Artigo
29/08/2023
Atualizado em 10/04/2026

Mais Dicas Úteis sobre Risco Cibernético para o Conselho de Administração de Empresas

Conselhos de administração devem avaliar riscos, definir apetite ao risco, implementar planos de contingência, exigir relatórios claros, promover cultura de segurança e garantir competências técnicas em cibersegurança.

Imagem de capa do artigo

Como havia falado no post de ontem, a gestão de riscos cibernéticos é um tema de alta complexidade, que exige atenção não apenas dos setores técnicos, mas também dos altos executivos e conselhos de administração das empresas.

A estratégia de cibersegurança é um elemento importante para assegurar que os ativos de informação e as operações da empresa estejam protegidos contra ameaças internas e externas.

Queria então complementar o post de ontem trazendo mais informações e dicas sobre o tema e 5 pontos que acho críticos:

1) Avaliação de Riscos e Vulnerabilidades

Para avaliar eficazmente os riscos cibernéticos, o conselho de administração deve estar munido de informações detalhadas sobre a arquitetura tecnológica da empresa, seus ativos mais críticos, vulnerabilidades, prováveis ameaças e as consequências potenciais de um ataque cibernético. Isso requer uma colaboração estreita com a gestão executiva e os responsáveis pela segurança da informação para receber atualizações regulares e análises de riscos. O conselho pode também considerar frameworks internacionalmente reconhecidos para guiar suas decisões como o: frameworks de cibersegurança do NIST (Instituto Nacional de Padrões e Tecnologia dos Estados Unidos), assim como a ISO27001.

Sobre este tema algumas considerações e tópicos para ficar de olho como:

  • Ativos Críticos e Sistemas: A identificação precisa dos ativos críticos da empresa é essencial. O conselho deve exigir relatórios detalhados sobre onde esses ativos estão armazenados, sejam eles tangíveis, intelectuais ou reputacionais. Diferentes ativos terão diferentes riscos associados.
  • Consequências de um Incidente Relevante de Segurança: Uma análise do impacto empresarial de potenciais incidentes de segurança deve ser feita, incluindo perda financeira, danos à reputação e impacto operacional.
  • Vulnerabilidades: A implementação de testes regulares, como auditorias de firewall e análises de penetração, é essencial. Essas práticas ajudam a identificar pontos fracos no ambiente da empresa, permitindo ações corretivas antes de um incidente real ocorrer.
  • Mapeamento de Ameaças e Probabilidade e Impacto: É fundamental entender quem são os prováveis atacantes e quais métodos podem usar. Essa compreensão ajuda a calibrar as defesas da empresa mais eficazmente.
  • Plano de Gestão dos Riscos e Investimento nas Mitigações: Para ter uma ideia de acordo com o levantamento anual da PwC de 2019, menos de 40% dos diretores corporativos pesquisados têm um plano de gestão de riscos e investimento. O conselho deve insistir em um plano robusto de gestão de riscos e investimento em cibersegurança.

2) Apetite ao Risco e Estratégia:

O conselho deve determinar o apetite ao risco da empresa em relação à cibersegurança, alinhado com os objetivos estratégicos e operacionais da organização. Este é um exercício delicado que precisa levar em consideração múltiplos fatores, incluindo os custos potenciais de fortalecer as medidas de segurança contra os riscos de não fazê-lo. Os membros do conselho devem ser cautelosos para não subestimar os riscos cibernéticos, já que isso pode levar a uma postura demasiadamente permissiva.

Sobre este tema algumas considerações e tópicos para ficar de olho como:

  • Estratégia: A estratégia de digitalização da empresa deve estar em alinhamento com a estratégia global e os objetivos de negócio.
  • Exposição a Riscos: O apetite ao risco deve ser avaliado considerando múltiplos fatores, como vulnerabilidades conhecidas, probabilidade de ataque e possíveis consequências desses ataques.
  • Custos: Um orçamento claro para cibersegurança e segurança da informação deve ser estabelecido e comparado com empresas similares para garantir adequação. O céu é o limite e não são soluções atualmente baratas.
  • Apetite ao Risco: O apetite deve ser formulado com base em uma avaliação global, considerando fatores como tipo de risco, tipo de produto, clientes, estratégia e objetivos.
  • Políticas: Este apetite ao risco deve ser implementado em políticas internas abrangentes, incluindo riscos operacionais, de conformidade, de mercado, entre outros.

3) Planos, Processos e Contingências:

Cada empresa precisa ter planos de contingência testados para situações de ataque cibernético. O conselho deve insistir em políticas e processos bem documentados e atualizados regularmente para responder a incidentes de segurança. Normas internacionais como a ISO27001 podem fornecer um excelente ponto de partida para tais esforços.

Sobre este tema algumas considerações e tópicos para ficar de olho como:

  • Processos e Políticas: É essencial que a empresa tenha políticas de segurança da informação bem documentadas, apoiadas ativamente pela gestão executiva e disseminadas aos empregados.
  • Planos de Contingência: Planos para recuperação de sistemas e dados (Disaster Recovery Plans e Technical Recovery Plans) devem ser estabelecidos e testados regularmente. Também é importante ter um Plano de Continuidade de Negócios para assegurar a operação da empresa caso haja falha nos sistemas.
  • Envolvidos e Responsáveis: O plano deve descrever quem deve estar envolvido em caso de crise, incluindo funções de comunicação, finanças, gestão, jurídico, equipe de resposta e/ou especialistas em TI.

4) Relatórios e Controle:

O conselho deve insistir em receber relatórios claros e mensuráveis sobre ameaças, riscos e incidentes de cibersegurança. Tais relatórios devem ser uma parte integral do ciclo anual de governança corporativa da empresa, permitindo ao conselho exercer seu papel de supervisão de forma efetiva.

Sobre este tema algumas considerações e tópicos para ficar de olho como:

  • Relatórios: O conselho deve receber relatórios periódicos que abordem uma série de indicadores chave, desde os riscos mais importantes até o status das medidas de segurança.
  • Auditoria: Recomenda-se que a empresa tenha auditores certificados que preparem declarações relativas à segurança de TI.

5) Cultura e Pessoas:

O elemento humano é frequentemente o elo mais fraco em estratégias de cibersegurança. O conselho deve liderar no estabelecimento de uma cultura que valoriza a segurança da informação, por meio de programas de conscientização e treinamento continuado para todos os membros da organização.

Sobre este tema algumas considerações e tópicos para ficar de olho como:

  • Treinamento: Programas de treinamento em cibersegurança devem ser contínuos e abranger todos os níveis da organização.
  • Cultura e Conhecimento Compartilhado: Promova uma cultura de segurança cibernética que incentive a colaboração e compartilhamento de conhecimento em toda a organização.

6) Competências e Organização:

O conselho deve possuir, ou ter acesso a, competências técnicas adequadas para compreender e discutir questões de cibersegurança em pé de igualdade com a gestão executiva. Isso pode exigir a contratação de conselheiros ou consultores externos com conhecimento especializado na área.

Sobre este tema algumas considerações e tópicos para ficar de olho como:

  • Diversidade do Conselho: Pelo menos um membro do conselho deve ter competências e experiência em segurança cibernética.
  • Linha de Report da Área de Riscos: A organização de segurança deve estar firmemente ancorada no nível executivo, preferencialmente como uma função que reporta diretamente ao conselho.

Queria então fazer um resumo de forma concisa, mas abrangente, os principais temas que devem estar na agenda dos conselhos de administração no que tange à segurança cibernética. A adoção de uma abordagem estruturada permite não apenas mitigar riscos, mas também alocar recursos de forma eficiente. Vejam minha sugestão de check-list para o conselheiro:

1) Avaliação de Riscos e Vulnerabilidades:

  • Significado para o negócio em caso de ativos valiosos alterados, roubados ou vazados, e indisponibilidade de sistemas críticos.
  • Identificação de possíveis atacantes, suas ferramentas e objetivos.
  • Áreas mais vulneráveis da empresa (tecnologia, pessoas, processos) e probabilidade de ataques nessas áreas.
  • Plano atual de gestão de riscos da empresa, incluindo investimentos.

2) Apetite ao Risco e Estratégia:

  • Tamanho do orçamento para segurança cibernética da empresa.
  • Comparação do nível e do orçamento de segurança cibernética com outras áreas da empresa e com outras empresas.
  • Custos potenciais para atualizações de segurança.
  • Tolerância ao risco da empresa em relação a riscos cibernéticos com base nas informações acima.

3) Planos, Processos e Contingências:

  • Existência de políticas de segurança de TI documentadas e apoiadas pela gestão.
  • Planos de contingência e comunicação para lidar com incidentes de segurança cibernética.
  • Detalhes sobre como a empresa pode retomar rapidamente as operações após um incidente.
  • Testes e revisões regulares desses planos e ajustes com base em incidentes em outras empresas.
  • Acordos com especialistas externos para suporte em caso de incidentes.

4) Relatórios e Controle:

  • Recebimento, pelo conselho, de relatórios regulares sobre segurança cibernética da gerência executiva.
  • Implementação da segurança cibernética como parte permanente de um ciclo anual de governança.

5) Cultura e Pessoas:

  • Programas de treinamento e educação em segurança cibernética para todos os níveis da organização.
  • Promoção da colaboração e compartilhamento de conhecimento em toda a organização.
  • Liderança do conselho na promoção de uma cultura saudável de segurança cibernética.

6) Competências e Organização:

  • Presença de pelo menos um membro do conselho com experiência técnica ou em segurança.
  • A segurança cibernética é um item regular na agenda das reuniões do conselho.
  • Engajamento ativo do conselho em discussões sobre segurança cibernética.
  • Consciência do conselho de que seus membros são alvos óbvios para ataques cibernéticos.
  • Alocação de recursos adequados e com as habilidades técnicas certas para tarefas relacionadas à segurança cibernética.

Dito isto, queria também sugerir de forma prática uma agenda anual para tratar de segurança cibernética, de forma a garantir que todos os aspectos desse tema sejam abordados de forma sistemática e com a devida atenção. Aqui está uma sugestão de como organizar essa agenda:

1) Primeiro Trimestre (Q1)

Organização, incluindo competências e organização cibernética:

  • Revisão dos perfis de competências necessários na organização para tratar da segurança cibernética.
  • Identificação de lacunas de competência e planos para fechá-las.

Conscientização sobre segurança cibernética

  • Lançamento ou revisão de programas de treinamento em segurança cibernética para todos os níveis da organização.

Status de operações e incidentes de segurança

  • Revisão e análise de quaisquer incidentes de segurança do trimestre anterior.
  • Atualização do conselho sobre o status das operações cibernéticas.

2) Segundo Trimestre (Q2)

Estrutura e estratégia para gerenciamento de riscos cibernéticos e Determinação do apetite ao risco

  • Revisão ou estabelecimento da estrutura para o gerenciamento de riscos cibernéticos.
  • Definição ou revisão do apetite ao risco da organização no contexto cibernético.

Status de operações e incidentes de segurança

  • Continuação do monitoramento e relatório de incidentes de segurança.

3) Terceiro Trimestre (Q3):

Gestão de riscos e políticas e planos de contingência cibernética

  • Revisão ou atualização de políticas de gestão de riscos e planos de contingência para incidentes cibernéticos.

Cobertura de seguro para ataques cibernéticos

  • Avaliação da adequação da cobertura de seguro contra ataques cibernéticos.

Status de operações e incidentes de segurança

  • Continuação do monitoramento e relatório de incidentes de segurança.

4) Quarto Trimestre (Q4):

Orçamento anual, incluindo orçamento para segurança de TI e investimentos em melhorias

  • Discussão e aprovação do orçamento de segurança de TI para o próximo ano.
  • Decisão sobre investimentos em melhorias de segurança com base em análises de ROI e avaliações de risco.

Status de operações e incidentes de segurança

  • Relatório final do ano sobre o status de operações e incidentes de segurança.
As opiniões dos autores convidados da nossa comunidade são independentes e não necessariamente representam a opinião da Okai.

Autor

Foto de perfil de Luiz Henrique Lobo

Luiz Henrique Lobo

Membro Independente de Conselhos | Comitê de Riscos da Caixa e de Auditoria da BR Partners | Consultor e Palestrante