Em cybersecurity, é comum usarmos o ditado popular que segurança “se não vem pelo amor, vem pela dor”. Infelizmente, muitas empresas têm sofrido cada vez mais com os incidentes cibernéticos, precisando lidar com o assunto no meio de uma crise e se deparar com a necessidade de implementação de um programa de segurança cibernética. É importante ir além do pós-crise e pensar também no longo prazo.
Antes de implementar um programa de cybersecurity, realizando grandes investimentos em tecnologias, mudando e implementando políticas, processos e controles, é essencial entender os riscos existentes, os potenciais “trade-off” e as oportunidades de viabilização de negócios que podem ser otimizadas, sempre relacionando a estratégia da organização e as metas de curto, médio e longo prazo.
Um programa de cybersecurity nada mais que é do que uma jornada de definição, educação, conscientização e execução dos papéis a serem desempenhados por diversos atores na organização, incluindo o conselho administrativo, que é essencial para tratar do tema de uma forma estratégica, dando o tom quanto ao equilíbrio ideal frente aos negócios, à inovação e aos riscos.
A função de segurança da informação, que antes era de suporte, técnica e operacional, é hoje, na nova economia, intrínseca ao core business. Precisa, nesse sentido agir permeando toda a organização. O olhar do conselho, tanto para guiar a estratégia inserindo cybersecurity na equação quanto realizando o oversight para garantir que o assunto seja considerado por toda a alta gestão, é essencial. Segurança da informação precisa não somente garantir compliance e trazer confiabilidade para as operações, mas viabilizar negócios e dar confiança e transparência para clientes, parceiros, acionistas e demais stakeholders do ecossistema.
Embora clara, a construção de uma jornada como esta é desafiadora também para o conselho e exige expertise para que este exerça suas funções de advisor e oversight. De acordo com relatório “Principles for board governance of cyber risk”, publicado pelo Fórum Econômico Mundial em 2021, o conselho administrativo precisa incorporar a expertise de cybersecurity ao board e se valer da indústria, de terceiros, de recursos internos e expandir seus próprios conhecimentos, a fim de supervisionar a segurança cibernética da organização.
Dentro de suas atribuições, é salutar que os conselhos dministrativos abordem as seguintes perspectivas junto as organizações:
- Estratégia frente aos negócios: avaliar como o programa de segurança cibernética está inserido no dia a dia, da estratégia à operação de negócios, em produtos, M&As, serviços, dados, operações e sistemas, assim como se a organização está estruturada e respondendo ao tema. Verificar como a cultura está sendo influenciada pela disciplina também é importante para entender se o valor gerado está alinhado aos objetivos de longo prazo da organização;
- Risk management: realizar o oversight dos riscos existentes, entendendo quais são as principais ameaças internas e externas, as fragilidades existentes, as probabilidades de ocorrência, os impactos aos negócios e ao ecossistema da organização. Isso é relevante para entender como a estratégia está sendo tomada, com as decisões dos riscos aceitos, eliminados, mitigados, transferidos, bem como a performance frente ao apetite e tolerâncias aos riscos;
- Evolução e maturidade do programa: entender em que estágio a organização se encontra frente ao seu programa e como se compara com a indústria considerando os níveis de maturidade cibernética em suas capacidades de identificação, proteção, detecção, resposta e recuperação. Entender as forças e fraquezas da empresa para identificar riscos, proteger-se e saber como reagir são aspectos fundamentais para a resiliência cibernética da uma organização frente ao cenário atual de campanhas de ataques direcionados à organizações e ransomwares paralisando operações;
- Compliance: monitorar e garantir conformidade com leis e regulamentações, como a Lei Geral de Proteção de Dados (LGPD), a resolução 4893 do Banco Central do Brasil ou padrões demandados pelo mercado, como a ISO 27001 ou o PCI-DSS.
Ajudar a construir negócios digitais considerando cybersecurity na equação pede observar diferentes perspectivas, como a proteção e sustentação das operações, a conformidade com leis, a mitigação de riscos e a viabilização dos negócios. Endereçar uma ou mais dessas perspectivas isoladamente e sem conectar à estratégia da organização pode gerar um efeito interessante no curto prazo, mas será que é o melhor para a organização?