A internet trouxe um mundo sem fronteiras, criando ­desafios jurisdicionais e problemas administrativos para investigar e punir criminosos cibernéticos. Ao contrário do esperado, os governos e as empresas não estão dedicando ­suficiente atenção e recursos para cuidar e combater os riscos ­cibernéticos, como mostra a pesquisa mundial da KPMG de 2014, na qual 45% dos membros de comitês de auditoria acreditam não dedicar tempo suficiente para o tema.

Só durante 2013, a Kaspersky identificou cerca de 200.000 novos malwares diariamente. De acordo com uma ­pesquisa da Verizon, os hackers são bem-sucedidos em ­penetrar ­sistemas das empresas em 75% das vezes, apenas em questão de minutos. Nesse contexto, o conselho de ­administração, grande guardião da governança corporativa, não pode simplesmente delegar a responsabilidade de cuidar de riscos cibernéticos à área de TI ou crer que os ­provedores de firewalls são capazes de evitar um ataque. Estando conscientes sobre a importância do conselho de administração tratar os riscos cibernéticos, a questão que se põe é: o que um conselheiro deve fazer?

O primeiro passo é ver as informações proprietárias como ativos críticos e importantes; entender os riscos para ­estes ativos e os potenciais impactos nos negócios, caso um ­ataque cibernético tenha sucesso; ter clareza sobre quais informações, caso roubadas, podem ser mais danosas a ­reputação ou a existência da empresa.

Os conselheiros tem de ter algum conhecimento e buscar apoio para tratar o tema. Eles precisam ter a capacidade de fazer as perguntas certas para garantir a supervisão dos ­assuntos relacionados ao tema. Dependendo do tamanho e da natureza dos negócios da empresa, ela pode ter um ­especialista no conselho, como membro de comitê do conselho ou simplesmente como consultor.

Cabe, portanto, ao conselho garantir que haja adequada alocação de recursos para o tratamento destes riscos.
O risco cibernético é uma ameaça às empresas de todos os tamanhos e tipos e a avaliação dos riscos cibernéticos deve ser integrada ao ERM-Enterprise Risk Management e não simplesmente considerada como um risco tecnológico. É preciso ter planos de prevenção e respostas aos ataques. Neste item, o conselho precisa adotar uma posição cética com relação às opiniões dos executivos que tendem a ser mais otimistas com relação aos mecanismos de defesa.
Um ataque cibernético contra a nossa empresa não é uma questão de “se”, mas sim de “quando”. Para lidar com isto, o conselho precisa:

O uso pelo conselho de administração de ferramentas como o Boardbooks é uma forma efetiva de ter acesso às informações relacionadas aos riscos cibernéticos para exercer seu papel de monitoramento e interagir com outros agentes de governança como executivos e auditores. De acordo com Malcolm Marshall, líder global de segurança cibernética da KPMG, “investidores vêem a violação de dados como uma ameaça para o valor de uma organização e se sentem desanimados em investir em negócio cujos ­dados foram comprometidos”.

A conscientização sobre a relevância dos riscos cibernéticos e o tratamento adequado do tema é essencial para que os conselheiros cumpram seu papel de proteger e valorizar suas empresas, contribuindo para torná-las longevas.

Email: [email protected] | Telefone: 11 997 070 212 (São Paulo) | Visite: www.boardbooks.com

Diligent é marca registrada da Diligent Board Member Services, Inc., registrada nos Estados Unidos. Diligent Boardbooks é marca registrada da Diligent Board Member Services, Inc., registradas nos Estados Unidos e em outros países. Os nomes e marcas de terceiros são propriedade de seus respectivos proprietários. © 2015 Diligent Board Member Services, Inc. Todos os direitos reservados. Este é um informativo produzido pela Diligent para veiculação exclusiva na CAPITAL ABERTO.