Segurança

18 abr, 2022

Cibersegurança: pelo bem do negócio, ela deve estar na pauta do alto escalão

Publicidade

A segurança da informação é um dos cinco riscos globais, segundo relatório emitido pelo Fórum Econômico Mundial em Davos. Algo que me preocupa com relação a esse tema é ver que, em muitas organizações, a cibersegurança segue subestimada pelo alto escalão. Não é raro, inclusive, eu me deparar com companhias em alto risco cibernético pela falta de ação de um executivo que assume a postura de bystander, não se posicionando no momento adequado e de forma eficiente, mesmo após ser informado de que algo de ruim está prestes a acontecer no ambiente digital.

A realidade é que as empresas precisam assumir a mesma coisa que a reunião de Davos assume. Que o risco cibernético não é um risco de TI, mas sim um risco de negócio. E dos mais graves. Ele tem alta probabilidade de acontecer e, quando acontecer, potencialmente, ele interrompe a capacidade de operação da empresa. Em resumo: probabilidade alta e impacto alto.

É um erro comum as organizações pensarem que o risco cibernético é coisa de TI, pertence ao departamento de TI e deve ser resolvido em TI. Segurança da informação engloba muito mais do que segurança aos ativos de TI, passa por um esforço cultural para evitar que colaboradores desavisados coloquem em risco toda a organização, avança pelo ecossistema auferindo a segurança dos terceiros que usam sistemas ou compartilham dados da empresa e pelas áreas de negócio que cada dia mais contratam soluções SaaS, sem a devida disciplina. Qualquer destas portas de entrada podem provocar roubo de informações, paralisação da operação e até mesmo os temidos sequestros de dados.

Hoje, com a tecnologia ditando os rumos dos serviços, dos produtos e da operação de uma empresa e os cibercriminosos cada vez mais profissionalizados, posicionamentos como esse não são mais aceitáveis e podem ser fatais para a reputação, a atuação e as finanças do negócio. Faz-se fundamental que a área de segurança da informação opere com métricas, estratégias e orçamento independentes de qualquer outra área, mesmo a de TI. Isso garante que a área seja gerida com a devida atenção que ela merece, assim como tem sido feito com assuntos relacionados à diversidade e sustentabilidade, por exemplo.

Em empresas tecnologicamente maduras e protegidas, uma boa prática tem sido estabelecer e desenvolver estratégias considerando a experiência e as boas ideias de CIO, CSO e integrantes do board e do conselho da organização. Acredito fortemente que quando todo o alto escalão se posiciona como guardião da segurança da informação de uma companhia, todo o negócio tende a ganhar. Essa união de esforços e de comprometimento tende a se traduzir em aumento da maturidade digital, resultado da elevação da  capacidade de respostas a incidentes, do alinhamento das ações com as estratégias do negócio e de mais apoio financeiro para os projetos de cibersegurança. Nas companhias que já estão em compliance com a Lei Geral de Proteção de Dados ou caminhando para isso, o Data Protection Officer – também conhecido como DPO ou Encarregado de Dados – costuma agregar bastante valor ao participar desse grupo de discussão.

Nesses encontros do board com a área de segurança e riscos, o conteúdo das conversas tem o objetivo de mitigar riscos de ameaças e ataques, otimizar a alocação de recursos, elevar o status de segurança, identificar gargalos nos processos, mapear insights sobre melhorias da operação, compartilhar ideias e informações, dividir responsabilidades e encontrar meios de cascatear as boas práticas para os demais colaboradores da companhia. Aqui, vale destacar a crescente preocupação das empresas com relação ao seu security scorecard (sim, já existe o rating de cibersegurança por empresa, assim como se faz com rating de crédito) da própria organização e dos seus fornecedores e parceiros de negócio. Além disso, na busca pelas melhores dinâmicas dessas reuniões, vejo algumas companhias buscando orientações em publicações de órgãos, como o Instituto Brasileiro de Governança Corporativa (IBGC) e a Organização dos Estados Americanos.

Em um cenário sensível como esse, as organizações precisam ter um plano de segurança da informação entendido por todas as camadas do negócio como um investimento estratégico, com o board totalmente ciente do apetite de risco da instituição. Isso eleva de maneira brutal as chances de promover ações de cibersegurança robustas, consistentes e evolutivas, que é um antídoto extremamente poderoso contra as ameaças que já incomodam as organizações e as que estão por vir. Isso também garantirá uma jornada segura de transformação digital. E, acredite, os ataques já estão aí. É uma questão de o quanto estamos preparados para enfrentar essa situação.