O risco cibernético tem se tornado uma preocupação crescente para as empresas em um mundo cada vez mais digitalizado. E quem acompanha meus posts sabe bem da minha particular preocupação com o tema.
Até porque acho que a gestão eficaz deste risco envolve várias partes interessadas, incluindo também o que muitos esquecem, os comitês de riscos, além do conselho de administração e, obviamente, a diretoria executiva, que precisam trabalhar alinhados.
Queria então falar um pouco mais sobre os papéis e responsabilidades desses grupos na gestão do risco cibernético.
Começo falando então sobre o Papel dos Comitês de Risco, do Conselho e da Diretoria neste assunto:
Comitês de Risco
O Comitê de Risco é responsável por supervisionar e aconselhar sobre questões técnicas de risco da empresa, incluindo claro os riscos cibernéticos. Este comitê deve trabalhar em estreita colaboração com o CISO (Chief Information Security Officer) para avaliar as vulnerabilidades e ameaças à segurança da informação.
Como participo de alguns deles, tento sempre estar presente do lado, acompanhando os trabalhos e ajudando na prática quem está tocando o dia a dia, mas ao mesmo tempo dando o conforto ao conselho, que nem sempre é especializado neste tema bem técnico.
Conselho de Administração
O Conselho de Administração tem o dever fiduciário de proteger os ativos da empresa, o que inclui também então também os dados e informações digitais. Eles são responsáveis por aprovar políticas e estratégias de segurança cibernética de alto nível e devem garantir que essas políticas sejam efetivamente implementadas. Sempre suportado por um time técnico do comitê de riscos. Mas quem vai dar o apetite a este risco são os conselheiros.
Diretoria Executiva
A Diretoria Executiva é responsável pela execução das políticas e estratégias aprovadas pelo Conselho. Eles devem assegurar que os recursos adequados sejam alocados para a segurança cibernética e que os protocolos sejam seguidos. Quem vai executar na prática, atuando como primeira linha de defesa.
Todos estes, em especial o Conselho e a Diretoria, têm responsabilidades legais e éticas de proteger a empresa e seus ativos contra riscos cibernéticos. Falhas na governança de riscos cibernéticos podem resultar em responsabilidades legais e danos reputacionais grandes. Eles devem, portanto, assegurar que um sistema eficaz de controles internos esteja em vigor para mitigar riscos cibernéticos.
Neste sentido, o risco cibernético também afeta (ou deveria) as decisões executivas de várias maneiras, começando pelos cuidados e os investimentos em segurança cibernética, que não são baixos, mas devem ser equilibrados com outros objetivos de negócios, como crescimento e rentabilidade.
Não podemos deixar de comentar, quando abordamos este tema, que construir uma cultura de segurança cibernética envolve mais do que apenas a TI ou a equipe de segurança. É importante que esta cultura permeie todas as áreas e níveis da empresa, e para isto o treinamento e a conscientização são fundamentais, assim como o envolvimento de diversas áreas na estratégia de segurança cibernética. O comprometimento de todas estas partes é essencial para construir uma cultura corporativa que valorize e priorize a segurança cibernética.