Artigo
16/04/2023
Atualizado em 10/04/2026

Papéis e Responsabilidades do Conselho na Gestão de Riscos Cibernéticos

Guia do IBGC detalha as responsabilidades do conselho na supervisão da gestão de riscos cibernéticos, incluindo definição de papéis, monitoramento de políticas e promoção da resiliência organizacional.

Imagem de capa do artigo

Queria comentar aqui sobre o material do IBGC - Instituto Brasileiro de Governança Corporativa sobre um dos temas que mais me preocupa que é o risco cibernético, e mais especificamente sobre os papéis e responsabilidades do Conselho na gestão de riscos cibernéticos.

Trata-se de um guia que destaca a importância da gestão de riscos cibernéticos para a sustentabilidade das empresas e como o conselho de administração deve supervisionar essa gestão. O conselho deve definir os papéis e responsabilidades da gestão de riscos cibernéticos da companhia, atentando para a independência do responsável pela segurança cibernética. Além disso, o conselho deve promover a discussão, revisão e monitoramento do apetite a riscos alinhado à estratégia da companhia.

Outra responsabilidade importante do conselho é entender e supervisionar os fatores que influenciam a cultura de gestão de riscos cibernéticos. Isso inclui discutir e aprovar as diretrizes das políticas de segurança cibernética e supervisionar os indicadores de segurança cibernética.

O guia também destaca a importância da governança na gestão de riscos cibernéticos. O conselho deve garantir que a gestão de riscos cibernéticos esteja inserida e alinhada às práticas de gestão de riscos da organização. A resiliência cibernética, trazida por uma boa gestão dos riscos cibernéticos, contribui para que a empresa tenha mais segurança e qualificação para promover inovações e utilizar novas tecnologias.

As principais responsabilidades do conselho na gestão de riscos cibernéticos incluem definir os papéis e responsabilidades da gestão de riscos cibernéticos da companhia, atentar para a independência do responsável pela segurança cibernética, promover a discussão, revisão e monitoramento do apetite a riscos alinhado à estratégia da companhia, entender e supervisionar os fatores que influenciam a cultura de gestão de riscos cibernéticos, discutir e aprovar as diretrizes das políticas de segurança cibernética e supervisionar os indicadores de segurança cibernética. O conselho também deve garantir que a gestão de riscos cibernéticos esteja inserida e alinhada às práticas de gestão de riscos da organização. A salvaguarda dos ativos da empresa é fundamental para evitar perdas de todos os tipos e danos à reputação.

O Capítulo 1 do guia destaca a importância da governança na gestão de riscos cibernéticos. Ele enfatiza que a gestão de riscos cibernéticos deve ser tratada como parte integrante da estratégia geral da empresa e não como uma atividade isolada. O capítulo também destaca a importância de definir papéis e responsabilidades claras para a gestão de riscos cibernéticos, incluindo quem é responsável por tomar decisões importantes relacionadas à segurança da informação. Além disso, o capítulo enfatiza que uma boa governança pode ajudar a promover uma cultura forte de segurança da informação em toda a organização. Por fim, o capítulo destaca que uma boa governança na gestão de riscos cibernéticos pode contribuir para que a empresa tenha mais segurança e qualificação para promover inovações e utilizar novas tecnologias. A resiliência cibernética trazida por uma boa gestão dos riscos cibernéticos pode ajudar as empresas a se protegerem contra ameaças cada vez mais sofisticadas e manterem suas operações em funcionamento mesmo após um incidente.

O Capítulo 2 do guia aborda os ataques cibernéticos e as leis relacionadas a eles. Ele destaca que os alvos dos ataques são escolhidos com base na motivação que o criminoso cibernético tem em relação à empresa, que pode ser a de destruir, expor, modificar, roubar ou ter acesso a um ativo ou a de usá-lo sem autorização, visando prejudicar ou obter vantagens para si ou terceiros. O capítulo também destaca as consequências para as empresas em caso de ataques cibernéticos, que podem ir desde prejuízos financeiros até sérios danos à reputação e imagem da empresa, com o potencial de levar a empresa à extinção com um único evento. Além disso, o capítulo aborda as leis relacionadas aos ataques cibernéticos e destaca a importância das empresas estarem em conformidade com essas leis. Ele enfatiza que as empresas devem estar cientes das leis aplicáveis e tomar medidas adequadas para garantir que estejam em conformidade com elas.

Tem uma parte interessante que fala de aonde as empresas falham, que destaca que as empresas falham em questões gerenciais relacionadas à segurança cibernética, como a ausência ou ineficácia de processos, procedimentos e controles que poderiam minimizar o risco de ser vítima de um ataque. Alguns exemplos dessas falhas incluem lapsos em atualizações de sistemas, gestão ineficiente de acessos, não rastreamento das informações e não observância da gestão de segurança da informação aplicada a fornecedores e parceiros. Esta parte ainda enfatiza que a indagação sobre o ataque cibernético não é "Se" e sim "Quando", portanto, as empresas devem se preparar para serem resilientes, responder rapidamente ao incidente e ser capazes de manter e/ou restabelecer suas operações.

O Capítulo 3 do guia aborda os aspectos práticos da gestão de riscos cibernéticos. Ele destaca que a gestão de riscos cibernéticos deve ser uma atividade contínua e integrada à estratégia geral da empresa. O capítulo apresenta um modelo de gestão de riscos cibernéticos em quatro etapas: identificação, avaliação, tratamento e monitoramento. Ele enfatiza a importância de identificar os ativos críticos da empresa e avaliar os riscos associados a eles. Em seguida, o capítulo destaca a importância de implementar medidas para tratar esses riscos e monitorá-los continuamente. O capítulo também aborda a importância da conscientização dos funcionários sobre segurança cibernética e destaca que as empresas devem investir em treinamentos regulares para garantir que todos os funcionários estejam cientes dos riscos e saibam como agir em caso de incidentes. Por fim, o capítulo destaca a importância das empresas terem planos de contingência para lidar com incidentes cibernéticos e participarem regularmente de simulações para testar esses planos. Ele enfatiza que as empresas devem estar preparadas para responder rapidamente aos incidentes e minimizar seus impactos.

Tem uma parte sobre reflexões sobre a gestão de riscos cibernéticos, que destaca que a gestão de riscos cibernéticos é uma atividade contínua e que as empresas devem estar sempre atualizadas em relação às ameaças e vulnerabilidades. Esta parte enfatiza que a gestão de riscos cibernéticos deve ser uma atividade integrada à estratégia geral da empresa e que deve envolver todos os níveis hierárquicos, desde os funcionários até os conselheiros de administração. Além disso, a parte destaca que as empresas devem estar em conformidade com as leis e regulamentações aplicáveis e investir em tecnologias e soluções para minimizar os riscos cibernéticos.

O guia ainda trás um interessante Checklist do conselheiro de administração que inclui:

1) Definir papéis e responsabilidades da gestão de riscos cibernéticos da companhia, baseado no Modelo das Três Linhas do IIA, e atentar para a independência do responsável pela segurança cibernética.

2) Promover a discussão, revisão e monitoramento do apetite a riscos alinhado à estratégia da companhia.

3) Entender e supervisionar os fatores que influenciam a cultura de gestão de riscos cibernéticos.

4) Discutir e aprovar as diretrizes das políticas de segurança cibernética.

5) Supervisionar os indicadores de segurança cibernética.

O Checklist destaca que o conselho deve estar sempre atualizado em relação às ameaças e vulnerabilidades cibernéticas e deve garantir que a empresa esteja em conformidade com as leis e regulamentações aplicáveis. Além disso, o conselho deve estar preparado para lidar com incidentes cibernéticos e ter planos de contingência eficazes.

O guia ainda sugere algumas boas medidas preventivas que as empresas podem adotar como:

1) Desenvolver um plano de resposta a incidentes de segurança da informação, que deve incluir procedimentos claros para lidar com diferentes tipos de incidentes.

2) Realizar treinamentos regulares com os funcionários para conscientizá-los sobre a importância da segurança da informação e como agir em caso de incidentes.

3) Implementar controles de acesso adequados para garantir que apenas pessoas autorizadas tenham acesso aos sistemas e informações críticas.

4) Realizar testes regulares de vulnerabilidade e avaliações de risco para identificar possíveis pontos fracos na infraestrutura de TI.

5) Manter sistemas atualizados com as últimas correções e patches disponíveis.

6) Estabelecer parcerias com fornecedores confiáveis e aplicar gestão de segurança da informação a eles.

7) Monitorar continuamente os indicadores de segurança cibernética para detectar possíveis ameaças ou atividades suspeitas.

8) Ter um plano claro para comunicação externa em caso de incidentes, incluindo como notificar clientes, parceiros e autoridades regulatórias relevantes.

A governança é fundamental na gestão de riscos cibernéticos, pois ajuda a garantir que a gestão de riscos cibernéticos esteja inserida e alinhada às práticas de gestão de riscos da organização. Isso significa que a gestão de riscos cibernéticos deve ser tratada como parte integrante da estratégia geral da empresa e não como uma atividade isolada.

A governança também ajuda a definir papéis e responsabilidades claras para a gestão de riscos cibernéticos, incluindo quem é responsável por tomar decisões importantes relacionadas à segurança da informação. Além disso, a governança pode ajudar a promover uma cultura forte de segurança da informação em toda a organização, garantindo que todos os funcionários entendam sua importância e saibam como agir em caso de incidentes.

Uma boa governança na gestão de riscos cibernéticos pode contribuir para que a empresa tenha mais segurança e qualificação para promover inovações e utilizar novas tecnologias. A resiliência cibernética trazida por uma boa gestão dos riscos cibernéticos pode ajudar as empresas a se protegerem contra ameaças cada vez mais sofisticadas e manterem suas operações em funcionamento mesmo após um incidente.

Por fim, o guia enfatiza que o conselho deve estar sempre consciente de que a gestão de riscos cibernéticos é parte da segurança da informação e que a salvaguarda dos ativos da empresa é fundamental para evitar perdas de todos os tipos e danos à reputação.

Podem baixar o guia completo no seguinte link abaixo:

https://conhecimento.ibgc.org.br/Lists/Publicacoes/Attachments/24537/Papeis%20e%20Responsabilidades%20do%20Conselho%20-%20Pocket%20book_Finalizado.pdf

As opiniões dos autores convidados da nossa comunidade são independentes e não necessariamente representam a opinião da Okai.

Autor

Foto de perfil de Luiz Henrique Lobo

Luiz Henrique Lobo

Membro Independente de Conselhos | Comitê de Riscos da Caixa e de Auditoria da BR Partners | Consultor e Palestrante