O Conselho de Administração lidando com a Governança Cibernética

Este é um tema que tem sua profundidade e relevância para as organizações em um mundo altamente conectado, competitivo e volátil.

O que vimos ao longo dos anos é que, historicamente, a cibersegurança sempre havia sido responsabilidade de uma turma de TI e muito ligada ao tático ou operacional, e somente de alguns para anos para cá é que surgiram equipes dedicadas ao monitoramento da segurança da informação, com o o assunto ganhando espaço mais estratégico.

Os Conselhos de Administração nem passavam perto, ou o faziam bem superficialmente, já que o assunto era tratado como mais um tópico dentro da estratégia global de tecnologia, tendo inclusive seu investimento não sendo compartilhado ou vagamente tratado com a TI.

O foco desta turma esteve na grande maioria do tempo centrado nos temas relativos ao desempenho financeiro das organizações e nas estratégias para atingir o esperado, fazendo com que solicitações fora desse contexto não ganhassem a atenção necessária, além do que as solicitações teriam que ser muito bem detalhadas e justificadas.

O cenário somente começa a mudar quando a digitalização dos negócios cresce exponencialmente e, com ela, as ameaças de ataques aos sistemas de dados e aplicações se proliferaram. A segurança se torna, então, estratégica e de sobrevivência para as empresas e o assunto chega aos Conselhos de Administração, pois, sabemos hoje, que a cibersegurança é fundamental para a continuidade e resiliência do negócio. E se há uma coisa que preocupa os acionistas é a conservação dos resultados, sempre positivos.

Só para deixar mais claro o potencial referente ao impacto financeiro de um incidente de cibersegurança, segundo uma pesquisa conduzida e recém publicada pela Markets, Innovation & Technology Institute (MiTi), o custo médio de um ataque está em US$36 milhões. Uma cifra bastante considerável para quem deseja manter a lucratividade.

Ainda segundo a pesquisa, somente 34.25% das empresas entrevistadas possuem um membro no conselho de administração com habilidades comprovadas no tema cibersegurança.

Complexidades

Quando observamos as organizações de maior porte, as multinacionais, por exemplo, podemos aprender com os caminhos que elas seguem e descobrir como isso pode ajudar as empresas menores a trilharem o seu próprio caminho na cibersegurança. Mesmo não tendo o mesmo porte, todas enfrentam desafios similares no combate às ameaças cibernéticas.

Por exemplo, quando se analisa uma startup, que já nasce digital e com presença na nuvem, nota-se que ela vem ao mundo dos negócios mais preparada para uma adoção mais rápida de tecnologias. Isso facilita a sua entrada no mercado (time-to-market) e muitas vezes a adoção de ferramentas para a proteção cibernética acaba sendo mais natural. No entanto, as questões financeiras podem se tornar um grande obstáculo.

Não que elas não enfrentem desafios nessa adoção, mas muitas vezes elas não precisam percorrer o caminho longo, aquele percorrido pelas organizações tradicionais, que muitas vezes carregam consigo uma infraestrutura legada híbrida, normalmente complexa de ser administrada e até entendida ou atualizada.

Isso inclusive se reflete no seu processo de digitalização e modernização, que na maioria das vezes é mais lento e com isso, o impacto na adoção das estratégias de cibersegurança pode ser um pouco mais desafiadora e demandar mais recursos, muitos dos quais imensuráveis se não houver a visibilidade do seu ecossistema tecnológico necessária.

A pesquisa citada reflete um pouco deste cenário, onde 38% das empresas participantes não possuem um Plano de Resposta a Incidentes (IRP) e 46% não possuem um Plano de Recuperação de Desastres (DRP), provavelmente reflexo da complexidade em enxergar seus ativos e o funcionamento de cada um deles dentro dos processos de negócios atuais.

O guarda-chuva matriz

As estratégias de governança global têm funcionado como um guarda-chuva sobre as suas subsidiárias e unidades de negócios espalhadas pelo mundo. Já, quando falamos de gestão da TI e cibersegurança, as complexidades regionais levaram as grandes corporações a criarem estruturas operacionais regionalizadas, onde uma estrutura local pode existir com uma certa independência no trato de suas questões tecnológicas.

Há casos em que as ferramentas de segurança são escolhidas pela matriz, mas em outros, é a unidade local que cuida dessa demanda , deixando as questões táticas e operacionais sob responsabilidades desses times regionais. O desafio nesse ponto está em como ter uma estrutura estratégica que consiga governar esse cenário entendendo todas as questões regionais envolvidas.

Descentralização

O time de tecnologia, isoladamente, pode não ser capaz de oferecer todo o apoio a todas as necessidades dos negócios devido às complexidades atuais e velocidade com que os negócios estão sofrendo mudanças, e - claramente - a cibersegurança está entre esses desafios, ainda existindo casos onde as áreas da organização estão sendo levadas a criar suas células de gestão tecnológica e segurança. É um cenário novo e desafiador e nessa trajetória o time de TI provavelmente estará apoiando a organização, mas as áreas de negócio poderão trilhar caminhos próprios e buscar não depender de outras esferas para a tomada de decisão local.

A colaboração

Mais do que nunca, a sobrevivência dos negócios depende da estratégia de cibersegurança, uma atenção que não pode ser restrita somente à TI e SI. Toda a organização tem que fazer parte desta iniciativa, pois todos podem ser vetores ou impactados por agentes maliciosos através de muitas estratégias como o comprometimento dos endpoints, dispositivos móveis, caixas postais, identidades e muitos outros.

Este é um grande desafio que exige a colaboração de todos os níveis da organização e o Conselho de Administração deve olhar para este desafio, com prioridade que o tema merece. A colaboração entre os grupos estratégicos e operacionais é fundamental para garantir a proteção dos ativos digitais da empresa, garantir a continuidade dos negócios e minimizar os riscos associados.

Visibilidade da rede e aplicações

Saber o que realmente existe na infraestrutura tecnológica é vital para uma estratégia de sucesso em cibersegurança. A estratégia e as ferramentas de cibersegurança devem ser capazes de permitir facilitar todo o processo de mapeamento e visibilidade sobre a movimentação de dados, além de identificar quais as aplicações e dados sensíveis existem, quem tem permissão para acessar esses serviços trazendo também a visão de quando, onde e por quê os acessos ocorrem.

Sem esse nível de informação e de visibilidade, não será possível correlacionar os eventos e aplicar a inteligência para um trabalho contínuo de monitoramento das ações e políticas de segurança, aperfeiçoando as regras estabelecidas. Para poder ter apoio da IA é necessário saber antes o que fazer com ela.

Múltiplos fornecedores

A digitalização dos negócios e o avanço das ameaças fizeram surgir uma ampla gama de fornecedores que se dedicam a criar soluções para proteger as empresas contra violação e sequestro de dados. Isso traz algumas questões estratégicas importantes, como por exemplo, quais fornecedores seriam os mais adequados para apoiar o negócio? Quais os benefícios de ter múltiplos fornecedores? Isso traria mais resiliência ao negócio?

Na verdade, quando as empresas contratam ferramentas de segurança, o desejo principal é proteger as suas operações das ameaças cibernéticas, mas, mesmo após esses investimentos, na maioria das vezes, um certo risco permanece, principalmente em decorrência da complexidade do ambiente empresarial no geral, que conta com uma estrutura tecnológica dinâmica e que sofre mudanças frequentes, além da sofisticação dos atacantes atuais.

Buscar parceiros especializados em oferecer serviços de segurança como SOC, Gestão de Vulnerabilidades, CTI e outros, se tornou fundamental, pois agora é preciso implantar uma estratégia de acompanhamento contínuo sobre ameaças e vulnerabilidades e ter capacidade de responder em janelas de tempo muito reduzidas se um incidente se confirmar.

Cultura e Educação da Segurança

Um outro grande desafio das empresas e do Conselho de Administração é a maneira como os colaboradores lidam no dia a dia com o assunto cibersegurança e a falta ou o baixo nível de conhecimento sobre o tema. A falta de conhecimento pode destruir todo o investimento colocado nas estratégias de cibersegurança, fazendo com que simples ações diárias enfraqueçam e exponham as empresas em níveis muito perigosos.

Os Conselhos de Administração têm papel importante aqui, junto com as equipes de TI e SI, no desenho e na implementação de uma cultura de cibersegurança, a partir das ações educativas que possam, efetivamente, elevar o nível de consciência dos colaboradores sobre essas questões.

Investir recursos em um programa estruturado de capacitação e conscientização pode mesmo ser a grande diferença na jornada de implementação de uma estratégia de cibersegurança.

Diferentemente do que acontecia no passado, o Conselho de Administração é hoje responsável pela proteção de todos os aspectos da operação da empresa e a cibersegurança deve fazer parte da lista de prioridades.

(*) CTO da e-Safer.