros, acionistas e demais stakeholders do ecossistema.

 

O olhar do Conselho, tanto para guiar a estratégia inserindo Cybersecurity na equação, quanto realizando o oversight para garantir que o assunto é considerado por toda a alta gestão, e não apenas pelos CIO (Chief Information Officer) e CISO (Chief Information Security Officer), é fundamental.

 

Agenda de Governança frente ao Programa de Cybersecurity:

 

De acordo com relatório “Principles for board governance of cyber risk”, publicado pelo Fórum Econômico Mundial em 2021, o Conselho Administrativo precisa incorporar a expertise de Cybersecurity no Conselho e se valer da indústria, de terceiros, de recursos internos e expandir seus próprios conhecimentos, a fim de supervisionar a segurança cibernética da organização.

 

Dada a complexidade do tema, é importante que os Conselhos abordem o tema sob perspectivas diversas, conectando negócios, a riscos e exigências regulatórias.

 

1) Estratégia frente aos Negócios:

 

Avaliar como o Programa de Segurança cibernética está inserido no dia a dia, da estratégia à operação de negócios, em produtos, M&A’s, Joint Ventures, serviços, dados, operações, tecnologias emergentes, e entender potenciais benefícios gerados frente aos recursos aplicados.

Identificar como a organização está estruturada e respondendo ao tema, e como a cultura está sendo influenciada por essa disciplina, são critérios importantes para entender se esse valor sendo gerado está alinhado com os objetivos de longo prazo.

 

2) Risk Management

 

Realizar o oversight dos riscos existentes, entendendo quais as principais ameaças internas e externas, as fragilidades existentes, as probabilidades de ocorrência, os impactos aos negócios e ao ecossistema da organização, são importantes para entender a estratégia sendo tomada, com as decisões dos riscos aceitos, eliminados, mitigados, transferidos, e a performance frente ao apetite e tolerâncias aos riscos.

 

3) Evolução e maturidade do Programa:

 

Entender em que estágio a organização se encontra frente ao seu programa e como se compara com a indústria considerando os níveis de maturidade cibernética em suas capacidades de identificação, proteção, detecção, resposta e recuperação.

 

Entender as forças e fraquezas da empresa para identificar riscos, se proteger e saber como reagir são aspectos fundamentais para a resiliência cibernética da uma organização frente ao cenário atual de campanhas de ataques direcionados às organizações e ransomware’s paralisando operações.

 

4) Compliance

 

Monitorar e garantir conformidade com leis e regulamentações, como a Lei Geral de Proteção de Dados (LGPD), a resolução 4893 do Banco Central do Brasil, ou padrões demandados pelo mercado como a ISO 27001 ou o PCI-DSS para a indústria de cartões de crédito, demandam programas estruturados de gestão, tanto para a sua implementação, quanto para a sustentação da conformidade frente a essas leis.

 

Indo além de proteger o negócio

 

Ajudar a construir negócios digitais considerando Cybersecurity na equação pede observar diferentes perspectivas, como a proteção e sustentação das operações, a conformidade com leis, a mitigação de riscos e a viabilização dos negócios.

 

Endereçar uma ou mais dessas perspectivas isoladamente e sem conectar à estratégia da organização pode gerar um efeito interessante no curto prazo, mas será que é o melhor para a organização?

Destaques

Colunas & Blogs

Conteúdos Relacionados

Security Report | Destaques

Jaguar Land Rover confirma vazamento de dados em ciberataque

Em nova atualização sobre o incidente cibernético que paralisou fábricas e pontos de venda da montadora, foi informado que o...
Security Report | Destaques

Novas normas de SI do Bacen ampliam foco sobre Ecossistema seguro, apontam CISOs

Líderes de Segurança da Informação ligados ao sistema financeiro apoiaram as novas exigências de Segurança para que instituições financeiras possam...
Security Report | Destaques

J.Macêdo aposta em unificação de infraestrutura para reforçar segurança

Durante o Security Leaders Fortaleza 2025, empresa cearense destaca como modernizou suas operações para garantir continuidade produtiva e reduzir riscos...
Security Report | Destaques

“Não basta proteger sistemas, temos que garantir serviços digitais com segurança ao cidadão”, diz Prodeb

Durante o Security Leaders Fortaleza 2025, a Companhia de Processamento de Dados do Estado da Bahia (Prodeb) apresentou seu novo...