Como sabem, até ultimamente pela quantidade de posts que tenho escrito a respeito do tema dos riscos cibernéticos, este é um assunto que me preocupa, e por isto mesmo tento estar sempre bem informado, e outro dia estava lendo um material da NACD (National Association of Corporate Directors) americana sobre o tema, e resolvi compartilhar alguns dos pontos que me chamaram mais atenção e que acho que merecem a sua também.
À medida que negócios ao redor do mundo dependem cada vez mais da tecnologia, uma revolução digital que trouxe enormes recompensas também expandiu exponencialmente os riscos, assim como as ameaças cibernéticas que enfrentamos hoje é mais complexa e perigosa do que nunca, com o cibercrime previsto para custar ao mundo cerca de 8 trilhões de dólares em 2023, e projetadas para subir para US$ 10,5 trilhões até 2025, colocando em riscos a nossa reputação corporativa e receitas em jogo, o que vai nos fazer pensar de forma diferente a respeito deste tema crítico. Em média, as violações de 2022 não foram detectadas até 207 dias após a ocorrência, e normalmente levou 70 dias para conter uma violação em 2022.
Esses dados enormes e alarmantes mostram bem a urgência que se deve abordar a cibersegurança não apenas como uma necessidade técnica, mas como uma estratégia integrada que inclui governança, gestão de risco e alinhamento com as operações de negócios e objetivos de longo prazo.
Considere agora um exemplo hipotético, porém muito possível e perto da realidade que vemos no dia a dia, aonde um CISO de uma empresa farmacêutica recomenda que a empresa financie uma ferramenta de autenticação multifatorial resistente a phishing para todas as contas de funcionários. Mas a alta direção prefere direcionar seu orçamento para outras coisas que acham mais importantes, e recusam o pedido do CISO (quem já não viu isto acontecer de verdade?), pensando de que o MFA aprimorado seria mais custoso do que justificado a curto prazo, baseado em seu julgamento sobre a probabilidade de um ataque cibernético.
Porém felizmente a decisão chega ao conselho através de um de seus comitês de riscos, e é então revisada e aprovada pelo conselho. Mais tarde, alguns dias depois, quando um atacante engana um usuário para revelar suas credenciais de login, dados são exfiltrados e sistemas são desativados por ransomware, com os seguintes impactos em cascata:
Atraso no envio de medicamentos críticos, resultando em cirurgias adiadas pelo país.
Roubo de dados sensíveis de clientes, resultando em roubo de identidade e impacto financeiro pessoal para milhões de clientes.
Roubo de propriedade intelectual crítica, eventualmente vendida para uma empresa estrangeira de uma nação adversária, que lança vários medicamentos concorrentes no mercado anos à frente do previsto, com efeitos downstream na participação de mercado.
Com o tempo, o sistema de saúde passa a depender fortemente da empresa estrangeira para os farmacêuticos, o que ultimamente prejudica a competitividade e sua alavancagem no caso de um conflito geopolítico.
Do ponto de vista dos negócios a curto prazo, os impactos financeiros do ataque cibernético são até quem sabe toleráveis, embora a empresa, que se encontra nas manchetes por várias semanas, sofra um golpe reputacional. A longo prazo, no entanto, o ataque resulta em danos significativos para indivíduos, outras empresas, competitividade econômica nacional e inovação tecnológica.
Por muito tempo o risco cibernético foi considerado parte do risco de tecnologia da informação (TI), e assim por isto mesmo sua supervisão e gestão foi em grande parte delegada às equipes de engenharia e segurança dentro de uma empresa. No entanto, mais recentemente, depois de tantos casos bem-sucedidos de ataques, os líderes corporativos começaram a ver o risco cibernético pelo que ele realmente é: um risco estratégico de empresa, que eles, e não apenas seus CISOs, possuem.
Por isto mesmo hoje, dado nosso ambiente complexo, dinâmico e altamente interconectado, conselhos, seus comitês e a alta gestão devem agora considerar o quadro mais amplo e o papel crítico que desempenham na resiliência de suas empresas e até da sociedade como vimos no exemplo acima. Precisamos de um novo modelo de cibersegurança sustentável. Um que comece com um compromisso no nível do conselho para incentivar uma cultura de responsabilidade corporativa cibernética, na qual a gestão de risco cibernético é tratada como uma questão fundamental de boa governança e boa cidadania corporativa, e principalmente com a necessidade de os conselhos incentivarem a resiliência sistêmica por meio da colaboração.
Os membros do conselho e seus comitês de assessoramento como de riscos e de auditoria têm um poder único para impulsionar tal cultura de responsabilidade corporativa cibernética, da seguintes formas:
Eles devem garantir que os CISOs estejam totalmente capacitados, com a influência e os recursos necessários para tomar decisões onde a cibersegurança é efetivamente priorizada, não subordinada a custos, desempenho e velocidade de comercialização.
Eles devem garantir que seus pares e os executivos que supervisionam estejam bem informados sobre o risco cibernético, que as considerações de cibersegurança sejam adequadamente priorizadas em cada decisão empresarial e tecnológica, e que decisões de aceitar em vez de mitigar riscos cibernéticos sejam escrutinadas e revisadas frequentemente.
Eles devem revisar o quadro de gestão de risco cibernético da empresa e garantir o desenvolvimento de um conjunto comum de padrões que suas empresas possam usar para determinar e medir sua exposição ao risco cibernético.
Eles devem garantir que os limiares para relatar atividades maliciosas potenciais à alta gerência não sejam muito altos; pelo contrário, eles devem ser informados sobre "quase acidentes" bem como tentativas de intrusão que sucedem, pois tais quase acidentes estão entre os sinais mais importantes para avaliar a qualidade das defesas de uma empresa e sua reação a incidentes.
Finalmente os membros do conselho e seus comitês devem defender ativamente um modelo de colaboração que pressupõe uma posição padrão na qual informações sobre atividades maliciosas sejam compartilhadas proativamente com expectativas de que o governo será responsivo e agregará valor, e que a empresa não sofrerá sanções punitivas por compartilhar.
