Cibersegurança, Conselho Administrativo e Estratégia: Indo além de proteger o negócio

Com a retomada econômica, os conselheiros e diretoria precisam olhar cada vez mais para Cybersecurity como um diferencial competitivo

Compartilhar:

*Por Marco Túlio Moraes

 

Em Cybersecurity é comum usarmos o ditado popular que segurança “se não vem pelo amor, vem pela dor”. Infelizmente, algumas empresas vêm sofrendo com incidentes cibernéticos, e se deparando com a necessidade de implementação de um Programa de Segurança Cibernética. É importante ir além do pós-crise e pensar também no longo prazo.

 

Antes de implementar um Programa de Cybersecurity, realizando grandes investimentos em tecnologias, mudando e implementando políticas, processos e controles, é essencial entender os riscos existentes, os potenciais “trade-off” e as oportunidades de viabilização de negócios que podem ser otimizadas, sempre relacionando à estratégia da organização e às suas metas de curto, médio e longo prazo.

 

O papel estratégico de Cybersecurity

 

Um programa de Cybersecurity nada mais que é do que uma jornada de definição, educação e conscientização, e execução dos papéis a serem desempenhados por diversos atores na organização, incluindo o Conselho Administrativo, que é essencial para deliberar o tema de uma forma estratégica, dando o tom quanto ao equilíbrio ideal frente aos negócios, a inovação e aos riscos.

 

A função de Segurança da Informação, antes, de suporte, técnica e operacional, é hoje, na nova economia, intrínseca ao core business, e precisa agir permeando toda a organização. Precisa não somente garantir Compliance e trazer confiabilidade para as operações, mas também viabilizar negócios e dar confiança e transparência para clientes, parceiros, acionistas e demais stakeholders do ecossistema.

 

O olhar do Conselho, tanto para guiar a estratégia inserindo Cybersecurity na equação, quanto realizando o oversight para garantir que o assunto é considerado por toda a alta gestão, e não apenas pelos CIO (Chief Information Officer) e CISO (Chief Information Security Officer), é fundamental.

 

Agenda de Governança frente ao Programa de Cybersecurity:

 

De acordo com relatório “Principles for board governance of cyber risk”, publicado pelo Fórum Econômico Mundial em 2021, o Conselho Administrativo precisa incorporar a expertise de Cybersecurity no Conselho e se valer da indústria, de terceiros, de recursos internos e expandir seus próprios conhecimentos, a fim de supervisionar a segurança cibernética da organização.

 

Dada a complexidade do tema, é importante que os Conselhos abordem o tema sob perspectivas diversas, conectando negócios, a riscos e exigências regulatórias.

 

1) Estratégia frente aos Negócios:

 

Avaliar como o Programa de Segurança cibernética está inserido no dia a dia, da estratégia à operação de negócios, em produtos, M&A’s, Joint Ventures, serviços, dados, operações, tecnologias emergentes, e entender potenciais benefícios gerados frente aos recursos aplicados.

Identificar como a organização está estruturada e respondendo ao tema, e como a cultura está sendo influenciada por essa disciplina, são critérios importantes para entender se esse valor sendo gerado está alinhado com os objetivos de longo prazo.

 

2) Risk Management

 

Realizar o oversight dos riscos existentes, entendendo quais as principais ameaças internas e externas, as fragilidades existentes, as probabilidades de ocorrência, os impactos aos negócios e ao ecossistema da organização, são importantes para entender a estratégia sendo tomada, com as decisões dos riscos aceitos, eliminados, mitigados, transferidos, e a performance frente ao apetite e tolerâncias aos riscos.

 

3) Evolução e maturidade do Programa:

 

Entender em que estágio a organização se encontra frente ao seu programa e como se compara com a indústria considerando os níveis de maturidade cibernética em suas capacidades de identificação, proteção, detecção, resposta e recuperação.

 

Entender as forças e fraquezas da empresa para identificar riscos, se proteger e saber como reagir são aspectos fundamentais para a resiliência cibernética da uma organização frente ao cenário atual de campanhas de ataques direcionados às organizações e ransomware’s paralisando operações.

 

4) Compliance

 

Monitorar e garantir conformidade com leis e regulamentações, como a Lei Geral de Proteção de Dados (LGPD), a resolução 4893 do Banco Central do Brasil, ou padrões demandados pelo mercado como a ISO 27001 ou o PCI-DSS para a indústria de cartões de crédito, demandam programas estruturados de gestão, tanto para a sua implementação, quanto para a sustentação da conformidade frente a essas leis.

 

Indo além de proteger o negócio

 

Ajudar a construir negócios digitais considerando Cybersecurity na equação pede observar diferentes perspectivas, como a proteção e sustentação das operações, a conformidade com leis, a mitigação de riscos e a viabilização dos negócios.

 

Endereçar uma ou mais dessas perspectivas isoladamente e sem conectar à estratégia da organização pode gerar um efeito interessante no curto prazo, mas será que é o melhor para a organização?

Conteúdos Relacionados

Security Report | Destaques

Segurança é peça essencial para os M&As da Senior Sistemas

Em um contexto de alta complexidade dos ambientes digitais, contar com estruturas eficientes e uma Cyber vigilante é fundamental. Por...
Security Report | Destaques

Aprenda com quem faz: Security Leaders lança Store com foco na liderança prática do CISO

Nova plataforma reúne e-books, cursos online e mentorias individuais conduzidos por líderes que vivem os desafios reais da Cibersegurança nas...
Security Report | Destaques

Segurança empoderada e by design é essencial na gestão de risco da IA, apontam agências de Cyber

Gestoras de Segurança Cibernética dos países membros da Five Eyes Alliance emitiram uma nota conjunta para alertar sobre os riscos...
Security Report | Destaques

42% das empresas no Brasil já sofreram incidentes relacionados à IA

Estudo global da Proofpoint aponta ainda que esse número chega à 40% mesmo em empresas que contam com controles rígidos...