Artigo
16/04/2024
Atualizado em 18/04/2026

Risco Cibernético: Dicas práticas do que o Conselho de Administração e Comitê de Risco e Auditoria precisam saber e fazer

Princípios e práticas essenciais para conselhos e comitês gerenciarem riscos cibernéticos, incluindo governança, conformidade legal, expertise, avaliação de riscos e resposta a incidentes.

Imagem de capa do artigo

Quem acompanha meus posts aqui sabe que um dos temas que estou sempre falando é sobre Risco Cibernético, e principalmente tentando sempre me informar mais a respeito, até diante de sua importância e criticidade pelo alto impacto que pode ter.

Ontem mesmo falei sobre incidentes e crises cibernéticas, e suas 4 fases, mas queria dar continuidade ao tema hoje, desta vez trazendo uma nova visão. Neste sentido, queria comentar então abaixo com vocês sobre um interessante documento intitulado: "Cybersecurity: What the Board of Directors Needs to Ask", desenvolvido pelo pessoal do IIARF (The Institute of Internal Auditors Research Foundation), até como ajuda para aprimorar a governança de riscos cibernéticos dentro de suas empresas. Importante que os conselhos e seus comitês técnicos de assessoramento de riscos e auditoria estejam envolvidos com o tema.

Começo falando dos princípios do NACD (National Association of Corporate Directors) para a gestão de riscos cibernéticos no âmbito corporativo, para que compreendam e incorporem essas diretrizes como parte integral da governança corporativa.

Vamos detalhar cada um desses princípios para entender melhor suas implicações e como eles podem ser aplicados efetivamente pelos conselhos e seus comitês de assessoramento de riscos:

Gestão de Risco Empresarial

O primeiro princípio estipula que a cibersegurança deve ser tratada como uma questão de risco empresarial, não apenas tecnológica. Isso significa que o conselho deve:

  • Garantir que a cibersegurança esteja integrada ao quadro geral de gestão de riscos da empresa, similar a outros riscos como financeiro, regulatório e operacional.
  • Promover uma cultura de segurança que envolva todas as camadas da organização, desde a alta direção até os operacionais.
  • Solicitar relatórios regulares sobre a saúde da cibersegurança da empresa, avaliando não apenas os aspectos técnicos, mas também o impacto nos negócios e as estratégias de mitigação.
  • Implicações Legais:

Os diretores devem estar cientes das implicações legais associadas aos riscos cibernéticos, que incluem:

  • Conhecimento das leis de proteção de dados e privacidade como a LGPD.
  • Entender as consequências de não cumprir essas leis, que podem incluir multas pesadas, danos à reputação e litígios.
  • Assegurar que todos os contratos com fornecedores e terceiros incluam cláusulas de proteção de dados e que estes parceiros também estejam em conformidade com as normativas aplicáveis.
  • Expertise em Cibersegurança:

Este princípio recomenda que o conselho assegure acesso regular a conhecimentos especializados em cibersegurança:

  • Incluir um especialista em cibersegurança no conselho ou comitês de riscos e auditoria, como também consultar regularmente especialistas externos para avaliações independentes.
  • Educar continuamente os membros do conselho sobre tendências e práticas emergentes em cibersegurança.
  • Discutir cibersegurança como um ponto fixo na agenda de reuniões do conselho e comitês de riscos, garantindo que o tema receba a atenção adequada.
  • Expectativas de Gestão de Riscos:

Os conselheiros devem definir expectativas claras para a gestão desenvolver um framework abrangente de gestão de riscos:

  • Exigir a criação de um framework que integre a cibersegurança às estratégias de gestão de riscos da empresa.
  • Assegurar que o framework de cibersegurança seja apoiado por recursos adequados, incluindo pessoal qualificado e orçamento suficiente.
  • Monitorar a eficácia das políticas e práticas de cibersegurança através de auditorias internas e externas regulares.
  • Avaliação e Mitigação de Riscos:

Finalmente, o conselho deve discutir e decidir sobre estratégias para lidar com os riscos cibernéticos, escolhendo entre evitar, aceitar, mitigar ou transferir esses riscos:

  • Identificar quais riscos cibernéticos a empresa está disposta a aceitar e quais devem ser mitigados através de tecnologia ou práticas de segurança.
  • Considerar a transferência de alguns riscos por meio de seguros cibernéticos, avaliando a cobertura em relação ao custo e ao potencial impacto financeiro de uma violação.
  • Desenvolver planos específicos para cada abordagem de risco, incluindo procedimentos de resposta a incidentes e recuperação de desastres.

Esses princípios acima, quando integrados na governança corporativa, vão lhe dar uma estrutura robusta para os conselheiros gerenciarem proativamente os riscos cibernéticos, protegendo assim a integridade e a resiliência da empresa.

Deixo ainda a dica de algumas perguntas que o conselheiro deve fazer e saber as respostas em relação a este tema:

  • A organização utiliza algum framework de segurança?

Fundamentação Estratégica: Frameworks de segurança, como ISO 27001, NIST 2 ou COBIT, oferecem uma base estruturada para a gestão de cibersegurança, garantindo que as práticas de segurança estejam alinhadas com padrões reconhecidos internacionalmente.

Consistência e Conformidade: A utilização de um framework ajuda a empresa a manter a consistência em suas práticas de segurança e facilita a conformidade com regulamentos e leis de proteção de dados.

  • Quais são os cinco principais riscos relacionados à cibersegurança?

Priorização de Riscos: Identificar os principais riscos permite ao conselho entender onde focar os recursos para mitigação.

Alocação de Recursos: Compreender esses riscos ajuda a garantir que os investimentos em segurança sejam direcionados de maneira eficaz, protegendo os ativos mais críticos.

  • Como os funcionários são conscientizados sobre seu papel na cibersegurança?

Cultura de Segurança: A conscientização dos funcionários é fundamental para criar uma cultura de segurança robusta. Funcionários informados são a primeira linha de defesa contra ataques cibernéticos.

Prevenção de Incidentes: Treinamentos regulares ajudam a prevenir incidentes de segurança ao educar os funcionários sobre práticas seguras e o reconhecimento de possíveis ameaças.

  • Ameaças internas e externas são consideradas no planejamento das atividades do programa de cibersegurança?

Visão Ampla de Ameaças: Considerar tanto ameaças internas quanto externas assegura que a empresa esteja preparada para uma variedade de vetores de ataque.

Estratégias de Mitigação Abrangentes: Ajuda a desenvolver estratégias de mitigação que abordam vulnerabilidades potenciais dentro e fora da organização.

  • Como a governança de segurança cibernética é gerenciada dentro da empresa?

Alinhamento Organizacional: Garante que as responsabilidades de segurança estão claramente definidas e que há uma coordenação eficaz entre CISO, área de riscos e controles internos, e também com a auditoria interna.

Eficiência Operacional: Entender a governança ajuda a identificar redundâncias ou lacunas nas práticas de segurança, otimizando os processos e a resposta a incidentes.

  • No caso de uma violação grave, existe um protocolo de resposta robusto desenvolvido pela gestão?

Preparação para Crises: Um protocolo de resposta bem desenvolvido é fundamental para minimizar o impacto de uma violação de segurança.

Resiliência Organizacional: A capacidade de responder rapidamente e efetivamente a incidentes é um indicativo da maturidade da cibersegurança da empresa.

Cada uma dessas perguntas e de tantas outras ajudam o conselho e os comitês técnicos de assessoramento a ter uma visão abrangente da postura de cibersegurança da empresa, assim como das medidas necessárias para fortalecer essa postura, fundamentais para garantir que a governança de cibersegurança seja eficaz, abrangente e alinhada com as melhores práticas e normas internacionais.

Para complementar as perguntas acima queria sugerir o que os conselhos de administração e seus comitês devem pedir de informações detalhadas dos gestores e o motivo disto:

Plano Estratégico de Múltiplos Anos e Plano de Negócios do Ano Atual:

Visão Estratégica: Avalia como a cibersegurança é incorporada na estratégia de longo prazo da empresa e no plano de negócios anual, garantindo que a segurança digital esteja alinhada com os objetivos gerais da empresa. Normalmente não está contemplado ou alinhado com a estratégia, mas deveria.

Alocação de Recursos para Cibersegurança (Sistemas e Pessoas)

Alocação de Recursos: Compreender como os recursos estão sendo alocados para cibersegurança permite ao conselho e os comitês avaliarem se o financiamento e o pessoal são adequados para enfrentar os desafios de segurança da informação. Normalmente não estão. Precisa atuar na maioria das vezes para ajudar com isto.

Inventário Periodicamente Atualizado dos Sistemas Críticos

Proteção de Ativos: Garante que o conselho e seus comitês estejam bem informados dos ativos que necessitam de proteção especial e da adequação das medidas de segurança implementadas para esses sistemas críticos. Esta é uma parte normalmente que o pessoal atende. Mas bom ficar de olho, não apenas em quais, mas o que está sendo feito com cada um dos críticos.

Resumo dos Principais Riscos Cibernéticos que Impactam a Empresa

Gestão de Riscos: Ajuda o conselho e seus comitês a entenderem os principais riscos cibernéticos enfrentados pela empresa e a priorizar iniciativas de mitigação de riscos. Tudo começa com o entendimento e identificação, até porque o pior risco é antes de mais nada aquele que você desconhece que está correndo.

Dashboard ou Scorecard Destacando Riscos Cibernéticos Principais e Métricas para Abordar Esses Riscos

Monitoramento Contínuo: Fornece uma visão rápida e eficiente do status atual da cibersegurança e do progresso feito em direção aos objetivos estratégicos de segurança. Importante ter este controle, que pode ser uma matriz de riscos.

Incidentes de Segurança Significativos na Empresa

Transparência e Resposta: Mantém o conselho e seus comitês informados sobre quaisquer violações ou incidentes significativos, permitindo uma avaliação oportuna e uma resposta adequada. Precisam estar envolvidos o tempo todo. Não podem ser os últimos a saber.

Programa de Treinamento e Conscientização para Funcionários

Cultura de Segurança: Verifica a existência e a eficácia de programas destinados a educar os funcionários sobre suas responsabilidades em relação à segurança cibernética, essencial para prevenir incidentes. Sendo que o próprio conselho e seus comitês deveriam também participar.

Avaliação de Maturidade Contra um Framework Reconhecido (por exemplo o NIST 2)

Padrões de Indústria: Permite que o conselho e seus comitês avaliem o nível de maturidade da cibersegurança da empresa em comparação com um padrão reconhecido, proporcionando uma métrica para melhorias contínuas. Normalmente sempre uma surpresa de ver que a maturidade é bem menor na prática do que se espera. Assim consegue saber o que é preciso fazer para aumentá-la.

Programa de Gestão de Riscos Cibernéticos de Terceiros

Extensão da Segurança: Considera a gestão de riscos associados a parceiros e fornecedores importante dada a interdependência nas cadeias de suprimento modernas. Até porque normalmente é onde estão as maiores fragilidades exploradas pelos hackers.

Comparação com o Setor Contra Pares

Benchmarking Competitivo: Ajuda o conselho e seus comitês a entenderem como a empresa se compara aos pares em termos de cibersegurança, destacando áreas de força e oportunidades para melhorias. Aquela história de que não precisa correr mais do que o urso, mas sim mais do que a pessoa que está do seu lado...

Desenvolvimentos Legais e Regulatórios

Conformidade Regulatória: Assegura que o conselho e seus comitês estejam bem informados de quaisquer mudanças na legislação ou regulação que possam impactar as práticas de cibersegurança da empresa.

Framework para tratar Incidentes e a Política Segurança Cibernética

Preparação para Incidentes: Garante que existam planos robustos para a resposta a incidentes e que se necessário haja uma cobertura de seguro que seja adequada para os riscos enfrentados.

Lições Aprendidas de Eventos Externos no Mercado

Aprendizado Contínuo: Permite que o conselho e seus comitês aproveitem também as lições aprendidas com incidentes externos para aprimorar a postura de segurança da própria empresa. Quem já passou por uma crise destas sabe a quantidade de lições que se aprende neste momento difícil.

Para terminar, queria dizer de que o conselho deve sempre adotar uma postura proativa na governança dos riscos cibernéticos, integrando estas práticas ao núcleo estratégico da empresa, estimulando e promovendo ações preventivas e de resposta rápida, que são essenciais para mitigar os impactos negativos de eventuais incidentes de segurança.

O conselho de administração e seus comitês têm um papel crítico na supervisão dos riscos cibernéticos enfrentados pela empresa, exigindo uma compreensão clara de como a equipe executiva está gerenciando esses riscos. Por isso, é importante que solicitem a quantificação dos riscos cibernéticos para priorizar melhor os riscos e tomar decisões de capital informadas, entendendo como esses riscos se alinham com o apetite de risco da empresa. Devem exigir o uso de um framework padronizado, como o NIST, e assim avaliar o programa de segurança e sua maturidade, e então entender as lacunas. O conselho deve discutir com a gestão a necessidade de perspectivas externas, como avaliações de terceiros para áreas de risco-chave e práticas líderes baseadas no setor e tamanho da empresa, insistindo que os resultados dessas avaliações sejam reportados diretamente ao conselho. Além disso, é importante manter uma visão renovada sobre os relatórios de cibersegurança do conselho, garantindo informações consistentes e holísticas que auxiliem nas decisões. Deve-se entender as novas leis e regulamentos significativos nas áreas de cibersegurança e privacidade, avaliando seu impacto nos negócios e como a empresa está atualizando e cumprindo esses requisitos. O conselho deve considerar a transparência das divulgações cibernéticas e discutir com a gestão como as lacunas estão sendo abordadas para atender aos novos requisitos, garantindo que a organização permaneça resiliente e em conformidade frente aos desafios cibernéticos emergentes.

Vejam o documento completo da NACD em:

https://www.nacdonline.org/contentassets/4931ac5b05a84111953919eaa03a38e9/cyber-risk-oversight-handbook_webcompressed.pdf

Por fim, segue o vídeo do Podcast que falei mais a este respeito:

As opiniões dos autores convidados da nossa comunidade são independentes e não necessariamente representam a opinião da Okai.

Autor

Foto de perfil de Luiz Henrique Lobo

Luiz Henrique Lobo

Membro Independente de Conselhos | Comitê de Riscos da Caixa e de Auditoria da BR Partners | Consultor e Palestrante