Fortaleza digital: o imperativo dos conselhos na Era da segurança cibernética
Shamla Naidoo – Head of Cloud Strategy na Netskope
Nas últimas duas décadas, empresas de todos os setores passaram por transformações radicais com a digitalização. Este fenômeno transformou os dados em um ativo extremamente importante e, com os custos com o crime cibernético previstos para atingir 8 trilhões de dólares este ano e 10,5 trilhões até 2025, a conclusão é que o mundo realmente não pode subestimar o valor dos dados.
Infelizmente, apesar dos altos riscos, muitos membros de conselhos de administração ainda não demonstram um interesse proativo nas estratégias de segurança cibernética – e isso nem é tão surpreendente. Esses executivos raramente possuem conhecimento técnico ou confiança suficientes para se envolver em detalhes de segurança, e muitas vezes acabam passando a bola para o CIO e para o CISO.
Por outro lado, é importante ressaltar que a função do conselho é reunir guardiões das operações. Dessa forma, é fundamental que os conselheiros saibam na prática como os dados, seus ativos mais importantes, são criados, capturados e protegidos. Isso não requer desenvolvimento de experiência ou habilidades técnicas profundas. A partir de apenas quatro perguntas, os membros do conselho podem avaliar a força das respostas e adotar uma abordagem proativa para identificar riscos e otimizar a segurança cibernética.
1) Existe um plano de reação?
Mesmo com os maiores esforços de equipes e investimentos para melhorar a cibersegurança, os ataques ainda podem e irão ocorrer. Durante um incidente, não há tempo para elaborar e organizar um plano. Portanto, é fundamental se preparar com antecedência para que as equipes saibam como responder de forma rápida e eficaz em uma crise.
As equipes precisam entender as expectativas em resposta a um incidente, incluindo a noção de quais dados e ativos precisam ser protegidos, o que se qualifica como um incidente material e os processos para reportar à diretoria e aos órgãos reguladores. É preciso também entender o impacto profissional e emocional dos ataques cibernéticos nas equipes, e definir com clareza as diretrizes para dar mais confiança a elas em momentos de crise.
2) Segurança cibernética é um investimento comercial?
Em meio à adoção de novas tecnologias e concentração nos novos mercados, a segurança geralmente se torna uma questão tardia nos modelos tradicionais de negócios, e é geralmente implementada por meio de uma combinação de ferramentas que geram despesas e comprometem o desempenho e a aplicabilidade em escala.
A segurança cibernética precisa ser encarada como um facilitador dos negócios, e não como uma função centrada nos custos. E, embora alguns acusem a cibersegurança de drenar os orçamentos, a verdade é que a abordagem de alto desempenho trata de problemas ou riscos comerciais críticos, como proteger a propriedade intelectual corporativa e os dados dos clientes e aumentar a proteção no trabalho remoto.
Uma empresa capaz de gerenciar os riscos de forma por meio de uma abordagem proativa e que lida com a segurança como um investimento comercial estratégico, ganha vantagem competitiva. Afinal de contas, com a certeza de que os dados e a infraestrutura digital da empresa estão seguros, a diretoria pode ser mais ousada e empreender de forma assertiva ao tomar decisões.
3) A segurança está incorporada em toda a empresa?
Uma abordagem holística é essencial para integrar os princípios de cibersegurança e conscientizar todos os níveis de uma empresa. Embora as equipes de segurança sejam, em última instância, responsáveis pelas operações de segurança, todos devem ser proativos na prevenção de ataques.
Por isso, a diretoria deve garantir que a empresa tenha uma estrutura robusta de segurança cibernética e avalie regularmente as vulnerabilidades para identificar possíveis pontos fracos em seus sistemas e redes. O treinamento de conscientização deve ser implementado regularmente para todos os funcionários, inclusive para a gerência, para garantir que todos conheçam as ameaças mais recentes e como reagir a elas.
4) Temos os líderes certos conduzindo os esforços de segurança cibernética?
Com muita frequência, as discussões sobre segurança cibernética começam e terminam com tecnologia, ameaças, ataques e incidentes, ignorando a importância do papel do líder.
Mais do que nunca, é preciso considerar muitos fatores ao nomear quem estará à frente das decisões de segurança cibernética, avaliando a credibilidade e habilidades para fornecer as informações necessárias aos membros do conselho de administração.
Também é importante reconhecer que lidar com riscos cibernéticos tornou-se responsabilidade de todas as pessoas dentro de uma empresa – não é mais um problema apenas da equipe de segurança. Portanto, as empresas devem se certificar de que estão selecionando líderes capazes de apoiar a função de segurança cibernética em toda a organização.
O momento de agir é agora
Se os dados se tornaram commodities para a sua empresa, então a segurança cibernética deve ser tratada como uma questão essencial pela sua diretoria. Os membros do conselho precisam deixar de isolar essa questão no departamento técnico e encará-la como uma atribuição comercial primordial, que precisa ser gerenciada de forma proativa e alinhada com os objetivos mais amplos dos negócios.
Com um conhecimento profundo do que a proteção dos dados representam aos negócios e com as perguntas certas no momento ideal, os líderes de conselho e das empresas estarão equipados para antecipar, planejar e responder aos desafios da complexidade do cenário da segurança cibernética.
