Queria dar continuidade ao tema abordado em outro post recente que fiz sobre a segurança cibernética, mas especificamente aqui com a perspectiva do Conselho de Administração, trazendo abaixo novamente os 6 tópicos relevantes, que deveriam ser olhados com mais carinho, contando os desafios e erros comuns cometidos em cada um deles, assim como algumas sugestões de perguntas que deveriam ser feitas aos gestores, como um guia para lhe ajudar na gestão estratégica deste risco.
Nos comitês de riscos (Coris) técnicos que participo assessorando os comitês de administração neste tema, sempre tentamos ajudar e direcionar o que os membros precisam saber e perguntar, explicando o motivo de tal pergunta e por que ela é relevante. Vou tentar colocar algumas delas abaixo para também lhe ajudar.
1) Avaliação de Riscos e Vulnerabilidades:
O conselheiro deve entender a materialidade dos ativos digitais para o negócio e avaliar o impacto de possíveis incidentes de segurança. É imperativo adotar uma visão holística, englobando não apenas ativos tangíveis mas também intangíveis como reputação da marca.
- Desafios: Subestimar o impacto financeiro e operacional de possíveis ataques.
- Erros Comuns: Falta de um plano detalhado para a avaliação e mitigação de riscos.
Perguntas a Serem Feitas:
- O que significa para os negócios se ativos valiosos forem alterados, roubados ou vazados, ou se sistemas críticos ou outros serviços de TI estiverem indisponíveis por um período mais curto ou mais longo? Objetivo: Avaliar o impacto financeiro e operacional de um evento de segurança. Por que é relevante: Estabelece a base para o investimento em segurança, quantificando possíveis perdas.
- Quem são os prováveis ofensores e ameaças, quais são seus objetivos e quais ferramentas ou técnicas eles usam para alcançar esses objetivos? Objetivo: Identificar o perfil do adversário. Por que é relevante: Ajuda na criação de defesas mais eficazes e na priorização de recursos.
- Em quais áreas a empresa é mais vulnerável a ataques cibernéticos (tecnologia, pessoas, processos, etc.) e quão prováveis são ataques cibernéticos nessas áreas? Objetivo: Realizar um mapeamento de vulnerabilidades. Por que é relevante: Orienta o foco das estratégias de mitigação.
- Qual é o plano atual de gerenciamento de riscos da empresa, incluindo investimentos? Objetivo: Avaliar a maturidade do programa de segurança cibernética. Por que é relevante: Serve como um diagnóstico da eficácia das medidas de segurança atuais.
2.) Apetite ao Risco e Estratégia:
Deve existir um alinhamento entre o apetite ao risco cibernético e os objetivos estratégicos da empresa. Isso requer uma análise rigorosa dos recursos financeiros alocados para a segurança cibernética.
- Desafios: Determinar o equilíbrio entre custo e eficácia das medidas de segurança.
- Erros Comuns: Desalinhamento entre orçamento e riscos, falta de benchmarking com outras empresas.
Perguntas a Serem Feitas:
- Qual é o orçamento de segurança cibernética da empresa? Objetivo: Medir o comprometimento financeiro com a segurança. Por que é relevante: Auxilia na compreensão do apetite ao risco da empresa.
- Qual é o nível de segurança cibernética da empresa e o orçamento de segurança cibernética em comparação com outras áreas de negócio e com outras empresas? Objetivo: Avaliar a paridade de segurança dentro e fora da organização. Por que é relevante: Oferece uma perspectiva competitiva e benchmarking.
- Quais são os custos potenciais associados ao investimento em uma atualização de nível de segurança? Objetivo: Avaliar o retorno sobre o investimento (ROI) em segurança. Por que é relevante: Informa decisões de alocação de recursos.
- Com base nisso, qual é a tolerância ao risco da empresa em relação a riscos cibernéticos? Objetivo: Definir o limiar de aceitação para exposições de risco. Por que é relevante: Orienta a estratégia de gestão de riscos cibernéticos.
3) Planos, Processos e Contingências:
É importante que a empresa tenha políticas de segurança bem documentadas, além de planos de contingência atualizados e testados regularmente.
- Desafios: Manter planos de contingência atualizados e garantir que sejam efetivos em cenários de crise.
- Erros Comuns: Falta de testes periódicos, complacência após longos períodos sem incidentes.
Perguntas a Serem Feitas:
- A empresa possui políticas documentadas de segurança de TI que são ativamente apoiadas pela gestão e nas quais os funcionários são treinados? Objetivo: Verificar a formalização e apoio às políticas de segurança. Por que é relevante: Estabelece a base para a cultura de segurança e conformidade.
- A empresa possui planos de contingência e comunicação para lidar com incidentes de segurança cibernética? Objetivo: Avaliar a preparação para incidentes. Por que é relevante: Facilita a rápida recuperação e minimiza danos durante um incidente.
- Os planos descrevem como o negócio pode retomar rapidamente o trabalho após um incidente não planejado, quem precisa estar envolvido no caso de um incidente crítico, e como os sistemas e serviços afetados são recuperados? Objetivo: Entender o plano de recuperação de desastres. Por que é relevante: Essencial para a continuidade do negócio.
- Os planos são testados e ensaiados regularmente? Objetivo: Verificar a eficácia do plano de resposta a incidentes. Por que é relevante: Identifica falhas e oportunidades para melhoria.
- Quais são os resultados dos testes recentes, e isso levou a alguma mudança? Objetivo: Avaliar o aprendizado organizacional. Por que é relevante: Fornece dados para o aprimoramento contínuo.
- Os planos são ajustados à luz dos incidentes de segurança que atingiram outras empresas? Objetivo: Avaliar a adaptabilidade. Por que é relevante: Permite que a empresa aprenda com os erros e sucessos dos outros.
- A empresa tem acordos com especialistas externos que podem ser chamados para apoiar as equipes internas em caso de um incidente de segurança? Objetivo: Verificar a resiliência externa. Por que é relevante: Oferece uma rede de segurança adicional em situações críticas.
4) Relatórios e Controle Internos:
O conselho deve receber relatórios detalhados e periódicos sobre o status da segurança cibernética, oriundos da alta administração.
- Desafios: Manter um fluxo de informação atualizado e relevante para a tomada de decisões.
- Erros Comuns: Falta de métricas claras e relatórios não padronizados que dificultam o acompanhamento.
Perguntas a Serem Feitas:
- O Conselho recebe relatórios sobre a segurança cibernética da empresa (avaliações de risco, matriz de risco, relatório de ataques, investimentos, recomendações, etc.) da Administração Executiva em intervalos regulares? Objetivo: Avaliar a frequência e qualidade da comunicação de riscos ao Conselho. Por que é relevante: Facilita a tomada de decisão informada no nível estratégico.
- O conselho implementou a segurança cibernética como uma parte permanente de um ciclo anual? Objetivo: Verificar se a segurança cibernética é uma preocupação contínua e não apenas um ponto de verificação isolado. Por que é relevante: Assegura que a segurança seja constantemente reavaliada e atualizada.
5) Cultura e Pessoas:
A cultura de segurança cibernética deve ser uma preocupação constante e deve ser parte integral da cultura organizacional.
- Desafios: Incorporar uma cultura de segurança que seja ao mesmo tempo rigorosa e flexível.
- Erros Comuns: Falha em proporcionar treinamento contínuo, subestimar o fator humano.
Perguntas a Serem Feitas:
- Existe um programa de treinamento e educação para membros do Conselho de Administração, da Administração Executiva e dos funcionários para receber treinamento e conscientização em segurança cibernética em uma base contínua, incluindo gestão de crises e recuperação de desastres? Objetivo: Avaliar o compromisso com a formação contínua em segurança cibernética. Por que é relevante: Promove uma cultura de segurança e prepara a organização para eventualidades.
- Existe colaboração em toda a organização onde o conhecimento é compartilhado? Objetivo: Medir o nível de comunicação e colaboração interna sobre questões de segurança. Por que é relevante: Facilita a identificação e o tratamento rápido de vulnerabilidades ou ameaças.
- A empresa incentiva seus especialistas técnicos a compartilhar conhecimento e experiência com especialistas de outras organizações? Objetivo: Avaliar a extensão do aprendizado externo. Por que é relevante: Permite a empresa se beneficiar de práticas recomendadas e conhecimentos de outros setores ou empresas.
- O Conselho dá o exemplo para ajudar a promover uma cultura saudável de segurança cibernética? Objetivo: Verificar o papel do conselho na modelagem da cultura de segurança. Por que é relevante: Estabelece um tom no topo que influencia todo o resto da organização.
6) Competências, Governança e Organização:
Deve haver uma clara definição de responsabilidades e competências no que tange à segurança cibernética.
- Desafios: Alocar recursos humanos com as habilidades técnicas necessárias.
- Erros Comuns: Falta de um membro dedicado no conselho para lidar com questões de segurança cibernética.
Perguntas a Serem Feitas:
- Pelo menos um membro permanente do conselho tem expertise técnica ou de segurança? Objetivo: Avaliar se há conhecimento especializado no nível mais alto da empresa. Por que é relevante: Ajuda na tomada de decisões mais informadas sobre riscos cibernéticos.
- A segurança cibernética é um item regular na agenda das reuniões do conselho? Objetivo: Verificar o nível de prioridade dado à segurança cibernética. Por que é relevante: Mantém o assunto em foco e facilita o monitoramento.
- O Conselho participa ativamente de discussões sobre segurança cibernética? Objetivo: Avaliar o nível de engajamento do Conselho com esta questão crítica. Por que é relevante: Demonstra que não é apenas uma caixa de seleção, mas uma parte integral da estratégia empresarial.
- O Conselho está ciente de que seus membros são alvos óbvios para ataques cibernéticos? Objetivo: Avaliar o nível de autoconsciência de risco entre os membros do conselho. Por que é relevante: Prepara o Conselho para ser mais cauteloso e vigilante.
- Onde está a responsabilidade pela segurança cibernética colocada na organização? Objetivo: Identificar o encarregado ou a função responsável pela segurança. Por que é relevante: Estabelece clareza no comando e controle.
- Quem são essas pessoas ou funções que relatam a? Objetivo: Conhecer a hierarquia de relatórios de segurança. Por que é relevante: Facilita a comunicação eficaz e a tomada de decisão rápida.
- Recursos suficientes com as habilidades técnicas certas são alocados para realizar as tarefas relacionadas à segurança cibernética? Objetivo: Avaliar a adequação dos recursos dedicados à segurança. Por que é relevante: Determina a capacidade da empresa de responder eficazmente a incidentes.
- A empresa tem acesso interno às habilidades técnicas certas ou há necessidade de adquirir assistência externa? Objetivo: Avaliar a necessidade de habilidades externas. Por que é relevante: Ajuda a empresa a se preparar para situações que requerem expertise externa.
Cada uma dessas perguntas é crucial para que o conselho de administração entenda não apenas os riscos técnicos, mas também os riscos estratégicos, humanos e financeiros associados à segurança cibernética. A falha em abordar qualquer um desses pontos pode resultar em lacunas de segurança que podem ser exploradas por hackers, resultando em danos financeiros e de reputação.
Estas dicas acima são apenas uma pequena ajuda para conselheiros de administração enfrentarem as complexidades da segurança cibernética, com foco na minimização de riscos e na alocação eficiente de recursos.