Artigo

Lideranças enfrentam desafios no novo futuro da segurança digital

O novo normal é definido por mudança, e essas mudanças continuarão. De acordo com uma pesquisa em um fórum recente organizado pela Grant Thornton US e pela National Association of Corporate Directors (NACD), a gerência das empresas tem respondido bem às mudanças até o momento. Na pesquisa, 93% disseram que suas equipes de gestão lidaram com a pandemia “Muito bem” ou “Extremamente bem”.

Durante o fórum, Shelley Leibowitz, diretora de E-Trade Financial e Massachusetts Mutual Life Insurance Company, relatou que um experiente CEO de serviços financeiros disse a ela que tinha incertezas em relação ao bom funcionamento das operações remotamente, e que não sabia que a tecnologia existe seria tão confiável.

A executiva observou que, ao longo de muitos anos de trabalho, foi possível desenvolver ferramentas e infraestrutura para conectividade, mas os eventos recentes levaram à mudança de comportamento que colocou essas evoluções à prova. “Qualquer pessoa que já trabalhou na transformação digital sabe que isso requer uma mudança de comportamento. Quem pensou que teríamos pais e avós de todas as idades, e todos os tipos de níveis de capacidade técnica, participando de sessões do Zoom este ano? Para mim, a maior surpresa nesse novo normal é a mudança de comportamento”, afirma.

No entanto, quando os comportamentos mudam, os riscos mudam e hoje existem novos riscos que podem permanecer expostos. “Tudo isso vai se traduzir em uma superfície de ataque maior e mais avançada – o número de dispositivos agora é maior do que o número de humanos e isso cria exposição. Com isso, é responsabilidade do board e da gestão de riscos corporativos identificar como esses riscos se manifestarão e como eles impactarão os negócios”, disse o consultor especial de segurança cibernética da NACD, Chris Hetner.

Continue a adaptação de segurança cibernética

A maioria das empresas fez um ótimo trabalho de adaptação aos novos desafios operacionais da pandemia, mas muitas não se adaptaram aos novos riscos de segurança cibernética.

Como os boards podem ajudar a garantir que a administração esteja preparada para os riscos de segurança cibernética?

Os boards devem perguntar às suas equipes de gestão sobre as tecnologias e práticas de segurança recém-introduzidas, para ver se eles adaptaram novos controles de detecção e prevenção que tratam dessas mudanças. Para o diretor da Grant Thornton e líder de prática de tecnologia forense, Johnny Lee, a chave para isso é a agilidade da gestão para girar quando e onde for necessário. “Há, é claro, o risco de excesso ou falta de engenharia para adaptação, mas orientar a conversa em termos de risco é o grande equalizador, porque permite conversas sobre o risco de segurança cibernética que são multidisciplinares e abrangentes”, disse.

Na visão do executivo, houve uma mudança no perímetro que temos que proteger – mas para muitas organizações é discutível se existe um perímetro. “Em março, o perímetro mudou de um fenômeno empresarial bem definido para – em muitos casos – os laptops pessoais de funcionários horistas. Essa não é uma mudança trivial e não se presta a estratégias defensivas tradicionais, como comprar um firewall ou bloquear as transferências de dados por meio de um sistema de prevenção de perda de dados”, pontua Lee.

No Brasil, a partir dos resultados do International Business Report, realizado pela Grant Thornton International entre os meses de maio e junho, foi possível verificar que as empresas devem rever drasticamente suas estratégias de negócios após a crise, uma vez que 40,8% do empresariado indicou alteração nos padrões de operação diante da pandemia e, ainda, 52% indicaram que vão usar mais tecnologia e transformação digital nos negócios.

Leia também Estratégias adotadas pelas empresas brasileiras no enfrentamento da crise

Prepare-se para mudanças futuras

Os diretores precisam ajudar as equipes de gerenciamento a adaptar seu foco aos riscos de segurança cibernética – e compreender que mais mudanças estão por vir.

“Acredito que todos têm uma percepção de que a pandemia introduziu transformações digitais forçadas para muitas organizações, e que muitas agora enfrentam outra adaptação no curto prazo, uma que não se parecerá nem com o estado de crise atual nem com o que o precedeu”, afirmou Lee. Em complemento, Leibowitz concordou que “estaremos em uma transição massiva nos próximos 18 a 24 meses”.

Ataques cibernéticos podem levar a um risco de interrupção de negócios, perda de dados, violações regulatórias, impactos no balanço patrimonial, litígios de clientes e muito mais. Na experiência de Hetner, “quando se fala sobre esses riscos e o custo de restaurar sistemas, você começa a envolver algum valor econômico e comercial em torno dos eventos cibernéticos, e essa conversa ressoa no board”. Para Leibowitz, houve uma progressão nos últimos dez anos, e essa progressão estava mudando de um foco muito técnico, de baixo nível e granular na segurança cibernética, para um foco mais amplo na privacidade, agora para conteúdo e voz e o que você diz em domínio público. “Acredito que é muito importante ter conhecimento suficiente sobre segurança cibernética para colocá-la em um contexto de negócios e uma estrutura para a tomada de decisões”, afirmou.  Lee complementou, ainda, que é necessário “reposicionar a segurança cibernética como outro risco para toda a empresa – não um fenômeno puramente tecnológico”.

Principais aspectos de gerenciamento de risco

Para garantir que o gerenciamento se concentre no risco de segurança cibernética e se prepare para mudanças futuras, os boards podem considerar algumas questões importantes de gerenciamento de risco:

Processo
  • Existem processos que exigem que integremos a segurança como parte da introdução de novas tecnologias, parceria com fornecedores terceirizados, criação de novas plataformas ou produtos internamente ou outros avanços comerciais?
  • Existem processos que requerem verificações e avaliações de segurança como parte de outras decisões estratégicas?
  • Existe uma abordagem de governança em que os proprietários de negócios incluem a segurança nas discussões sobre como envolver a segurança cibernética no design da plataforma antes de envolver os provedores de nuvem ou parceiros terceirizados?
  • Quando empregamos novas soluções tecnológicas, como marketing dirigido por IA, como avaliamos os riscos da nova solução para a cibersegurança, privacidade de dados e tomada de decisões de negócios?
Adaptação
  • Dadas as mudanças recentes, o que há de novo ou acelerado que pode ter introduzido novos riscos (como novos comportamentos, ferramentas, serviços ou ofertas)? Como a cibersegurança foi incluída nessas mudanças?
  • Nossos controles de acesso para funcionários internos mudaram? Como estamos regulando isso e reduzindo esse risco?
  • Nossos controles de acesso para parceiros externos mudaram (como fornecer mais acesso e integração com nosso sistema)? Como estamos monitorando isso?
  • Nossos parceiros externos mudaram os controles de acesso (como fornecedores, contratantes offshore, terceirizados ou outros parceiros que permitem que os funcionários trabalhem em casa)? Como estamos avaliando e gerenciando quaisquer novos riscos tecnológicos, contratuais, de política ou outros riscos subsequentes? Tomamos medidas (como segregar nossa rede) para parceiros cujo ambiente de segurança mudou?
Confiança
  • Como nos tornamos, ou continuamos a ser, o fornecedor confiável em nosso negócio, indústria, espaço e produtos?

Nessa questão, Leibowitz ressaltou que a confiança é um diferencial essencial. “Hoje, as pessoas têm coisas que precisam fazer de uma maneira diferente, por isso estão escolhendo entre os fornecedores. E a pergunta é: ‘Em quais provedores eu confio?’”

Use o planejamento de cenários

A chave para uma adaptação bem-sucedida é uma estratégia para um gerenciamento transparente de riscos corporativos. Essa estratégia deve ser informada por um planejamento de cenário detalhado e personalizado que incorpore a segurança cibernética como um risco para toda a empresa.

Ao usar cenários de segurança cibernética, os boards também podem estabelecer conversas no modelo de negócios e infraestrutura de tecnologia exclusivos da organização. “Ser capaz de lidar com uma variedade de cenários, ser confiável em termos de produtos e serviços que você se compromete a oferecer de uma forma que gere confiança em todos os seus constituintes – essa é uma consideração extremamente importante, especialmente para pessoas que compõe os boards”, disse Leibowitz.

Rastreamento de resultados

Em seguida, as empresas devem estar preparadas para rastrear seus resultados e adaptar esses cenários conforme necessário. “Todo mundo aprendeu recentemente que se trata de agilidade e adaptabilidade. Então, como você pensa sobre os pontos de dados e indicadores que realmente ajudam a medir essa agilidade ou adaptabilidade? Acho que você deve ser extremamente cuidadoso com os dados que usa e como você pensa sobre os resultados. Não se trata apenas de informações quantificáveis ​​ou qualitativas”, disse Leibowitz. “Você coleta um conjunto completo de pontos de dados para dar suporte a uma boa tomada de decisão e não haverá pontos de dados que fornecerão todas as respostas.”

Lee concordou que “as organizações estão ocupadas com o gerenciamento de riscos de segurança cibernética neste novo normal, então será necessário um esforço concentrado para fazer isso enquanto se prepara para um ambiente de negócios totalmente novo que está por vir”.

 

Como a Grant Thornton pode auxiliar na segurança digital da sua empresa? 

Conte com os nossos especialistas para obter mais informações e orientações sobre as etapas que sua organização deve tomar para mitigar riscos e lidar com ameaças digitais.

Entre em contato conosco