Artigo
30/05/2024
Atualizado em 18/04/2026

Perguntas que os conselheiro e executivos deveriam se fazer sobre o risco cibernético?

Conselheiros e executivos devem avaliar governança, compreensão do risco, resposta a incidentes e treinamento para fortalecer a segurança cibernética e proteger ativos críticos.

Imagem de capa do artigo

Neste mundo cada vez mais digital e conectado que vivemos hoje, os riscos cibernéticos são, sem dúvida, na minha opinião, uma das maiores ameaças à segurança e à continuidade dos negócios. Podem notar que cada vez mais escrevo a este respeito aqui nos meus posts, não por menos, pois ando cada vez mais preocupado com este risco, que me tira o sono...

Infelizmente, empresas, independentemente do porte ou setor, e engana-se as pequenas e de setores fora do financeiro que acham que estão tranquilas e são menos atraentes aos ataques, pois todas estão constantemente expostas a estes ataques cibernéticos, que podem resultar em perdas financeiras significativas, danos irreparáveis à reputação e interrupções operacionais.

Diante dessa realidade, torna-se imprescindível que as empresas adotem uma abordagem proativa e abrangente na gestão de riscos cibernéticos.

Para ajudar nisto, queria trazer abaixo uma série de perguntas relevantes que as empresas devem se fazer para avaliar e fortalecer sua postura de segurança cibernética, abrangendo quatro áreas principais: Governança e Garantia, Entendimento do Risco, Resposta a Incidentes e Treinamento. Cada uma dessas áreas é fundamental para garantir que a organização esteja preparada para prevenir, detectar e responder a incidentes cibernéticos de forma eficaz.

Governança e Garantia:

A governança eficaz e a garantia são essenciais para a gestão de riscos cibernéticos, por isto é importante que a empresa tenha processos robustos de gestão de riscos, responsabilidades claramente definidas e uma compreensão completa das exposições regulatórias e legais. Assim como também é fundamental alinhar a estratégia de risco cibernético com as prioridades estratégicas da empresa, até para conseguir investir adequadamente na mitigação de riscos cyber.

Compreensão do Risco:

Neste mundo do risco cibernético, um dos primeiros passos que precisa dar é entender o valor das informações que a empresa possui, assim como o impacto potencial de uma violação, para conseguir atuar na proteção adequada destes seus ativos críticos. Neste sentido, é importante a avaliação do valor dos dados, as expectativas dos clientes em relação à segurança cibernética e a necessidade de due diligence em relação a terceiros e fornecedores.

Resposta a Incidentes:

A preparação e a resposta eficazes a incidentes cibernéticos são fundamentais para minimizar danos financeiros e reputacionais, desde a detecção de ataques, a existência e a eficácia dos planos de resposta a incidentes, e a capacidade da empresa de realizar análises de causa raiz e implementar melhorias contínuas.

Treinamento:

O treinamento contínuo e abrangente é fundamental para garantir que todos os funcionários estejam cientes dos riscos cibernéticos e saibam como agir em caso de uma violação, por isto destacar sempre a importância de programas de treinamento eficazes e o suporte contínuo para reforçar o aprendizado e promover uma cultura de segurança cibernética.

Dito isto e feita esta breve introdução, vamos então ao que interessa e foco deste post, que são as perguntas, e principalmente as sugestões de resposta para cada uma delas separadas por assunto:

1) Governança e Garantia:

  • Temos um processo eficaz de gestão de riscos empresariais e os riscos cibernéticos estão totalmente integrados a este processo?

É fundamental que a gestão de riscos cibernéticos seja uma parte integrante do processo geral de gestão de riscos da empresa. Isso garante uma abordagem holística e coordenada para identificar, avaliar e mitigar riscos cibernéticos.

A integração completa assegura que as estratégias de mitigação de risco cibernético não sejam desenvolvidas em silos, mas estejam alinhadas com os objetivos e práticas de gestão de risco da organização como um todo.

  • Está claro sobre quem é responsável por gerenciar riscos? Podemos identificar quem no conselho é responsável, quem explica os riscos a eles e com base em quais informações as decisões são tomadas?

A atribuição clara de responsabilidades é bem importante, pois é necessário identificar membros específicos do conselho responsáveis pela supervisão dos riscos cibernéticos e assegurar que eles recebam informações precisas e oportunas para a tomada de decisões.

Normalmente tem suporte direto de um comitê técnico de riscos ou auditoria, como os que participo, e que fazemos exatamente isto.

A comunicação eficaz e a responsabilidade claramente definidas ajudam a garantir que os riscos sejam adequadamente gerenciados e mitigados.

  • Consideramos nosso apetite ao risco em relação aos riscos cibernéticos, comunicamos isso a todas as funções e sabemos se nossos recursos estão sendo implantados de forma eficaz? Como saberíamos se a tomada de riscos inadequada estava ocorrendo?

O apetite ao risco da empresa em relação aos riscos cibernéticos deve ser claramente definido e comunicado a todas as áreas da empresa.

Assim como depois monitorar a implantação de recursos e avaliar regularmente a eficácia das medidas de mitigação ajuda a identificar e corrigir rapidamente qualquer tomada de risco inadequada.

  • Estamos totalmente cientes da exposição regulatória e legal? Quais leis e regulamentos de privacidade e segurança de dados podem se aplicar à organização? Quais são as implicações para nossas decisões de investimento?

A compreensão completa das exigências regulatórias e legais é essencial para evitar penalidades e garantir conformidade, desde a identificação de todas as leis de privacidade e segurança de dados aplicáveis, até a avaliação de como essas exigências influenciam as decisões de investimento da empresa.

  • Nossa estratégia de risco cibernético apoia nossas prioridades estratégicas mais amplas? Nossa mitigação de risco facilita e permite o crescimento? Nossos controles estão atrasando ou bloqueando o progresso e somos ágeis o suficiente para explorar oportunidades de mercado?

A estratégia de risco cibernético deve estar alinhada com as prioridades estratégicas da empresa, facilitando o crescimento e a inovação, sem comprometer a segurança.

Por isto que as avaliações periódicas dos controles existentes garantem que eles não estejam impedindo o progresso e que a empresa esteja preparada para responder rapidamente a novas oportunidades de mercado.

  • Investimos suficientemente na mitigação de risco cibernético, incluindo treinamento, preparação para incidentes e garantia? Como priorizamos nosso investimento?

A alocação adequada de recursos para a mitigação de riscos cibernéticos é vital, o que inclui desde os investimentos em treinamento contínuo, até a preparação para incidentes e programas de garantia.

E como não poderia deixar de ser, priorizar investimentos com base em avaliações de risco ajuda a maximizar a eficácia das medidas de segurança.

  • Nossa cultura apoia as atividades necessárias para gerenciar este risco?

A cultura organizacional deve promover a conscientização e o comportamento proativo em relação aos riscos cibernéticos, e isso pode ser alcançado por meio de campanhas de conscientização, treinamento regular e a incorporação de práticas de segurança no cotidiano da empresa.

  • Nosso programa de auditoria interna nos oferece garantia suficiente em relação à nossa gestão de risco cibernético?

Auditorias internas regulares são essenciais para avaliar a eficácia dos controles de segurança cibernética, onde um programa de auditoria robusto deve identificar vulnerabilidades e recomendar melhorias contínuas.

2) Entendendo o Risco:

  • Qual é o valor da informação que possuímos (propriedade intelectual, informações financeiras, planos estratégicos e outras informações críticas para o negócio, dados de clientes/pessoais)? Quais são nossas "joias da coroa" que precisam de maior proteção?

Identificar e avaliar o valor das informações críticas é fundamental para priorizar a proteção, e logicamente as "joias da coroa" devem receber níveis mais altos de segurança para prevenir perdas significativas.

  • Qual é o impacto potencial se essa informação for roubada ou corrompida (dano à reputação; dano ao valor de mercado e preço das ações; perda de vantagem competitiva e participação de mercado, responsabilidades diretas para terceiros afetados, censura regulatória)?

Avaliar o impacto potencial de uma violação de dados ajuda a determinar a criticidade das informações e a desenvolver estratégias adequadas de mitigação de risco.

  • Quanto custaria a um terceiro obter essa informação e quanto ela valeria para eles?

Ao entender o valor econômico das informações para terceiros ajuda a avaliar o risco de ataques cibernéticos e a necessidade de proteger esses dados.

  • Quais são as expectativas de nossos clientes sobre nossa segurança cibernética?

Nunca deixe de olhar as expectativas dos clientes em relação à segurança cibernética, que são altas, especialmente em setores como serviços financeiros e saúde. É fundamental garantir que essas expectativas sejam atendidas, até para manter a confiança e a lealdade dos clientes.

  • Quantas de nossas funções críticas de negócios são terceirizadas para terceiros? Conduzimos a devida diligência sobre os riscos de segurança cibernética em toda nossa empresa estendida e cadeia de suprimentos, incluindo o uso de serviços baseados em nuvem? Quanto de informação privada e sensível é compartilhada com esses terceiros? Quais disposições existem nos contratos para lidar com o risco cibernético?

A terceirização de funções críticas exige uma avaliação rigorosa dos riscos cibernéticos em toda a cadeia de suprimentos, onde os contratos devem incluir cláusulas específicas para a proteção de dados e resposta a incidentes.

  • Nossos sistemas estão projetados com os melhores níveis de segurança? O que poderia ser melhorado?

Cada vez mais a engenharia de sistemas deve seguir as melhores práticas de segurança para garantir proteção robusta, por isso avaliações contínuas e atualizações de segurança são necessárias para manter os sistemas protegidos contra novas ameaças.

  • Temos uma estratégia eficaz para dispositivos móveis? Como controlamos o uso de dispositivos pessoais para negócios organizacionais?

Uma estratégia abrangente para dispositivos móveis deve incluir políticas de uso aceitável, configuração segura e monitoramento de dispositivos pessoais usados para fins comerciais.

  • Estamos usando mídia social em nossa empresa? Como sabemos o que nossos funcionários, clientes e o público estão dizendo sobre nós nas mídias sociais? Temos uma estratégia de mídia social e podemos gerenciar uma crise de mídia social?

O uso de mídias sociais deve ser monitorado e gerenciado através de uma estratégia bem definida, pois respostas rápidas e coordenadas a crises de mídia social são essenciais para proteger a reputação da empresa.

3) Resposta a Incidentes:

  • Como saberemos se estamos sendo ou fomos atacados?

Pode parecer uma pergunta boba, mas implementar sistemas de detecção e monitoramento contínuos é super importante para identificar rapidamente atividades suspeitas e responder a ataques cibernéticos rapidamente.

  • Temos um plano de resposta a incidentes e o testamos? Temos arranjos para obter conselhos e serviços especializados pós-violação (linhas de ajuda ao cliente)?

Um plano de resposta a incidentes deve ser testado regularmente para garantir sua eficácia, pois preparar recursos e serviços especializados para apoio pós-incidente ajuda a mitigar danos.

  • Quem tem a responsabilidade de declarar um incidente de risco cibernético?

Claramente definir as responsabilidades de declaração de incidentes garante uma resposta rápida e coordenada, minimizando o impacto de uma violação.

  • Nossos planos de continuidade de negócios incluem cenários de risco cibernético?

Planos de continuidade de negócios devem integrar cenários de risco cibernético para garantir que a organização possa continuar operando durante e após um incidente.

  • Podemos ter cobertura sob nossas apólices de seguro existentes para perdas financeiras causadas por riscos cibernéticos? Existem outras possibilidades de transferência de risco?

Revisar as apólices de seguro existentes e considerar outras opções de transferência de risco, como seguros cibernéticos específicos, ajuda a proteger financeiramente a organização contra perdas cibernéticas.

Talvez só não seja tão barato como gostaria, principalmente dependendo do seu estágio de maturidade na gestão e mitigação destes riscos.

  • Estamos preparados para fazer uma análise de causa raiz após uma violação, particularmente para identificar fatores humanos, e estamos preparados para agir com base nas descobertas?

Realizar análises de causa raiz após incidentes ajuda a identificar e corrigir vulnerabilidades, prevenindo recorrência; estar sempre à disposição para implementar mudanças com base nessas análises é essencial.

  • Poderíamos defender nosso nível de preparação no rescaldo de um ataque?

Assegurar que a preparação para incidentes seja robusta e documentada permite que a empresa defenda suas ações e mitigação de riscos em caso de auditorias ou investigações.

4) Treinamento:

  • Temos um programa eficaz de treinamento em risco cibernético, incluindo a notificação de violações e ações subsequentes?

Programas de treinamento contínuos e abrangentes garantem que todos os funcionários estejam cientes dos riscos cibernéticos e saibam como responder a violações.

  • Existem iniciativas em vigor para apoiar os alunos após o treinamento?

Suporte contínuo após o treinamento, como sessões de reciclagem e recursos de autoajuda, reforça o aprendizado e garante a aplicação prática das habilidades adquiridas.

  • Nosso treinamento em risco cibernético foca na tecnologia, na empresa ou no indivíduo?

O treinamento deve abordar todos os aspectos: tecnologia, procedimentos organizacionais e comportamento individual, garantindo uma abordagem integrada para a mitigação de riscos cibernéticos.

Ao fazer todas essas perguntas acima, e entender suas respostas, a empresa pode fortalecer sua postura de segurança cibernética, melhorar sua resiliência e mitigar riscos de forma eficaz.

Tão importante quanto as respostas, é saber fazer as perguntas, e direcioná-las corretamente, pois entender por que as precisamos fazer, vai fazer com que você entenda aonde estão seus riscos, e assim como lidar com eles. Espero que elas ajudem neste sentido.

As opiniões dos autores convidados da nossa comunidade são independentes e não necessariamente representam a opinião da Okai.

Autor

Foto de perfil de Luiz Henrique Lobo

Luiz Henrique Lobo

Membro Independente de Conselhos | Comitê de Riscos da Caixa e de Auditoria da BR Partners | Consultor e Palestrante