Como sabem este assunto dos riscos cibernéticos sempre me preocupa, o que me motiva a sempre aprender mais a respeito, pois acho que a responsabilidade da chamada governança cibernética vai ganhando espaço e importância.
Por isto queria comentar sobre um paper sobre o tema que li da empresa Diligent coordenado pelo Andre Bodowski que aborda alguns pontos que acho interessante o pessoal dos conselhos e comitês entenderem seu papel e responsabilidade.
Começo levantando o ponto de que mas por que a governança cibernética está se tornando cada vez mais importante para as empresas?
A governança cibernética está se tornando cada vez mais importante para as empresas devido ao aumento exponencial de incidentes de crimes cibernéticos, com um aumento segundo levantamentos de mais de 400% nos ataques cibernéticos a empresas de 2019 a 2020.
Isso levou a uma maior atenção, cuidado e supervisão da gestão e do conselho sobre questões de segurança cibernética, com governança cibernética passando a ser vista como um aspecto fundamental da segurança cibernética eficaz e do gerenciamento de riscos.
Sem falar dos investidores e órgãos reguladores que também veem a governança cibernética como essencial para fortalecer a resiliência cibernética geral das organizações.
Além disso, os altos custos dos recentes eventos de invasões cibernéticas tiveram impactos paralelos nas avaliações de ações, com empresas experimentando baixo desempenho de curto e longo prazo, por isto mesmo como resultado deste cenário, os investidores e outras partes interessadas externas estão exigindo que as empresas confirmem que seus conselhos estão preparados para lidar com riscos cibernéticos e que demonstrem esforços proativos e prudentes para fortalecer a segurança cibernética. O descumprimento pode resultar em ação judicial contra a diretoria. Portanto, a governança cibernética está se tornando um aspecto cada vez mais importante da governança corporativa e da gestão de riscos.
Mas então como os conselhos podem se proteger de ações legais no caso de um ataque cibernético?
Antes de mais nada acho que os conselhos podem se proteger de ações legais no caso de uma violação cibernética, demonstrando esforços proativos e prudentes para fortalecer a segurança cibernética. Isso pode incluir monitoramento ativo de problemas cibernéticos, compreensão e medição de riscos cibernéticos e priorização das ações necessárias.
Neste sentido é importante também que os conselhos tenham uma maneira de entender os riscos cibernéticos, compará-los com os pares do mercado e estabelecer medidas de governança apropriadas. Métricas de segurança cibernética específicas para a empresa que comparam o progresso podem ajudar a demonstrar melhorias tangíveis em sua postura de segurança cibernética, o que, por sua vez, valida a supervisão do conselho para investidores e influenciadores do setor.
Além disso, examinar as vulnerabilidades em suas próprias plataformas deve ser um dos passos iniciais que os conselhos devem tomar para obter mais perspectivas sobre os riscos de segurança cibernética.
Mas então quais as tais métricas as empresas podem usar para demonstrar melhorias em sua postura de segurança cibernética?
As empresas podem usar métricas específicas que comparam seu progresso com seus pares no mercado, como: o número de incidentes cibernéticos, o tempo de resposta a incidentes e a eficácia das medidas de segurança cibernética.
Essas métricas podem ajudar as empresas a demonstrar melhorias tangíveis em sua postura de segurança cibernética, o que pode validar a supervisão do conselho para investidores e influenciadores do setor. Além disso, os painéis de segurança cibernética podem fornecer informações fundamentais para estabelecer medidas de governança apropriadas.
Podem ter acesso completo ao material no link abaixo: