O board está bem preparado para lidar com a cibersegurança?

Nas empresas e nos governos, as lideranças precisam entender e levar em consideração o risco cibernético em suas decisões estratégicas. Vivemos em um ambiente volátil, em uma sociedade orientada por dados que exige gestores cada vez mais preparados para responder às disrupções provocadas pela tecnologia.

É preciso transformar os modelos de negócio, identificar oportunidades e ameaças, desenhar estratégias de internacionalização no mercado global. Tudo isto são tarefas do quotidiano da gestão.

Por exemplo, se o cibercrime fosse uma nação, seria a terceira maior economia, atrás apenas dos EUA e da China, superando todo o comércio global de drogas. Nos custará mais de US $ 6 trilhões em 2021, com projeção de crescimento de 15% ano após ano, de acordo com Chase Lee, fundador e CEO da Trustpage.

É hora tratar a confiança não como um centro de custo, mas um ativo e agir de acordo. Como? É o que aborda o extenso relatório “Principles for Board Governance of Cyber Risk”, publicado pelo Fórum Econômico Mundial em parceria com a PwC.

Há pouca orientação prática sobre o que os conselhos corporativos devem considerar na governança das organizações no que diz respeito à segurança cibernética. Muitos conselheiros reconhecem que a segurança cibernética é um risco que requer atenção específica. No entanto, a maioria dos conselhos se esforça para definir uma abordagem abrangente para a segurança cibernética, que realmente gerencie risco em vez de implementar estruturas de controle “padrão”, na esperança de que sejam suficientes.

O novo relatório mostra como as lideranças podem melhorar sua compreensão dos riscos cibernéticos para incorporar rapidamente o planejamento de segurança cibernética na estratégia geral de suas empresas.

 A primeira etapa é estabelecer os princípios para orientar o comportamento e as escolhas dos conselheiros. Quando as empresas líderes adaptam princípios comuns em práticas, as práticas podem, por sua vez, se tornar padrões amplamente aceitos que a comunidade empresarial espera. O efeito cascata pode ser transformador.

O relatório aponta seis princípios:

1. A segurança cibernética é um facilitador estratégico de negócios;

2. Requer compreensão dos impulsionadores econômicos e dos impactos de risco;

3. Alinhamento do gerenciamento de risco com as necessidades de negócios;

4. Garantia de que o projeto organizacional apoie a segurança cibernética;

5. Incorporação da experiência em segurança cibernética na governança do conselho;

6. E incentivo à resiliência sistêmica e à colaboração.

Esses seis princípios partem da certeza de que a cibersegurança é mais do que apenas um problema de TI.Para decisões de negócios eficazes, as avaliações de riscos organizacionais devem pesar os custos da segurança cibernética em relação aos objetivos estratégicos, requisitos regulamentares e estatutários, resultados de negócios e os custos associados ao gerenciamento desse risco. Mais da metade (55%) dos 3.249 executivos de negócios e tecnologia / segurança ouvidos para a elaboração do relatório “Global Digital Trust Insights 2021”, da PwC, não têm confiança de que os gastos cibernéticos estão alinhados aos riscos mais significativos.

Há três questões cruciais sobre as quais os conselhos devem se debruçar:

1. Sua organização aplica uma estrutura consistente para calcular o impacto econômico e a probabilidade de eventos de segurança cibernética?
   
2. As decisões de negócios consideram os custos do comprometimento da segurança cibernética?
   
3. A sua organização definiu seu apetite pelo risco cibernético no contexto das vulnerabilidades realistas e das metas estratégicas da empresa?

Concentrando-se em como tratar os riscos cibernéticos (aceitando, transferindo, evitando ou atenuando-os), as organizações podem construir um perfil de segurança que se alinhe com as necessidades de negócios e o seu apetite ao risco. Há que haver um alinhamento claro entre o gerenciamento de risco cibernético e os objetivos de negócios em cada faceta da tomada de decisão, incluindo fusões e aquisições, transformação do negócio, inovação, digitalização, desenvolvimento de produtos, expansão de mercado etc.

Nesse ponto será preciso responder a outras três questões:

1. Quem é o “dono” do risco cibernético em sua organização? O negócio ou a equipe de segurança?
   
2. Todas as unidades de negócios devem relatar os principais riscos cibernéticos?
   
3. O risco cibernético é considerado em todas as decisões de negócios significativas, como o lançamento de um novo produto ou a publicação de um aplicativo?

Vale lembrar que projetar uma governança interna que aborde cibersegurança requer também a atribuição de papeis, de responsabilidade e de KPIs para todos na empresa.  Desenvolver uma visão de 360 ​​graus da organização é essencial. Até porque os riscos cibernéticos podem surgir de qualquer lugar, incluindo a rede de parceiros e fornecedores da empresa. Embora não sejam comuns, os ataques à cadeia de suprimentos podem destruir empresas cada vez mais interconectadas, causando estragos relevantes.

É necessária uma aldeia virtual para combater o crime cibernético. Eventos recentes nos ensinaram que mesmo as melhores empresas com foco em segurança cibernética podem ser comprometidas por um ator sofisticado.

Em 2017, o ataque NotPetya se espalhou de um sistema infectado por malware na Ucrânia para paralisar o transporte global e causar cerca de US $ 10 bilhões em danos a uma ampla variedade de indústrias, de produtos farmacêuticos à construção, de cuidados pessoais a alimentos de consumo.

Em 2020, o malware foi carregado para grande parte do governo federal dos EUA, incluindo o Departamento de Defesa, 425 empresas da lista Fortune 500 e várias outras empresas em todo o mundo, comprometendo uma atualização instalada pela SolarWinds, um fornecedor de infraestrutura de tecnologia com sede nos EUA. A extensão dos danos que provavelmente ocorrerão, ou mesmo o propósito do ataque, ainda permanecem desconhecidos.

Portanto, as organizações devem criar uma estrutura de governança interna que trate da segurança cibernética em toda a empresa. Será preciso definir claramente quem será o responsável por ações críticas e projetar práticas de segurança cibernética que considere como a empresa opera e toma decisões. E responder a outras perguntas:

1. Quando foi a última vez que a empresa revisou sua estrutura organizacional para garantir que a função de segurança cibernética está adequadamente representada em todos os departamentos?
   
2. Quem tem autoridade e responsabilidade para coordenar a estratégia de risco cibernético em toda a organização?
   
3. O conselho administrativo tem os relacionamentos certos dentro e fora da organização para desenvolver seu conhecimento de segurança?
   
4. Você colabora bem com seus pares, incluindo outros membros do conselho, para aumentar a segurança cibernética do setor como um todo?
   
5. A sua organização interage com as contrapartes do setor público para compreender os problemas de resiliência que o setor enfrenta?

Equipados com a estratégia certa, que compreende a centralidade do risco cibernético para fazer negócios no século 21, os conselhos e suas respectivas empresas serão capazes de ser líderes mais eficazes no futuro.