Em posts anteriores, frisamos como as empresas têm vindo a negligenciar aspectos importantes da gestão da segurança cibernética. Pesquisas recentes mostram que as empresas brasileiras investem pouco nessa área, o que tem sido um tremendo erro, que gera prejuízos enormes. Uma pesquisa da Norton, que é especialista mundial no assunto, revelou que, apenas em 2017, o número de vítimas do cibercrime chegou a 42,4 milhões só aqui no país, gerando um prejuízo de cerca de US$ 10 bilhões.
No post de hoje, o objetivo é apresentar como as salas de reuniões dos conselhos das empresas podem desempenhar uma função importante na gestão da cibersegurança. Continue a leitura e saiba mais.
O papel do conselho na cibersegurança
De fato, trata-se de uma preocupação fundamentada. Apesar de estarmos ainda longe de números ideais, os conselhos de administração das empresas estão, sim, mais preocupados com o desempenho de segurança. Contudo, é compreensível que a alta administração não tenha necessariamente o conhecimento ou a experiência para saber gerenciar esse setor com expertise de especialista – ou como interpretar as informações técnicas apresentadas a eles.
Essa desconexão entre líderes empresariais e líderes de segurança e risco é um problema generalizado. Como resolver esse impasse? Organizações em todo o mundo começaram a resolver esse problema aproveitando dados quantitativos que fornecem uma linguagem comum que ambas as equipes podem entender facilmente.
E há soluções tecnológicas pensadas exclusivamente para tal fim. Elas ajudam as organizações a quantificar seu risco cibernético e a avaliar e definir qual será a postura de segurança adequada da empresa, avaliar seu desempenho em relação a seus colegas do setor e reportar riscos cibernéticos para seu conselho.
Como garantir a segurança na sala de reuniões
Um primeiro passo importante será promover um encontro entre a equipe de TI e o conselho – o que poderá, logicamente, ser feito com a representação do diretor de Tecnologia da Informação. Tal encontro servirá para que o conselho tome conhecimento das medidas de segurança em curso e de outros procedimentos gerais adotados, bem como sobre ataques reais que aconteceram no passado. Outra ideia é trazer consultores externos. Eles podem ser de grande ajuda, proporcionando uma visão mais distanciada e, por isso, potencialmente mais certeira da realidade política de segurança cibernética da empresa.
Em segundo lugar, o ideal é que o conselho tenha sempre em mente que a resposta a um problema de cibersegurança é tão importante quanto a prevenção. Uma ocorrência de ramsonware, por exemplo, não será o fim do mundo se os trâmites internos conseguirem rapidamente agir de modo adequado e deter o impacto de efeitos colaterais adversos
É claro que, para isso, um planejamento minucioso deve ser implementado. E aí é essencial a participação do conselho em todas as etapas. No caso de um ataque severo para além da resposta técnica, é preciso pensar ainda, por exemplo, como abordar os stakeholders e os acionistas.
Sabemos que os ataques bem-sucedidos se aproveitam de falhas internas. Por isso, mais uma vez, insistimos no papel do conselho, que precisa liderar uma mudança na cultura organizacional da empresa no que diz respeito à cibersegurança, promovendo a sua importância e prioridade. O conselho deve, claro, começar por dar o exemplo.
Por último, o conselho deve alocar recursos de forma apropriada, determinando o tamanho do orçamento do setor de TI. Em suma, o conselho não apenas deve tornar a segurança uma prioridade organizacional, mas prepará-la de forma adequada – e por isso ele é tão importante.
Gostou deste artigo? Então aproveite sua visita ao nosso blog e conheça muitas outras novidades sobre o setor de TI!