Como falar ao conselho sobre cibersegurança

Deloitte | Audit & Assurance / 17 de junho de 2016
Por     /    Versão para impressão Versão para impressão

A perpetuidade de um negócio deve ser o grande objetivo de seus administradores, e a segurança da informação (SI) tornou-se tema crucial para a sobrevivência das instituições. Hoje é bastante evidente que toda empresa fica vulnerável ao lidar com dados digitais, pois há sempre alguém querendo invadir os sistemas. É inegável também que cibersegurança — a preservação da SI no ciberespaço — não abrange apenas tecnologia, nem vale somente dinheiro: também custa às corporações tempo, conveniência, capacitação, liberdades etc.

Assim, esse tema não deve mais ser conduzido só no âmbito da tecnologia da informação (TI), mas deve integrar uma governança corporativa consciente e responsável. Essa consciência precisa começar de cima, e o conselho de administração — como representante dos acionistas — deve fazer com que a empresa assuma papel efetivo no combate a ataques cibernéticos, violações e vazamentos de dados. A organização deve aproveitar oportunidades de melhora na defesa e cumprir com suas obrigações perante seus representados, clientes, fornecedores, colaboradores e as comunidades em que se insere.

A ameaça cibernética é uma realidade e coloca em risco o que as instituições têm de mais valioso: a informação. A conhecida onda de violações de dados e ataques cibernéticos ao longo dos últimos anos levou muitos conselhos a começar a fazer perguntas incisivas sobre as práticas de segurança da informação em suas empresas. Eles desejam conhecer as chances de a empresa experimentar uma danosa violação na sua segurança, e o que está sendo feito para impedir que isso ocorra.

A fim de que o conselho possa enfrentar de modo eficiente e eficaz tais riscos cibernéticos, não basta simplesmente seguir o que dizem os legisladores ou os códigos de melhores práticas de governança corporativa. Diante de um mundo cibernético cada vez mais volátil, incerto, complexo e ambíguo, é preciso ir além. Se o ciberespaço externo mudou, em vez de apenas confrontar essa realidade os tomadores de decisão nas empresas precisam aproveitar o momento para realizar internamente as reformas que vão contribuir para um posicionamento mais sustentável no longo prazo.

Em meio a esse cenário, os CIOs e CISOs são cada vez mais chamados a responder a perguntas nas reuniões do conselho. Para que o conselho se sensibilize quanto a seu papel fundamental nesse combate, é vital que esses executivos saibam se comunicar com clareza, foco, discernimento e objetividade quando chamados a falar, incentivando, desse modo, a necessária inclusão das questões de cibersegurança no topo da agenda corporativa. Há três mensagens essenciais que os executivos precisam transmitir ao conselho:

— Criar uma lista sucinta dos quatro a seis principais riscos cibernéticos que a empresa enfrenta, com indicadores que sinalizem o nível de exposição a essas ameaças;
— identificar se os principais indicadores de risco tendem para cima ou para baixo ou se permanecem estáveis trimestre a trimestre;
— explicar como a empresa está gerindo riscos de segurança e mantendo-os dentro de limites aceitáveis.

Falar ao conselho sobre cibersegurança torna-se complicado porque, em uma típica reunião de dois dias dos membros, costuma-se dedicar apenas 15 minutos a esse tópico. Por isso, é essencial que CIOs e CISOs apresentem os poucos indicadores de risco mais importantes para os conselheiros assimilarem e que deem a eles tempo para perguntas.

Por fim, é importante o conselho obter uma visão equilibrada da segurança e da postura de risco da empresa. Seus integrantes precisam entender, de modo tão transparente quanto possível, quais os principais riscos cibernéticos e o que a empresa está fazendo a respeito deles, para que possam fazer as perguntas certas para a condução do processo.


*Paulo Pagliusi é diretor da frente de Cyber Risk Services da Deloitte



Participe da Capital Aberto: Assine Experimente Anuncie


Tags:  Deloitte Cibersegurança segurança da informação

Compartilhe: 


Encontrou algum erro? Envie um e-mail



Matéria anterior
Diligências
Próxima matéria
Companhias devem ter cuidado ao renegociar covenants




Recomendado para você




Nenhum comentário

Deixe uma resposta

O seu endereço de e-mail não será publicado.



Leia também
Diligências
O embate na Usiminas volta a esta SELETAS. Incomodados com a presença de representantes da concorrente CSN no conselho de administração,...