Uma segurança cibernética eficaz também está relacionada ao suporte e investimento do conselho. No entanto, o envolvimento do conselho varia entre as empresas. Em pesquisa recente sobre violações de cibersegurança, foi observado que há mais maturidade sobre o assunto em organizações maiores: 53% das grandes empresas têm membros do conselho ou curadores responsáveis pela segurança cibernética, em comparação a 30% de todas as empresas.
O cumprimento das obrigações corporativas em vulnerabilidade digital depende da compreensão precisa dos riscos e da postura interna quanto aos aspectos de segurança, além de conhecimento técnico para reconhecer a relevância desta pauta. Por isso, os líderes em Segurança da Informação têm um papel fundamental no apoio ao conselho e no suporte aos processos de governança.
Em 2020, foi publicado o Cyber Security Toolkit for Boards pelo UK NCSC, para ajudar membros do conselho a compreender melhor dados de segurança cibernética, apresentando-os num contexto mais amplo a fim de facilitar a interpretação e fornecer mais escopo para análises robustas. Porém, de acordo com a pesquisa de violações de segurança cibernética, apenas 21% dos membros do conselho de médias empresas e 30% dos membros das grandes empresas estão cientes disso.
A falta de entendimento dos dados é apenas parte do problema. É necessário apresentar ao conselho as informações corretas e de maneira significativa. Os times de cibersegurança geralmente apresentam dados que são muito genéricos e quantitativos por natureza, tornando difícil para os conselhos entender como os riscos podem se materializar e seu impacto real. É recomendado que os negócios exponham um cenário realista e prático de suas ameaças e de seu gerenciamento de riscos para fortalecerem seu perfil de segurança cibernética.
Os Diretores de Segurança da Informação (CISOs - Chief Information Security Officers) costumam liderar as apresentações ao conselho, mas há um potencial conflito aqui, no qual as estruturas de governança podem incentivar os CISOs a retratar positivamente a gestão de riscos cibernéticos e minimizar os pontos negativos.
Os conselhos, por sua vez, não precisam de garantias de que tudo está bem, mas sim de uma imagem precisa das ameaças atuais, riscos associados e controles de mitigação para que possam tomar decisões estratégicas. Se o conselho não souber que há um problema, não poderá colaborar e ajudar a resolvê-lo.
A governança eficaz depende de uma análise sólida e abrangente, por isso é fundamental informar de maneira acessível e significativa. No reporte ao conselho, os CISOs geralmente focam no número de vulnerabilidades identificadas e tentativas de invasão que foram impedidas. Embora estas informações possam ajudar a entender a escala do problema, não são necessariamente os dados mais valiosos para a tomada de decisões.
O que o conselho realmente precisa é de uma visão geral dos riscos críticos para os negócios, com uma análise do que foi corrigido e do que não foi, informações sobre o tipo de ameaças enfrentadas pela organização, riscos emergentes e o que acontecerá caso estes se materializarem. Ele também precisa saber quais são os riscos residuais e se organização estará disposta a assumi-los.
Uma lista de invasões detectadas e malsucedidas, por exemplo, não ajuda uma empresa de serviços financeiros a entender os riscos em torno de sua resiliência operacional e proteção de dados. Mas uma análise detalhada sobre o ransomware em questão e quanto tempo um invasor levaria para acessar os dados pessoais ou desativar um serviço crítico poderá contribuir muito mais. Afastar a discussão das estatísticas e aproximá-la dos riscos-chave pode ajudar seu conselho a direcionar esforços e investimento ao lugar certo, aumentando a maturidade de sua segurança cibernética.
Segurança cibernética é uma das muitas áreas de uma organização, e é função do conselho coletar informações de cada uma delas para elaborar uma estratégia. Para suportar este processo, o papel do CISO consiste em apresentar informações precisas para fundamentar a estratégia e tomar as medidas necessárias para fornecê-las. É importante manter ambas as funções em mente ao trabalhar com o conselho e ao alocar responsabilidades no time de segurança cibernética. Responsabilidades claras são essenciais para rastrear ações corretivas críticas e direcionar dúvidas ao profissional correto caso o desempenho cibernético não atinja a qualidade esperada.
Viabilizar a estratégia também depende da coordenação com outros departamentos. Cibersegurança pode ser um setor mais isolado, assim outras equipes geralmente têm uma compreensão limitada do seu trabalho. A criação de grupos interdepartamentais para compartilhar conhecimento e construir confiança pode ajudar a alinhar as atividades em direção ao mesmo objetivo final.
Embora os treinamentos obrigatórios possam agregar valor significativo à compreensão dos profissionais sobre os riscos cibernéticos, eles podem não ser suficientes. É essencial oferecer treinamentos e fóruns abertos de forma regular para compartilhar conhecimento de forma relevante, direcionada e acessível a todos os colaboradores. Essas iniciativas precisam ser apoiadas pela cultura da empresa, ajudando a área de cibersegurança a envolver pessoas de toda a organização. A cultura certa pode capacitar os funcionários a levantarem incidentes sem medo de represálias.
No entanto, o treinamento não é uma via de mão única. Embora seja importante desenvolver conhecimento sobre segurança cibernética em toda a organização, a equipe responsável também precisa entender o que o resto da empresa faz e como eles se encaixam nisso. É possível, por exemplo, que não saibam muito sobre o cenário regulatório do negócio, mas uma compreensão básica dos principais regulamentos, como resiliência operacional, é inestimável.
Isso pode oferecer à sua equipe contexto sobre porque algumas atividades foram priorizadas pelo conselho e apoiar na gestão eficiente das cargas de trabalho, além de ajudar a área de cibersegurança a preparar seus processos, acordos de terceirização e futuros recursos de tecnologia. Também poderá ser útil no relatório do seu CISO ao conselho, ajudando a identificar as informações que representam um nível de ameaça significativo e que agregam valor para fins de governança.
Seu time de cibersegurança tem um papel crítico no suporte à boa governança organizacional. Para isso, você precisa pensar em como trabalha com o conselho e apoia o trabalho deles.
Refletir e agir com base nos pontos acima pode aumentar a maturidade da sua segurança cibernética, melhorar a supervisão do conselho e apoiar os objetivos estratégicos de toda a empresa.
Por: Ankur Aeran, Diretor de Segurança Cibernética da Grant Thornton UK.
Fortaleça a tomada de decisão com governança de dados robusta. Entenda riscos, frameworks, impacto da IA e como garantir dados confiáveis na sua organização.
Descubra como proteger sua empresa das principais ameaças digitais com ações práticas de segurança, prevenção de ataques cibernéticos e reforço da proteção de dados.
Descubra como empresas de tecnologia podem controlar custos de nuvem, otimizar investimentos e garantir ROI por meio de governança, KPIs e decisões orientadas a valor.