fb

Fórum: Governança 4.0 - Coprodução MITSMR + Bravo GRC

4 min de leitura

Risco cibernético entra na agenda dos conselhos de administração

O gerenciamento de riscos não é apenas trabalho da equipe de segurança: todos têm um papel a desempenhar, com responsabilidades específicas e respostas coordenadas

Ana Luíza Mahlmeister

23 de Agosto

Compartilhar:
Artigo Risco cibernético entra na agenda dos conselhos de administração

As conexões digitais se multiplicam e formam teias cada vez mais complexas. Com isso, os processos necessários para gerenciar e manter toda essa rede – inclusive a segurança cibernética – se tornaram mais sensíveis. A exposição das empresas aos riscos de segurança e privacidade não é apenas uma dor de cabeça para os líderes de tecnologia da informação, chegando ao “board”.

Segundo estudo do Gartner, cerca de 88% dos conselhos de administração consideram a segurança cibernética como um risco comercial e não apenas um problema técnico. E 13% dos entrevistados responderam que as empresas deveriam criar comitês específicos de segurança cibernética supervisionados por um diretor.

A expansão do perímetro de ataque se multiplicou com riscos associados ao uso de sensores, conexão entre máquinas, código-fonte aberto, aplicativos em nuvem, cadeias de suprimentos e mídias sociais. Para o Gartner, é necessário ir além das abordagens tradicionais de monitoramento para alcançar um conjunto mais amplo de exposições de segurança com serviços de proteção de risco digital (DRPS), tecnologias de gerenciamento de superfície de ataque externo (EASM) e de ativos cibernéticos (CAASM) que automatizam a descoberta de lacunas e brechas de segurança.

“A função do diretor de segurança passou de um especialista técnico para um gerente executivo de risco, com responsabilidade de capacitar os conselhos de administração, presidentes e outros líderes de negócios na tomada de decisões”, aponta Roberto Lamb, associado do Instituto Brasileiro de Governança Corporativa (IBGC).

Investimentos em alta

O estudo Global Digital Trust Insights Survey 2022 da PwC, realizado entre julho e agosto de 2021, com 3,6 mil executivos de negócios, tecnologia e segurança – 124 deles no Brasil – mostra que 77% dos líderes brasileiros (75% no mundo) afirmam que as organizações se tornaram mais difíceis de serem protegidas. A boa notícia é que os investimentos em segurança estão crescendo.

No Brasil, 83% das empresas preveem um aumento nos gastos em segurança em 2022, em comparação com 69% no mundo. Em 2020, esses índices foram de 55% e 57% respectivamente. A pesquisa apontou também que 45% dos brasileiros (26% no mundo) preveem aumento de gastos cibernéticos acima de 10% em 2022, sendo que no ano passado apenas 14% faziam essa previsão (8% no mundo).

O Gartner define o risco de TI como falha ou exploração de uma vulnerabilidade que tem como consequência um resultado comercial negativo e não planejado. E o gerenciamento de riscos não é apenas trabalho da equipe de segurança: todos têm um papel a desempenhar, com responsabilidades específicas e respostas coordenadas.

Papel dos conselhos

Nesse cenário, os conselhos de administração têm papel central. “De um modo geral, a segurança cibernética, como um tema de natureza estratégica, não chegou aos conselhos, que costumam delegar o assunto à área de tecnologia, exceto em instituições financeiras e empresas de dados”, ressalta Lamb, do IBGC. Mesmo nas grandes empresas, a gestão de segurança cibernética é acumulada com a área de infraestrutura que fica sobrecarregada.

Lamb não acha necessário que o diretor de segurança tenha uma cadeira no conselho. Este deve ter visão generalista, dando a direção estratégica à companhia, ouvindo todas as áreas, incluindo a de segurança. Conforme a maturidade das companhias, os membros do conselho, municiados com informações, poderão fazer as perguntas certas e definir estratégias para enfrentar os riscos de segurança.

“Existem várias iniciativas, mas quando se olha a estrutura organizacional não fica evidente a visão estratégica sobre a segurança cibernética nas políticas e processos organicamente articulados nas empresas”, aponta Lamb.

A diretoria de gestão de risco, separada da área de infraestrutura, tem como responsabilidade assessorar e uniformizar a abordagem das diversas áreas e atuar como uma interface de risco entre os diferentes departamentos. “O diretor responsável seria como um integrador entre os departamentos e o principal interlocutor do conselho para questões ligadas à segurança cibernética”, diz Lamb.

Segundo o estudo da PwC sobre os processos implementados pelas empresas brasileiras para gerir riscos cibernéticos, 45% dos executivos (ante 34% globalmente) adotam processos e tecnologias que usam recursos de criptografia, tokenização e mascaramento de ambiente de dados confidenciais. Já 42% usam estratégias combinadas para as funções de gerenciamento de dados, cibernética, privacidade, retenção de registros e outras funções de governança, ante 32% globalmente.

A Bravo, empresa de tecnologia e consultoria para governança, riscos, compliance e ESG, dá algumas dicas para ajudar a sua organização a reduzir riscos.

Para aumentar a segurança

  • Desenvolvimento de um programa com políticas internas e externas para promover a governança.
  • Investimentos em plataformas que protejam os dados e simulem violações e ataques.
  • Adoção de sistemas de prevenção contra o vazamento de dados. A avaliação da qualidade dos códigos, além de garantir uma melhor performance do software, pode proteger contra falhas.
  • Foco na redundância dos sistemas – ter um plano claro de gestão de crises e de recuperação é fundamental.
  • Treinamentos periódicos aos colaboradores, com ênfase em melhorar a cultura da segurança.

Saiba mais sobre conselhos de administração e governança corporativa no Fórum Governança 4.0.

Compartilhar:

Autoria

Ana Luíza Mahlmeister

Artigos relacionados

Imagem de capa Gestão de riscos em tempos de incerteza

Gestão de risco

22 Janeiro | 2024

Gestão de riscos em tempos de incerteza

Num momento de crises simultâneas, conheça os principais riscos que afetam as corporações e como uma abordagem estratégica pode reforçar a resiliência do negócio.

Denise Turco

4 min de leitura

Imagem de capa Governança de dados em um mundo data-driven

Fórum: Governança 4.0 - Coprodução MITSMR + Bravo GRC

02 Outubro | 2023

Governança de dados em um mundo data-driven

Cultura de dados precisa estar integrada à estratégia das companhias para gerar vantagem competitiva e crescimento de longo prazo

Denise Turco

5 min de leitura

Imagem de capa Governança na era da inteligência artificial

Fórum: Governança 4.0 - Coprodução MITSMR + Bravo GRC

05 Julho | 2023

Governança na era da inteligência artificial

IA gera conhecimento em escala tornando possível melhores decisões para questões complexas em governança. O fundador e CEO da Bravo GRC, Claudinei Elias, explica os principais temas que guiam as discussões sobre os impactos da governança nessa ferramenta tecnológica

Ticiana Werneck

8 min de leitura

Imagem de capa Ciberataque: quando isso pode acontecer com a sua empresa

Fórum: Governança 4.0 - Coprodução MITSMR + Bravo GRC

17 Maio | 2023

Ciberataque: quando isso pode acontecer com a sua empresa

A gestão de riscos cibernéticos oferece caminhos para enfrentar esse problema cada vez mais comum e que afeta a organização como um todo

Denise Turco

5 min de leitura

Imagem de capa Risco cibernético entra na agenda dos conselhos de administração

Fórum: Governança 4.0 - Coprodução MITSMR + Bravo GRC

23 Agosto | 2022

Risco cibernético entra na agenda dos conselhos de administração

O gerenciamento de riscos não é apenas trabalho da equipe de segurança: todos têm um papel a desempenhar, com responsabilidades específicas e respostas coordenadas

Ana Luíza Mahlmeister

4 min de leitura

Imagem de capa Desafios dos comitês de pessoas dos boards no período 2022/2023

Fórum: Governança 4.0 - Coprodução MITSMR + Bravo GRC

16 Agosto | 2022

Desafios dos comitês de pessoas dos boards no período 2022/2023

Esses órgãos devem ter caráter estratégico, agregar capacidade crítica à organização e serem compostos, majoritariamente, por membros do conselho

Fernanda Vasconcelos

8 min de leitura