Risco cibernético é risco para o negócio.
Em tempos onde o roubo de informações leva a consequências significativas para uma organização como um todo, é cada vez mais importante a função do board na avaliação da adequação de sua segurança cibernética. Diretores devem colocar-se no lugar dos criminosos para avaliar a vulnerabilidade da empresa. É preciso perguntar – quais são os nossos riscos e quem quer roubar o que quer que seja? – enxergando assim através da perspectiva de alguém de fora.
Toda empresa, independentemente do porte, está vulnerável. Propriedade intelectual, informações sigilosas ou de clientes, dados, qualquer um destes é um chamariz para hackers e criminosos. Estar preparado e ciente dos riscos é um dever de um c-level, diretor ou board member.
O fato é que existe uma ingenuidade generalizada perante a segurança da informação, onde as ameaças de intrusão, roubo e danos são subestimadas. O desconhecimento dos executivos da organização em relação aos riscos e seu real impacto para o negócio é um dos principais fatores que contribuem para o enfoque tecnológico da gestão dos riscos cibernéticos. Para saber se sua empresa é um alvo, é preciso entender qual o valor dos seus ativos ou dos seus dados e qual o atrativo deles para um criminoso. Uma empresa pequena pode ser um alvo servindo como uma porta de entrada para facilitar o acesso a outra empresa maior.
É função do board implementar uma cultura de segurança na empresa, através de treinamentos, educação e ferramentas para prevenir desde ataques comuns e simples como um phishing a situações mais complexas como vazamentos de dados. O tema segurança cibernética é comumente delegado à área de TI, dado que o componente de tecnologia é visto como a principal estrutura de proteção a ser gerenciada. É preciso levar em consideração que, quando ocorrem incidentes, a companhia pode ser impactada de diversas maneiras, e por esta razão, os riscos digitais devem ser gerenciados como um risco do negócio como um todo, e com o mesmo nível de cautela e diligência dos outros riscos corporativos.
Se estabelecermos como premissa básica que risco cibernético é um risco para o negócio, o tema torna-se parte da gestão de riscos corporativos. A tradução da fala técnica, habitualmente utilizada para informar sobre os riscos cibernéticos, é primordial para que o board possa compreender o nível de risco e quais são as ações corretivas necessárias. Uma vez estabelecida, a cultura de segurança passa a fazer parte do plano estratégico e operacional da empresa.
É preciso gerenciar os riscos cibernéticos de forma holística e integrada. Passando primeiramente pela segurança de TI, que é responsável por implementar e gerenciar processos e soluções tecnológicas para a segurança cibernética, desenvolvendo softwares, atualizando sistemas e monitoramento de segurança, entre outros. Outras áreas possuem um papel essencial na gestão de riscos como RH – dando atenção aos colaboradores desde a contratação até o desligamento, e Compras – coordenando fornecedores com uma adequada gestão de riscos da informação para terceiros.
A gestão eficiente dos riscos cibernéticos envolve diversas áreas de uma organização. É preciso definir de uma forma clara a estruturação dos papeis e cargos para a sustentação de uma gestão eficiente e integrada, e manter-se à frente das novas regulamentações.
