Cibersegurança, Conselho Administrativo e Estratégia: Indo além de proteger o negócio

Com a retomada econômica, os conselheiros e diretoria precisam olhar cada vez mais para Cybersecurity como um diferencial competitivo

Por: Marco Tulio Moraes, ⌚ 05/11/2021 às 19h01 - Atualizado em 09/11/2021 às 19h12

*Por Marco Túlio Moraes

 

Em Cybersecurity é comum usarmos o ditado popular que segurança “se não vem pelo amor, vem pela dor”. Infelizmente, algumas empresas vêm sofrendo com incidentes cibernéticos, e se deparando com a necessidade de implementação de um Programa de Segurança Cibernética. É importante ir além do pós-crise e pensar também no longo prazo.

 

Antes de implementar um Programa de Cybersecurity, realizando grandes investimentos em tecnologias, mudando e implementando políticas, processos e controles, é essencial entender os riscos existentes, os potenciais “trade-off” e as oportunidades de viabilização de negócios que podem ser otimizadas, sempre relacionando à estratégia da organização e às suas metas de curto, médio e longo prazo.

 

O papel estratégico de Cybersecurity

 

Um programa de Cybersecurity nada mais que é do que uma jornada de definição, educação e conscientização, e execução dos papéis a serem desempenhados por diversos atores na organização, incluindo o Conselho Administrativo, que é essencial para deliberar o tema de uma forma estratégica, dando o tom quanto ao equilíbrio ideal frente aos negócios, a inovação e aos riscos.

 

A função de Segurança da Informação, antes, de suporte, técnica e operacional, é hoje, na nova economia, intrínseca ao core business, e precisa agir permeando toda a organização. Precisa não somente garantir Compliance e trazer confiabilidade para as operações, mas também viabilizar negócios e dar confiança e transparência para clientes, parceiros, acionistas e demais stakeholders do ecossistema.

 

O olhar do Conselho, tanto para guiar a estratégia inserindo Cybersecurity na equação, quanto realizando o oversight para garantir que o assunto é considerado por toda a alta gestão, e não apenas pelos CIO (Chief Information Officer) e CISO (Chief Information Security Officer), é fundamental.

 

Agenda de Governança frente ao Programa de Cybersecurity:

 

De acordo com relatório “Principles for board governance of cyber risk”, publicado pelo Fórum Econômico Mundial em 2021, o Conselho Administrativo precisa incorporar a expertise de Cybersecurity no Conselho e se valer da indústria, de terceiros, de recursos internos e expandir seus próprios conhecimentos, a fim de supervisionar a segurança cibernética da organização.

 

Dada a complexidade do tema, é importante que os Conselhos abordem o tema sob perspectivas diversas, conectando negócios, a riscos e exigências regulatórias.

 

1) Estratégia frente aos Negócios:

 

Avaliar como o Programa de Segurança cibernética está inserido no dia a dia, da estratégia à operação de negócios, em produtos, M&A’s, Joint Ventures, serviços, dados, operações, tecnologias emergentes, e entender potenciais benefícios gerados frente aos recursos aplicados.

Identificar como a organização está estruturada e respondendo ao tema, e como a cultura está sendo influenciada por essa disciplina, são critérios importantes para entender se esse valor sendo gerado está alinhado com os objetivos de longo prazo.

 

2) Risk Management

 

Realizar o oversight dos riscos existentes, entendendo quais as principais ameaças internas e externas, as fragilidades existentes, as probabilidades de ocorrência, os impactos aos negócios e ao ecossistema da organização, são importantes para entender a estratégia sendo tomada, com as decisões dos riscos aceitos, eliminados, mitigados, transferidos, e a performance frente ao apetite e tolerâncias aos riscos.

 

3) Evolução e maturidade do Programa:

 

Entender em que estágio a organização se encontra frente ao seu programa e como se compara com a indústria considerando os níveis de maturidade cibernética em suas capacidades de identificação, proteção, detecção, resposta e recuperação.

 

Entender as forças e fraquezas da empresa para identificar riscos, se proteger e saber como reagir são aspectos fundamentais para a resiliência cibernética da uma organização frente ao cenário atual de campanhas de ataques direcionados às organizações e ransomware’s paralisando operações.

 

4) Compliance

 

Monitorar e garantir conformidade com leis e regulamentações, como a Lei Geral de Proteção de Dados (LGPD), a resolução 4893 do Banco Central do Brasil, ou padrões demandados pelo mercado como a ISO 27001 ou o PCI-DSS para a indústria de cartões de crédito, demandam programas estruturados de gestão, tanto para a sua implementação, quanto para a sustentação da conformidade frente a essas leis.

 

Indo além de proteger o negócio

 

Ajudar a construir negócios digitais considerando Cybersecurity na equação pede observar diferentes perspectivas, como a proteção e sustentação das operações, a conformidade com leis, a mitigação de riscos e a viabilização dos negócios.

 

Endereçar uma ou mais dessas perspectivas isoladamente e sem conectar à estratégia da organização pode gerar um efeito interessante no curto prazo, mas será que é o melhor para a organização?

/ VEJA TAMBÉM



/ COMENTÁRIOS