*Por Marco Túlio Moraes
Em Cybersecurity é comum usarmos o ditado popular que segurança “se não vem pelo amor, vem pela dor”. Infelizmente, algumas empresas vêm sofrendo com incidentes cibernéticos, e se deparando com a necessidade de implementação de um Programa de Segurança Cibernética. É importante ir além do pós-crise e pensar também no longo prazo.
Antes de implementar um Programa de Cybersecurity, realizando grandes investimentos em tecnologias, mudando e implementando políticas, processos e controles, é essencial entender os riscos existentes, os potenciais “trade-off” e as oportunidades de viabilização de negócios que podem ser otimizadas, sempre relacionando à estratégia da organização e às suas metas de curto, médio e longo prazo.
O papel estratégico de Cybersecurity
Um programa de Cybersecurity nada mais que é do que uma jornada de definição, educação e conscientização, e execução dos papéis a serem desempenhados por diversos atores na organização, incluindo o Conselho Administrativo, que é essencial para deliberar o tema de uma forma estratégica, dando o tom quanto ao equilíbrio ideal frente aos negócios, a inovação e aos riscos.
A função de Segurança da Informação, antes, de suporte, técnica e operacional, é hoje, na nova economia, intrínseca ao core business, e precisa agir permeando toda a organização. Precisa não somente garantir Compliance e trazer confiabilidade para as operações, mas também viabilizar negócios e dar confiança e transparência para clientes, parceiros, acionistas e demais stakeholders do ecossistema.
O olhar do Conselho, tanto para guiar a estratégia inserindo Cybersecurity na equação, quanto realizando o oversight para garantir que o assunto é considerado por toda a alta gestão, e não apenas pelos CIO (Chief Information Officer) e CISO (Chief Information Security Officer), é fundamental.
Agenda de Governança frente ao Programa de Cybersecurity:
De acordo com relatório “Principles for board governance of cyber risk”, publicado pelo Fórum Econômico Mundial em 2021, o Conselho Administrativo precisa incorporar a expertise de Cybersecurity no Conselho e se valer da indústria, de terceiros, de recursos internos e expandir seus próprios conhecimentos, a fim de supervisionar a segurança cibernética da organização.
Dada a complexidade do tema, é importante que os Conselhos abordem o tema sob perspectivas diversas, conectando negócios, a riscos e exigências regulatórias.
1) Estratégia frente aos Negócios:
Avaliar como o Programa de Segurança cibernética está inserido no dia a dia, da estratégia à operação de negócios, em produtos, M&A’s, Joint Ventures, serviços, dados, operações, tecnologias emergentes, e entender potenciais benefícios gerados frente aos recursos aplicados.
Identificar como a organização está estruturada e respondendo ao tema, e como a cultura está sendo influenciada por essa disciplina, são critérios importantes para entender se esse valor sendo gerado está alinhado com os objetivos de longo prazo.
2) Risk Management
Realizar o oversight dos riscos existentes, entendendo quais as principais ameaças internas e externas, as fragilidades existentes, as probabilidades de ocorrência, os impactos aos negócios e ao ecossistema da organização, são importantes para entender a estratégia sendo tomada, com as decisões dos riscos aceitos, eliminados, mitigados, transferidos, e a performance frente ao apetite e tolerâncias aos riscos.
3) Evolução e maturidade do Programa:
Entender em que estágio a organização se encontra frente ao seu programa e como se compara com a indústria considerando os níveis de maturidade cibernética em suas capacidades de identificação, proteção, detecção, resposta e recuperação.
Entender as forças e fraquezas da empresa para identificar riscos, se proteger e saber como reagir são aspectos fundamentais para a resiliência cibernética da uma organização frente ao cenário atual de campanhas de ataques direcionados às organizações e ransomware’s paralisando operações.
4) Compliance
Monitorar e garantir conformidade com leis e regulamentações, como a Lei Geral de Proteção de Dados (LGPD), a resolução 4893 do Banco Central do Brasil, ou padrões demandados pelo mercado como a ISO 27001 ou o PCI-DSS para a indústria de cartões de crédito, demandam programas estruturados de gestão, tanto para a sua implementação, quanto para a sustentação da conformidade frente a essas leis.
Indo além de proteger o negócio
Ajudar a construir negócios digitais considerando Cybersecurity na equação pede observar diferentes perspectivas, como a proteção e sustentação das operações, a conformidade com leis, a mitigação de riscos e a viabilização dos negócios.
Endereçar uma ou mais dessas perspectivas isoladamente e sem conectar à estratégia da organização pode gerar um efeito interessante no curto prazo, mas será que é o melhor para a organização?