De acordo com o estudo “OnRisk Report”, publicado recentemente pelo Instituto dos Auditores Internos, os dois principais investimentos a serem feitos em Cibersegurança nos próximos anos estão na gestão de continuidade e privacidade, devido às ameaças cibernéticas e cobranças por maior conformidade às novas leis de proteção de dados. Mas, para que essas estratégias deem resultado, os Líderes de Cibersegurança devem ter garantida uma posição de liderança com mais autonomia.
Essa leitura é do Sócio de Gestão de Riscos da Risk Consulting Brasil, Klaus Kiessling, apontada durante entrevista à Security Report. Segundo ele, mesmo com o foco maior de CEOs e CFOs na continuidade do business, as companhias ainda enfrentam desafios para estruturar-se adequadamente e garantir uma estratégia eficiente. Construir essa estrutura depende, em especial, de mais espaço de atuação para CISOs e DPOs.
“Gestão de continuidade está intimamente ligada à Cibersegurança, Privacidade e Proteção de Dados, além de riscos e compliance. Por isso, esse setor precisa ter autonomia para monitorar e proteger as estruturas ligadas à tecnologia e ao CIO. Quando a empresa consegue construir essa ordem de funcionamento, tudo se organiza melhor”, disse Kiessling.
O executivo comenta que, entre os pilares fundamentas da Cibersegurança, a disponibilidade dos sistemas é um dos mais importantes, mas um dos que menos receberam investimentos adequados, o que deixava toda a estrutura sujeita a ser indisponibilizada por uma invasão. Sem poder oferecer continuidade ao negócio, o impacto de uma eventual paralização tende a crescer além do controle da empresa.
Assim, esse vácuo de planejamento deve ser enfrentado com estratégias de continuidade baseadas na contingência aos incidentes cibernéticos. Tais análises permitem direcionar qual seria o tamanho do impacto em uma possível invasão, bem como traçar medidas de resposta e manutenção da continuidade, prevendo todas as necessidades corporativas urgentes.
“Isso é construir resiliência cibernética operacional, uma das maiores demandas do mercado atual, mas que é pouco falada nos fóruns adequados. Muitas empresas desconhecem o que fazer em situações de contingência, e o impasse entre Líderes de Segurança e CIOs pode expor a empresa a alguma crise envolvendo ameaças cibernéticas. Por isso, é necessário que esses dois executivos tenham condições de negociar melhor”, explica Kiessling.
Papel do mercado de consultoria
Nesse contexto, o mercado de consultorias poderia comportar as ferramentas necessárias para ajudar as empresas a traçarem essas estratégias de forma correta. Entretanto, muitas dessas prestadoras de serviços enfrentam problemas de burocratização que fazem os processos de negociação se arrastarem por um longo tempo, tornando essa uma tarefa inviável.
“Em diversas situações, contratos para essa gestão de risco podem levar meses até que sejam assinados, e nesse meio tempo, a empresa contratante pode acabar se sujeitando a diversos problemas com agências reguladoras ou com paralisações do próprio negócio. As empresas dependem de velocidade e especialização adequada para conseguir chegar em resultados adequados”, explica Klaus Kiessling.
Dessa forma, na visão do C-Level, a melhor estratégia está em optar por parceiros mais especializados para o risco mais crítico que a companhia tem, como forma de criar a relação necessária para criar um plano de continuidade. “Em uma estrutura mais enxuta e especializada, é possível dar celeridade adequada e já iniciar um processo de apoio nos momentos de maior criticidade”, conclui ele.
