O Fórum Governança 4.0 é uma coprodução de MIT Sloan Review Brasil e Bravo GRC. Publicado originalmente no Fórum Governança 4.0.
As conexões digitais se multiplicam e formam teias cada vez mais complexas. Com isso, os processos necessários para gerenciar e manter toda essa rede – inclusive a segurança cibernética – se tornaram mais sensíveis. A exposição das empresas aos riscos de segurança e privacidade não é apenas uma dor de cabeça para os líderes de tecnologia da informação, chegando ao “board”.
Segundo estudo do Gartner, cerca de 88% dos conselhos de administração consideram a segurança cibernética como um risco comercial e não apenas um problema técnico. E 13% dos entrevistados responderam que as empresas deveriam criar comitês específicos de segurança cibernética supervisionados por um diretor.
A expansão do perímetro de ataque se multiplicou com riscos associados ao uso de sensores, conexão entre máquinas, código-fonte aberto, aplicativos em nuvem, cadeias de suprimentos e mídias sociais. Para o Gartner, é necessário ir além das abordagens tradicionais de monitoramento para alcançar um conjunto mais amplo de exposições de segurança com serviços de proteção de risco digital (DRPS), tecnologias de gerenciamento de superfície de ataque externo (EASM) e de ativos cibernéticos (CAASM) que automatizam a descoberta de lacunas e brechas de segurança.
“A função do diretor de segurança passou de um especialista técnico para um gerente executivo de risco, com responsabilidade de capacitar os conselhos de administração, presidentes e outros líderes de negócios na tomada de decisões”, aponta Roberto Lamb, associado do Instituto Brasileiro de Governança Corporativa (IBGC).
Investimentos em alta
O estudo Global Digital Trust Insights Survey 2022 da PwC, realizado entre julho e agosto de 2021, com 3,6 mil executivos de negócios, tecnologia e segurança – 124 deles no Brasil – mostra que 77% dos líderes brasileiros (75% no mundo) afirmam que as organizações se tornaram mais difíceis de serem protegidas. A boa notícia é que os investimentos em segurança estão crescendo.
No Brasil, 83% das empresas preveem um aumento nos gastos em segurança em 2022, em comparação com 69% no mundo. Em 2020, esses índices foram de 55% e 57% respectivamente. A pesquisa apontou também que 45% dos brasileiros (26% no mundo) preveem aumento de gastos cibernéticos acima de 10% em 2022, sendo que no ano passado apenas 14% faziam essa previsão (8% no mundo).
O Gartner define o risco de TI como falha ou exploração de uma vulnerabilidade que tem como consequência um resultado comercial negativo e não planejado. E o gerenciamento de riscos não é apenas trabalho da equipe de segurança: todos têm um papel a desempenhar, com responsabilidades específicas e respostas coordenadas.
Papel dos conselhos
Nesse cenário, os conselhos de administração têm papel central. “De um modo geral, a segurança cibernética, como um tema de natureza estratégica, não chegou aos conselhos, que costumam delegar o assunto à área de tecnologia, exceto em instituições financeiras e empresas de dados”, ressalta Lamb, do IBGC. Mesmo nas grandes empresas, a gestão de segurança cibernética é acumulada com a área de infraestrutura que fica sobrecarregada.
Lamb não acha necessário que o diretor de segurança tenha uma cadeira no conselho. Este deve ter visão generalista, dando a direção estratégica à companhia, ouvindo todas as áreas, incluindo a de segurança. Conforme a maturidade das companhias, os membros do conselho, municiados com informações, poderão fazer as perguntas certas e definir estratégias para enfrentar os riscos de segurança.
“Existem várias iniciativas, mas quando se olha a estrutura organizacional não fica evidente a visão estratégica sobre a segurança cibernética nas políticas e processos organicamente articulados nas empresas”, aponta Lamb.
A diretoria de gestão de risco, separada da área de infraestrutura, tem como responsabilidade assessorar e uniformizar a abordagem das diversas áreas e atuar como uma interface de risco entre os diferentes departamentos. “O diretor responsável seria como um integrador entre os departamentos e o principal interlocutor do conselho para questões ligadas à segurança cibernética”, diz Lamb.
Segundo o estudo da PwC sobre os processos implementados pelas empresas brasileiras para gerir riscos cibernéticos, 45% dos executivos (ante 34% globalmente) adotam processos e tecnologias que usam recursos de criptografia, tokenização e mascaramento de ambiente de dados confidenciais. Já 42% usam estratégias combinadas para as funções de gerenciamento de dados, cibernética, privacidade, retenção de registros e outras funções de governança, ante 32% globalmente.
A Bravo, empresa de tecnologia e consultoria para governança, riscos, compliance e ESG, dá algumas dicas para ajudar a sua organização a reduzir riscos.
Para aumentar a segurança
- Desenvolvimento de um programa com políticas internas e externas para promover a governança.
- Investimentos em plataformas que protejam os dados e simulem violações e ataques.
- Adoção de sistemas de prevenção contra o vazamento de dados. A avaliação da qualidade dos códigos, além de garantir uma melhor performance do software, pode proteger contra falhas.
- Foco na redundância dos sistemas – ter um plano claro de gestão de crises e de recuperação é fundamental.
- Treinamentos periódicos aos colaboradores, com ênfase em melhorar a cultura da segurança.
Saiba mais sobre conselhos de administração e governança corporativa no Fórum Governança 4.0.
