O que conselheiros precisam saber sobre os riscos cibernéticos?

A ameaça com problemas cibernéticos é uma realidade no mercado e põe em risco o recurso mais precioso: a informação. Esse é um ponto determinante para a sobrevivência das instituições e o tema não deve ser trabalhado apenas pela Tecnologia da Informação (TI), mas também por meio de uma governança corporativa consciente e responsável. O Conselho de Administração desempenha um papel de extrema importância nesse combate, que deve ser atacado de maneira sistêmica. É um trabalho educativo, de informação, conscientização e capacitação, que inclui a mudança da cultura e o modo como a gestão é feita.

Mesmo que as empresas tenham tecnologia de proteção ou sistema antivírus, a  maioria não capacita os colaboradores quando se trata de segurança de informação. Pesquisas apontam que a maior parte das violações são resultado de erro humano, e que apenas 27% das empresas pesquisadas contam com um plano de resposta à essas violação. Quando o tema é se o Conselho da organização adota medidas preventivas, apenas 15% dos colaboradores dessas empresas responderam que sim.

Muitas empresas realizam um evento anual, ou uma palestra, onde a presença não é obrigatória, e os chefes geralmente não comparecem. Entretanto, normalmente, o maior nível de conhecimento de informações confidenciais da empresa está nas mãos dos executivos de alto escalão. E por isso mesmo eles deveriam ser os primeiros a ser conscientizados sobre os riscos cibernéticos.

O nível de consciência do Conselho sobre segurança cibernética é, logicamente, maior em empresas que estão mais vulneráveis devido às atividades que exercem. Mas no geral, a adoção de um conjunto de práticas sólidas para o Conselho acompanhar os riscos cibernéticos ainda é pouco disseminado, e na área da gestão, ainda é um assunto emergente.

Entender que a responsabilidade pelo risco cibernético ultrapassa apenas o CISO ou o CIO é o primeiro passo. Esse assunto deve ser o centro de uma conversa estruturada e permanente de negócios, relacionando-se à alta liderança e com sólida compreensão dos riscos e das ameaças. Os conselhos precisam, cada vez mais, exigir da administração o alinhamento entre os investimentos e iniciativas de transformação digital e a avaliação dos potenciais riscos cibernéticos e da proteção da privacidade de dados.

O Conselho precisa criar políticas e diretrizes relacionadas ao tema e estabelecer um conjunto de ações, como estimular a conscientização de executivos e colaboradores, garantir existência de programas educacionais e de comunicação, manter vigilância constante sobre como o tema está sendo tratado pelos executivos, interagir com auditores e área de gestão de riscos e assegurar a existência de respostas aos incidentes.

O que os conselheiros precisam fazer para aumentar seus conhecimentos sobre segurança cibernética?

Manter conversas profundas sobre a situação da empresa. Inclusive a estratégia de segurança cibernética da empresa, os tipos de ameaças cibernéticas que se apresentam e as características do principais ativos digitais.

Frequentar programas externos, como seminários e conferências cujo enfoque é o acompanhamento e a avaliação dos riscos cibernéticos.

Perguntar à administração sobre as medidas que outras empresas do setor adotam nesse sentido.

Consultar especialistas em segurança sobre a visão geral dos riscos, de inteligência, de ameaças, de tendências de mercado e dos ataques mais comuns, e, baseados nisso, conferenciar com a administração como a empresa trabalha esses temas.