Responsabilização no pós-incidente: Quais os impactos sobre o CISO

Incidentes de grande porte e a responsabilização da alta gestão têm intensificado o debate sobre o papel dos líderes de negócios e de Segurança da Informação na resposta a ataques cibernéticos. Para Rony Vainzof, especialista em Direito Digital, esse cenário representa uma oportunidade estratégica para ampliar ações de governança e fortalecer os planos de resposta

Compartilhar:

Diante de grandes mudanças no contexto regulatório brasileiro e internacional focado em Cibersegurança, como projetos para fortalecer a Estratégia Nacional de SI, uma dúvida constante tanto de líderes do setor quanto dos times jurídicos é como devem ficar a percepção das responsabilidades direcionadas tanto aos profissionais executivos quanto da própria organização, como pessoa jurídica.

 

Ocorrências anteriores em empresas de grande porte chamam a atenção nesse sentido, como na Uber em 2016, quando a empresa sofreu uma invasão cibernética sem precedentes. À época, o CISO da organização, Joseph Sullivan, foi condenado por obstrução da Justiça e omissão grave de crime, ao ocultar das autoridades norte-americanas que a companhia custeou a extorsão dos ciberatacantes.

 

Conforme explica o Sócio da VLK Advogados e especialistas em direito digital, Rony Vainzof, o incidente reforça como Líderes de Cibersegurança e de Negócios podem estar sujeitos a sanções judiciais quando consideradas situações de consciência sobre um ato ilícito após o incidente. De acordo com ele, crises de alto impacto como esse ressaltam a demanda por maior definição sobre os papéis e responsabilidades dos executivos.

 

“Vemos essa cobrança maior, por exemplo, a partir de regulações como a NIS2, da União Europeia, que, embora não tenha força de lei, define como dever dos órgãos de gestão aprovarem medidas contra riscos de Cyber, além da responsabilização em casos de infrações cometidas. Ainda que esse controle seja direcionado aos Conselhos Administrativos, o CISO atua de forma crucial para criar as respostas aos incidentes que abrem tal caminho”, disse ele, em entrevista à Security Report.

 

Vainzof explica que uma medida para mitigar a possibilidade de sanções contra a organização ou seus executivos é ampliar os trabalhos de governança e proteção da Liderança de SI, estabelecendo cláusulas de limitação de responsabilidade. Isso inclui medidas como apólices de Seguro focados nos CISOs, decisões colegiadas dos executivos oficializadas em documentos oficiais, para garantir que todos sejam resguardados em responsabilidades compartilhadas.

 

Além disso, as organizações devem estabelecer planos claros e eficientes de resposta a crises cibernéticas, devidamente testados e avaliados. Esses projetos devem considerar todas as principais causas raízes de incidentes cibernéticos para a empresa, como risco de credenciais comprometidas, phishing, configuração de nuvem, MFA, demandas por Zero Trust e a aplicação de novas tecnologias, como Inteligência Artificial.

 

“O ponto mais relevante é que todas as empresas estão sujeitas a ataques cibernéticos. E essas operações hostis estão cada vez mais complexas e sofisticadas, utilizando informações estratégicas para direcionar maiores impactos ao negócio. Por isso, quanto mais diligente a empresa e o CISO puderem ser para compreender e responder a cenários de risco, menor será a possibilidade de um impacto jurídico desse tipo”, conclui.

 

Conteúdos Relacionados

Security Report | Destaques

ANPD emite medida preventiva contra Havan por divulgação indevida de imagens

Autoridade de proteção de dados abriu, em maio desse ano, investigação contra a varejista devido à prática de divulgar imagens...
Security Report | Destaques

Cibercrime e IA Generativa: Como a tecnologia sofistica os ataques?

Novo estudo movido pela Cisco Talos reforça o risco cibernético oferecido pela IA Generativa desenvolvida para usos de cibercriminosos, fortalecendo...
Security Report | Destaques

Ciberataque na Aeroflot força cancelamento de dezenas de voos

Companhia aérea estatal da Rússia teve suas operações paralisadas hoje (28), causando o cancelamento de mais de 40 voos nacionais...
Security Report | Destaques

Como medir riscos cibernéticos para transformar os orçamentos em Cyber?

Na edição mais recente do estudo Global Digital Trust Insights, a PwC reforça a demanda por maior resiliência cibernética por...