A partir de uma governança de segurança cibernética bem estabelecida, é possível proteger os ativos da empresa, manter a confiança das partes interessadas e garantir a conformidade com as regulações em vigor (Crédito: Freepik)
A segurança cibernética é um aspecto crítico da governança corporativa que requer atenção de toda a organização — incluindo o conselho de administração. Ao compreender e priorizar os vários aspectos da cibersegurança, os conselhos podem proteger melhor suas empresas contra a ameaça crescente de ataques cibernéticos. Isso implica conhecer e manter-se informado sobre as ameaças mais recentes, garantir que a estratégia de cibersegurança da organização seja robusta e integrar segurança cibernética em decisões de negócios. Na era da IA e de novas tecnologias, essa abordagem pode representar a diferença entre o sucesso ou fracasso de um negócio.
As pessoas são a primeira linha de defesa. Os conselhos de administração devem reforçar a importância de conscientizar funcionários e treiná-los para identificar, evitar e se recuperar de riscos potenciais na forma de phishing, malware, ransomware ou até deepfake. As pessoas devem saber quais medidas tomar e seguir uma política cibernética estabelecida pelo Chief Information Security Officer (CISO) e válida para toda a organização.
“Os conselheiros precisam estudar o tema, mas em um nível executivo. Com esta base, eles devem fazer perguntas em pelo menos três níveis. O que isso quer dizer? Não aceitar apenas a primeira resposta, mas sim descer pelo menos mais dois níveis para sua compreensão e para que se sintam confortáveis ao tomar decisões”, afirma Demetrio Carrión, Cybersecurity Leader para a EY América Latina.
Essa postura é especialmente importante para conselheiros que não possuem ainda um conhecimento estrutural de segurança cibernética. “O conselheiro não deve se inibir frente aos termos técnicos, pois muitas vezes são utilizados como cortina de fumaça”, diz Carrión. E dá um conselho: “Peça explicações, pois até mesmo quem é do ramo não consegue acompanhar a proliferação de siglas”.
A partir de uma governança de segurança cibernética bem estabelecida, é possível proteger os ativos da empresa, manter a confiança das partes interessadas e garantir a conformidade com as regulações em vigor. Cabe à diretoria disponibilizar recursos para proteger os processos comerciais da organização — o que, em tempo de Inteligência Artificial (IA), Aprendizado de Máquina (ML), automação e outras tecnologias emergentes de aplicação em cibersegurança, entender quais são as necessidades, os riscos e os ganhos.
Para fazer isso com mais propriedade, os conselhos de administração precisam atualizar seus conhecimentos de segurança cibernética e tecnologias emergentes.
A partir dos pontos iniciais, os conselheiros podem se reunir com membros da equipe de cibersegurança para conhecer e avaliar o sistema implantado, entender onde estão as maiores vulnerabilidades e como IA, ML e automação podem reforçar processos e prevenir falhas e ataques.
Principais considerações para os membros da diretoria e do conselho
Uma forma de integrar tecnologias emergentes ao sistema de cibersegurança existente na organização é redesenhar todos os pontos de contato, ou seja, olhar para o sistema e entender em que momentos, processos e conexões é possível aproveitar recursos de automação e ferramentas de IA e Aprendizado de Máquina (ML). Pode-se adotar também uma abordagem “AI by design”, que é centrada no ser humano para inovar com IA e ML, em que o foco está na geração de soluções para atender às necessidades reais do usuário e, nesse caso, da organização.
Qualquer que seja a abordagem, é fundamental estabelecer nesse desenho diretrizes claras para o uso ético da IA na segurança cibernética. Os conselhos devem se aprofundar nas políticas da empresa com relação ao uso da IA e garantir que essas políticas estejam alinhadas com padrões éticos mais amplos.
“Questionando os riscos cibernéticos desde a concepção de um novo produto e serviço, o conselho de administração estará colaborando ativamente para a cibersegurança ser parte de todos os processos da empresa”, acredita Demetrio Carrión, da EY. Ele chama atenção para que os conselheiros não fiquem limitados a questionar riscos e a maturidade de segurança no encontro semestral ou anual com o CISO. Tem que ser parte das conversas da empresa na totalidade.
“Tudo hoje é digital; onde há digital, há cyber”.
A seguir, as principais considerações que membros do conselho devem ter em relação à segurança cibernética da organização e a seu papel na construção do arsenal de cibersegurança da organização.
1. Entender o cenário da segurança cibernética
Os membros do conselho devem se familiarizar com o cenário atual de segurança cibernética, incluindo as ameaças emergentes e as vulnerabilidades específicas da empresa. Eles devem fazer perguntas sobre os tipos de ameaças que a empresa enfrenta, o possível impacto dessas ameaças e as medidas que estão sendo tomadas para mitigá-las.
2. Avaliar a estratégia de cibersegurança
O conselho deve garantir que a empresa tenha uma estratégia robusta de segurança cibernética que se alinhe às suas metas comerciais gerais. Essa estratégia deve incluir políticas de gerenciamento de riscos, resposta a incidentes e conformidade com as normas.
3. Avaliar o uso da IA na segurança cibernética
Os conselhos devem perguntar sobre como a empresa está aproveitando a IA para melhorar sua postura de segurança cibernética. Isso inclui compreender os benefícios das ferramentas de IA e os desafios associados à sua implementação.
4. Priorizar os investimentos em segurança cibernética
Considerando os possíveis custos associados a uma violação cibernética, os conselhos de administração devem priorizar os investimentos em cibersegurança. Isso inclui o financiamento de novas tecnologias, programas de treinamento de funcionários e a contratação de profissionais qualificados em segurança cibernética.
5. Destacar o valor comercial da segurança cibernética
Enfatizar como ter uma cibersegurança robusta pode gerar valor comercial. Isso inclui proteger os ativos da empresa, manter a confiança do cliente e permitir a adoção segura de novas tecnologias.
6. Garantir o gerenciamento amplo de riscos
O risco cibernético deve ser integrado à estrutura mais ampla de gerenciamento de riscos da empresa. Os membros da diretoria devem analisar regularmente as avaliações de risco e garantir que haja medidas adequadas para proteger os processos comerciais e as cadeias de suprimentos essenciais.
7. Prontidão para a resposta a incidentes
É fundamental se certificar de que a diretoria esteja ciente do plano de resposta a incidentes da empresa. Isso inclui descrever as medidas que serão tomadas no caso de uma violação e as funções e responsabilidades dos membros do conselho e da gerência sênior.
8. Manter uma comunicação regular com a liderança em segurança cibernética
Os conselhos de administração devem manter uma comunicação contínua com o Chief Information Security Officer (CISO) e outros líderes de cibersegurança. Isso garante que eles estejam atualizados sobre as ameaças mais recentes e qual o grau de eficácia das medidas atuais de segurança cibernética.
Perguntas que os conselhos de administração devem fazer sobre segurança cibernética
Uma boa política de cibersegurança não apenas se integra a todas as iniciativas estratégicas e à gestão de crises da empresa, mas também fortalece a cadeia de suprimentos. Para entender melhor o grau de prontidão da área de segurança cibernética, os membros do conselho devem fazer as perguntas certas.
- Quais são as ameaças cibernéticas mais significativas que a nossa empresa enfrenta atualmente?
- Como nossa estratégia de segurança cibernética se alinha à nossa estratégia geral de negócios?
- Que medidas estão em vigor para proteger nossos processos comerciais e cadeias de suprimentos críticos?
- Temos os recursos adequados para responder a um incidente cibernético efetivamente?
- Qual é o grau de vulnerabilidade do ecossistema da empresa?
- Quais são as consequências se um fornecedor for vítima de crime cibernético? E o que acontece com seus clientes se a própria empresa sofrer um ataque cibernético?
- Existe um sistema de monitoramento que avise rapidamente se houver sinais de um ataque cibernético? A empresa tem capacidade e conhecimento suficientes para reagir?
- Com que frequência atualizamos nossas políticas e procedimentos de segurança cibernética?