Nos dias de hoje, onde as ameaças cibernéticas ocorrem através de ataques cada vez mais sofisticados, e as violações de dados são eventos cotidianos das empresas, a cibersegurança se tornou um risco estratégico e vital, e por isso mesmo conselhos de administração não podem mais se dar ao luxo de ignorar.
A gestão de riscos cibernéticos já não pode ser tratada como mera responsabilidade técnica das equipes de TI, mas sim um tema central dos orçamentos de governança corporativa, que requer uma supervisão contínua, estratégica e detalhada pelos conselhos de administração e seus comitês de risco e auditoria.
Queria então abordar abaixo alguns pontos sobre o tema que acho relevante, e que merece sua atenção e conhecimento também:
- Evolução da Responsabilidade dos Conselhos
Tradicionalmente, a responsabilidade pela segurança das informações sempre foi delegada sem grandes preocupações para as equipes de TI, porém com a evolução das ameaças cibernéticas, percebe-se que estas não são apenas questões técnicas, mas riscos que podem afetar todos os aspectos estratégicos, operacionais e de reputação da empresa.
E por isso mesmo a cibersegurança agora é entendida como um risco estratégico e transversal que requer uma abordagem integrada e mais ampla dentro das empresas.
Os conselhos devem então garantir que têm uma estrutura de supervisão adequada e acesso a competências especializadas em cibersegurança, de modo a proporcionar uma avaliação e gestão eficazes desses riscos.
Isto inclui a necessidade de integrar a cibersegurança nas discussões estratégicas e garantir que a gestão estabeleça um quadro de gestão de risco cibernético em toda a empresa, com recursos e orçamento suficientes.
Queria aproveitar para também comentar sobre os 6 princípios que a NACD (National Association of Corporate Directors) americana sugeriu sobre o tema, começando aqui pelo princípio um, que fala da Cibersegurança como um Risco Estratégico, reconhecendo que a cibersegurança transcende os riscos de TI e se torna um componente crítico para a estratégia empresarial, refletindo a realidade atual em que as empresas operam num ambiente digitalmente transformado e altamente interconectado. Com o reconhecimento crescente da natureza estratégica dos riscos cibernéticos, as organizações começaram a derrubar as barreiras operacionais, integrando a cibersegurança em todas as funções empresariais como um risco estratégico transversal.
Os conselhos de administração, bem informados pelos seus comitês técnicos de assessoramento como de riscos ou auditoria, podem assim ter uma melhor compreensão dos riscos cibernéticos, e graças a iniciativas de formação e conscientização, agora veem a cibersegurança não apenas como uma necessidade técnica, mas como um elemento crucial que suporta a integridade e a resiliência organizacional. Por isso mesmo estão cada vez mais envolvidos na supervisão desses riscos, garantindo que os mesmos sejam geridos de forma proativa e integrada às estratégias de negócio globais da empresa.
Além disso, o conselho e seus comitês de riscos ou auditoria devem compreender e revisar continuamente a estratégia de cibersegurança e os processos de gestão para garantir a sustentabilidade organizacional, o que inclui garantir a proteção de dados críticos e a implementação de planos eficazes para detectar, responder e recuperar-se de ataques cibernéticos.
O conselho deve também questionar sobre como os riscos cibernéticos são identificados, mensurados e gerenciados em toda a empresa, levando em conta as operações em diversos setores de negócio.
Pessoalmente, agora falando tecnicamente e dando um exemplo prático disso, gosto de adotar a abordagem de Confiança Zero, que diz que nenhum usuário, sistema ou serviço deve ser automaticamente confiável, independentemente de estar dentro ou fora do perímetro de segurança, o que faz com que as empresas reforcem seus programas de identidade e gestão de acessos, uma parte fundamental para garantir que os acessos sejam monitorados e controlados de maneira rigorosa.
Outra coisa que precisa melhorar é que nas atividades de negócios, como lançamentos de produtos e estratégias de produção, em especial as que utilizam cadeias de suprimentos complexas, precisam se preocupar também com os riscos cibernéticos. Da mesma forma, até a área de fusões e aquisições, que exigem a integração de sistemas de informação complexos, frequentemente sob cronogramas apertados e sem tempo adequado para due diligence abrangente, também devem ter essa preocupação e fazer essa análise. São apenas exemplos para mostrar na prática que a gestão de riscos precisa abordar essas complexidades, envolvendo equipes de gestão e departamentos diversos na construção de um sistema seguro e na pressão por maior transparência e segurança por parte dos fornecedores e parceiros comerciais.
O conselho (apoiado pelos seus comitês de riscos e auditoria) deve incorporar considerações de risco cibernético em todas as decisões estratégicas e operacionais importantes, ou seja, precisam entender como as transformações digitais podem afetar a segurança e como inovações tecnológicas podem tanto aumentar a eficiência quanto potencializar riscos.
- Medição e Reporte de Cibersegurança
Uma parte crítica da supervisão do conselho e seus comitês técnicos de assessoramento como de riscos ou auditoria envolve a mensuração e o reporte do risco cibernético.
Os conselhos devem exigir relatórios regulares que não apenas detalhem os incidentes cibernéticos e as potenciais vulnerabilidades, mas também apresentem métricas claras e compreensíveis que ajudem a avaliar a eficácia das estratégias de mitigação adotadas pela empresa, o que inclui uma compreensão clara da exposição financeira da empresa aos riscos cibernéticos e como esses riscos são gerenciados, mitigados ou transferidos.
Voltando agora aos princípios da NACD, o segundo deles fala das Implicações Legais e de Divulgação relacionadas à cibersegurança, abordando como os conselhos devem preparar-se para gerir riscos legais e regulatórios que estão em constante evolução.
Os requisitos de cibersegurança variam em diferentes países, e para dificultar ainda mais, estão em constante mudança e atualizações, o que implica uma vigilância regulatória mais apertada e expectativas crescentes por parte de investidores e reguladores.
As tendências incluem uma maior rigorosidade nos programas de defesa e controle cibernéticos, elevados padrões de governança, a necessidade de relatórios regulatórios rápidos em caso de incidentes, e penalidades legais intensificadas. Diversas partes interessadas, como reguladores, advogados, mídia, clientes e investidores, estão agora mais focadas na maneira como as empresas lidam com a cibersegurança.
As regulamentações de cibersegurança estão se tornando mais estritas, demandando uma governança robusta e uma contabilização clara das responsabilidades dos executivos. As ações regulatórias têm resultado em sanções severas e medidas corretivas, muitas vezes em resposta a violações de dados ou má gestão da informação. Tais desenvolvimentos refletem uma expectativa crescente de que as empresas devem mitigar riscos cibernéticos não só como uma estratégia de proteção, mas como parte de sua responsabilidade de criação de valor a longo prazo.
Os regulamentos de cibersegurança são globais e localizados, e incluem desde regras detalhadas para defesas técnicas até requisitos de governança ampliada.
Por isto tudo acima de que os conselhos e seus comitês de risco ou auditoria devem estar atentos e preparados para lidar com um espectro cada vez mais amplo de riscos legais e regulatórios:
Governança e Divulgação: Os conselhos e seus comitês de risco ou auditoria devem garantir que existam práticas claras e eficazes de governança e divulgação relacionadas à cibersegurança, incluindo a compreensão dos requisitos para relatar incidentes significativos e gerenciar informações sensíveis.
Engajamento Proativo: Os conselhos e seus comitês de risco ou auditoria devem se engajar proativamente com as questões de cibersegurança, garantindo que a empresa esteja em conformidade com os regulamentos atuais e preparada para responder a mudanças na legislação.
Expertise e Recursos: Importante que os conselhos e seus comitês de risco ou auditoria tenham acesso a expertise legal e técnica em cibersegurança, possivelmente através de consultores externos ou equipes internas especializadas.
Exercícios de Simulação: Realizar simulações de ataque cibernético para entender melhor os papéis e responsabilidades em caso de incidentes reais e aprimorar os processos de resposta.
Já o princípio três fala da estrutura de supervisão do conselho e acesso a expertise, o que é fundamental para garantir que os conselhos possam tomar decisões informadas e eficazes em relação à segurança cibernética.
O princípio estabelece que os conselhos devem ter uma estrutura clara e eficaz para a supervisão dos riscos cibernéticos, que inclua:
Definição de Papéis e Responsabilidades: O conselho e seus comitês técnicos devem ter uma compreensão clara das suas responsabilidades em relação à cibersegurança, diferenciando as funções de supervisão das funções operacionais que cabem à gestão executiva.
Comitês Especializados: Devido à complexidade e à importância técnica dos riscos cibernéticos, muitos conselhos estabelecem comitês técnicos especializados, como comitês de riscos ou de tecnologia, dedicados exclusivamente à supervisão da cibersegurança.
Integração com a Estratégia Corporativa: A supervisão da cibersegurança deve ser integrada à estratégia corporativa global do conselho, garantindo que as considerações de segurança estejam alinhadas com outros objetivos estratégicos da empresa.
Reconhecendo que a cibersegurança é uma área técnica que evolui rapidamente, o princípio sublinha a necessidade de os conselhos terem acesso regular e confiável a expertise especializada, o que pode ser alcançado por meio de:
Conselheiros Especializados: Os conselhos devem considerar a incorporação de membros que possuam conhecimento específico em cibersegurança ou que possam trazer uma compreensão profunda de tecnologia e riscos digitais.
Consultoria Externa: Além de ter membros do conselho com a expertise necessária, muitos conselhos se beneficiam da consultoria de especialistas externos que podem oferecer insights sobre as melhores práticas e tendências emergentes em cibersegurança.
Educação Continuada: Devido à natureza dinâmica da cibersegurança, é crucial que todos os membros do conselho participem de programas de educação continuada para manterem-se atualizados sobre os últimos desenvolvimentos e ameaças.
Para implementar efetivamente as estratégias de cibersegurança, o princípio recomenda:
Avaliação Regular: Os conselhos e seus comitês devem realizar avaliações regulares da estratégia de cibersegurança da empresa e da eficácia das políticas e práticas atuais.
Simulações de Incidentes: Para testar a resiliência da empresa contra ataques cibernéticos, é aconselhável que o conselho e seus comitês promovam simulações de incidentes cibernéticos.
Feedback e Melhoria Contínua: Os resultados dessas simulações e avaliações devem ser usados para melhorar continuamente as práticas de cibersegurança da empresa.
Este princípio três destaca que a supervisão eficaz da cibersegurança pelo conselho não é apenas uma questão de cumprir obrigações regulatórias, mas uma parte crítica da liderança e governança corporativa. Pois ao estabelecer uma estrutura sólida de supervisão e garantir acesso constante à expertise em cibersegurança, os conselhos podem melhor proteger suas empresas contra as crescentes ameaças cibernéticas e integrar estas práticas dentro da gestão de riscos corporativos mais ampla.
Já o princípio quatro destaca a importância de estabelecer uma estrutura abrangente em toda a empresa para o gerenciamento de riscos cibernéticos, que deve ser robusta, integrada e alinhada com a estratégia geral da empresa e práticas de gestão de riscos. Aqui estão os pontos detalhados abordados nesta seção:
O princípio enfatiza a necessidade de uma abordagem sistêmica e integrada para gerenciar riscos cibernéticos, que envolve vários componentes:
Estrutura Integrada de Gestão de Riscos: A estrutura de gerenciamento de risco cibernético deve ser parte integrante da estrutura de gestão de riscos da empresa, garantindo que todos os riscos, incluindo os cibernéticos, sejam considerados no contexto mais amplo dos objetivos estratégicos e operacionais da empresa.
Políticas e Procedimentos Claros: Deve haver políticas claras definindo responsabilidades, procedimentos e protocolos para a gestão de riscos cibernéticos. Estas políticas devem ser comunicadas a todos os níveis da empresa para garantir que sejam compreendidas e implementadas corretamente.
Recursos Adequados: A estrutura deve ser apoiada por recursos adequados, incluindo investimento em tecnologia, treinamento de pessoal e desenvolvimento de competências internas para responder eficazmente aos riscos cibernéticos.
A implementação eficaz da estrutura de gerenciamento de risco cibernético requer o envolvimento ativo e o compromisso da gestão de topo:
Engajamento Executivo: Os executivos mais relevantes como o CEO, CFO e CIO, devem estar diretamente envolvidos na definição da estratégia de cibersegurança e na supervisão de sua execução, assegurando que as práticas de cibersegurança estejam alinhadas com os objetivos globais da empresa.
Comunicação e Treinamento: A gestão deve promover uma cultura de cibersegurança através de comunicação regular e treinamento de funcionários em todos os níveis, destacando a importância da segurança e da conformidade com as políticas internas.
Para garantir a eficácia da estrutura de gerenciamento de riscos cibernéticos, é preciso realizar monitoramento e revisões regulares:
Auditorias e Avaliações de Riscos: As auditorias regulares e as avaliações de riscos ajudam a identificar vulnerabilidades e avaliar a eficácia das medidas de controle implementadas, permitindo ajustes conforme necessário.
Relatórios e Análises: Devem ser estabelecidos processos robustos de relatório e análise para garantir que informações críticas sobre riscos cibernéticos cheguem aos tomadores de decisão de forma tempestiva.
A estrutura deve também incorporar o uso de tecnologia avançada e práticas inovadoras para fortalecer a segurança cibernética:
Investimento em Tecnologia: Investir em soluções tecnológicas avançadas, como inteligência artificial (IA) e aprendizado de máquina, para melhorar a detecção de ameaças e a resposta a incidentes.
Inovação Contínua: Encorajar a inovação contínua em práticas de cibersegurança para manter-se à frente das ameaças emergentes em um ambiente digital em rápida evolução.
Implementar uma estrutura empresarial abrangente para o gerenciamento de risco cibernético é fundamental para proteger os ativos e a reputação da empresa. Esta estrutura deve ser adaptável e resiliente, capaz de evoluir em resposta a um ambiente de ameaça em constante mudança. Ao seguir este princípio, os conselhos podem garantir que a organização não apenas atenda às exigências regulatórias, mas também esteja bem posicionada para enfrentar os desafios cibernéticos futuros.
Já o princípio cinco fala da importância de estabelecer sistemas de medição e relatório eficazes para a cibersegurança, até para que os conselhos de administração e seus comitês possam avaliar a eficácia das políticas e práticas de cibersegurança da empresa, bem como responder de maneira informada aos riscos emergentes.
A medição de cibersegurança envolve o desenvolvimento de indicadores chave de desempenho (KPIs) que permitem ao conselho e à gestão monitorar a eficácia das medidas de segurança e identificar áreas que necessitam de melhorias. Os KPIs devem ser:
Relevantes e Compreensíveis: Os indicadores devem ser selecionados com base em sua relevância para os objetivos de cibersegurança da organização e devem ser facilmente compreensíveis para todos os membros do conselho e comitês.
Quantificáveis: Deve ser possível quantificar os indicadores para permitir análises objetivas e baseadas em dados.
Consistentemente Aplicados: A metodologia para a medição deve ser consistente ao longo do tempo para permitir comparações e rastrear o progresso.
O relatório de cibersegurança é importante para manter o conselho informado sobre o estado da segurança da informação da organização. O relatório deve incluir:
Frequência Apropriada: Os relatórios devem ser apresentados com uma frequência que reflita a dinâmica dos riscos cibernéticos enfrentados pela empresa, podendo ser necessário aumentar a frequência em períodos de maior risco.
Detalhes sobre Incidentes: Cada relatório deve detalhar quaisquer incidentes de segurança que ocorreram, suas causas, como foram geridos e quais lições foram aprendidas.
Análise de Tendências: Além de relatar incidentes específicos, os relatórios devem incluir uma análise de tendências mais ampla, observando como os riscos cibernéticos estão evoluindo globalmente e o que isso pode significar para a empresa.
Além disto a empresa precisa avaliar regularmente sua conformidade com as leis e regulamentos de cibersegurança relevantes. Isso inclui:
Auditorias Regulares: Conduzir auditorias regulares para verificar a conformidade com as normas internas e externas.
Resposta a Falhas de Conformidade: Estabelecer procedimentos claros para responder a quaisquer falhas de conformidade, incluindo medidas corretivas e estratégias para evitar repetições.
Para apoiar a medição e o relatório eficazes, as organizações devem utilizar ferramentas tecnológicas avançadas:
Tecnologia de Análise de Dados: Implementar ferramentas de análise de dados que possam processar grandes volumes de informações de segurança para identificar padrões e tendências.
Automatização: Usar automação para coletar e analisar dados de segurança, o que pode aumentar a eficiência e reduzir a possibilidade de erro humano.
A eficácia dos sistemas de medição e relatório depende também em muito da competência e conhecimento das pessoas que os utilizam, portanto é preciso que haja:
Treinamento Regular: Todos os envolvidos na medição e relatório de cibersegurança recebam treinamento regular sobre as ferramentas e técnicas mais recentes.
Desenvolvimento de Habilidades: Encorajar o desenvolvimento contínuo de habilidades em análise de dados e segurança cibernética entre os funcionários responsáveis por estas áreas.
Resiliência Sistêmica e Colaboração
Além de medidas internas os conselhos devem promover a resiliência sistêmica através da colaboração com outras empresas, reguladores e até agências governamentais.
Que no Brasil é representado pelo CNCiber (Comitê Nacional de Cibersegurança), que é um colegiado, coordenado pelo Gabinete de Segurança Institucional (GSI) da Presidência, e composto por 25 membros titulares, com representantes de 13 ministérios, da Agência Nacional de Telecomunicações (Anatel), do Banco Central, de instituições científicas, de empresários do setor de cibersegurança e da sociedade civil.
Este princípio é vital em um ambiente onde muitos ataques cibernéticos e técnicas são de natureza global e interconectada. Encorajar a colaboração e a partilha de informações pode ajudar não só a individual empresa, mas também o mercado e segmento que atua, e até mesmo para a sociedade em geral a se defenderem melhor contra ameaças cibernéticas.
Queria comentar mais sobre princípio seis que fala exatamente da necessidade de promover a resiliência sistêmica e fomentar a colaboração entre entidades corporativas, setoriais e governamentais como estratégias fundamentais para lidar com desafios de cibersegurança de maneira eficaz.
A resiliência sistêmica envolve a capacidade de uma empresa para se preparar e responder a perturbações significativas, assegurando a continuidade dos negócios e a integridade dos serviços críticos. As recomendações para os conselhos e seus comitês incluem:
Integração de Resiliência como Valor Corporativo: Encorajar as empresas a incorporar a resiliência não apenas como uma medida defensiva, mas como um valor intrínseco aos processos de negócios, influenciando todas as decisões estratégicas e operacionais.
Desenvolvimento de Planos de Continuidade de Negócios Robustos: Implementar e testar regularmente planos que abordem não apenas recuperações de desastres naturais, mas também intrusões cibernéticas e outras interrupções tecnológicas.
A colaboração entre diferentes setores e entre o setor privado e o governo é vista como importante para combater ameaças cibernéticas eficazmente. Isso inclui:
- Parcerias entre Empresas: Promover alianças estratégicas entre empresas, inclusive concorrentes, para compartilhar práticas de segurança e desenvolver respostas comuns a ameaças cibernéticas.
- Engajamento com o Governo: Incentivar a participação ativa em iniciativas governamentais de cibersegurança e contribuir para a formulação de políticas públicas que fortaleçam a segurança nacional e empresarial.
- Participação em Organismos Setoriais: Atuar em conselhos setoriais e outras organizações focadas em cibersegurança para padronizar práticas de segurança e facilitar a resposta coordenada a incidentes.
Importante que os membros do conselho, seus comitês e também os executivos estejam continuamente informados sobre as tendências e práticas atuais em cibersegurança, o que pode ser alcançado por meio de:
- Sessões de Informação e Treinamento Regular: Promover treinamentos educativos que não apenas atualizem os membros do conselho sobre novas ameaças, mas também sobre regulamentações e práticas recomendadas em evolução.
- Promoção de uma Cultura de Segurança: Encorajar a criação de uma cultura organizacional que valorize a segurança cibernética, o que inclui desde a formação contínua de todos os colaboradores até a integração de práticas de segurança nos processos empresariais.
A promoção de resiliência sistêmica e a colaboração intersetorial e governamental são vistas como essenciais não só para mitigar riscos cibernéticos específicos, mas também para fortalecer a infraestrutura crítica nacional e global contra uma variedade de ameaças. Os conselhos de administração são encorajados a adotar uma abordagem proativa e integrada, garantindo que a cibersegurança seja considerada uma prioridade estratégica e que existam mecanismos eficazes para a colaboração e o compartilhamento de informações sobre ameaças e melhores práticas.
Como podemos ver, o conselho de administração desempenha um papel relevante na governança de riscos cibernéticos, e deve ser proativo na criação de uma cultura que priorize a segurança cibernética como parte integrante da governança corporativa e da responsabilidade empresarial, o que significa uma educação contínua dos membros do conselho sobre as tendências de cibersegurança, a integração de expertises técnicas, e a garantia de que a gestão esteja alinhada com as melhores práticas globais e com as exigências regulatórias. Exatamente o que sempre tento fazer e que estou aqui compartilhando com vocês interessados no tema.