Leonardo Ferreira nesse artigo oferece uma visão abrangente e atualizada sobre o cenário da segurança cibernética, fornecendo aos líderes de negócios e de segurança cibernética insights valiosos para a tomada de decisões estratégicas. A implementação dos princípios de governança de riscos cibernéticos é fundamental para aumentar a resiliência das organizações e garantir seu sucesso no mundo digital.
Duas recentes publicações do Fórum Econômico Mundial (WEF) de 2024, Global Risks Report 2024 e Global Cybersecurity Outlook 2024, trouxeram os temas de resiliência cibernética, riscos cibernéticos e segurança cibernética como aspectos críticos para a sobrevivência, crescimento e sucesso de organizações públicas, privadas e governos em todo o mundo.
A pesquisa do Global Risks Report 2024 apresenta um ranking dos principais riscos globais de curto (2 anos) e longo (10 anos) prazo categorizando-os em econômicos, ambientais, geopolíticos, sociais e tecnológicos.
O risco de Cyber Insecurity figura na 4ª posição no horizonte de 2 anos e no longo prazo na 8ª posição, de um conjunto de 34 riscos globais mapeados junto aos entrevistados.
Quando perguntados sobre os 5 principais riscos com potencial de gerar uma crise global em 2024, os riscos de ataques cibernéticos integrou tal ranking.
Na mesma linha o relatório Global Cybersecurity Outlook 2024 apresenta as principais tendências que os executivos precisarão navegar em 2024, com destaque para a(s):
- Crescente desigualdade cibernética entre organizações que atingiram a resiliência cibernética e aqueles que não atingiram tal status.
- As tecnologias emergentes (Generative Artificial Intelligence / Quantum Computing) que irão exacerbar problemas de longa data relacionados com a resiliência cibernética.
- A escassez de competências cibernéticas e de talentos tem aumentado em a um ritmo alarmante.
- O gerenciamento do risco cibernético da cadeia de suprimentos está se tornando mais problemático.
- O alinhamento entre líderes de segurança cibernética (CISO, CSO, BISO) e de negócios (Conselhos de Administração, CEOs) está se tornando mais comum nas organizações.
Sendo uma das mais importantes e habilitadoras temáticas de destaque do referido relatório a necessidade de alinhamento entre os líderes de négocio (Board, VPs, Diretores) e os líderes de segurança (CISO, CSO, BISO) sobre os aspectos da resiliência cibernética, riscos cibernéticos e postura de segurança cibernética das organizações inseridas no contexto da transformação digital.
Discussão reforçada pelos dados do gráfico que mostram que dentre os lideres de negócios (39,53%) estão preocupados com a paralização operacional do negócio, seguidos por (36,05%) que preocupam-se com as perdas financeiras do negócio, além dos (18,6%) que preocupam-se com os aspectos reputacionais da empresa, seguidos por apenas (5,81%) dos pesquisados que dão atenção aos órgãos regulatórios do setor.
Já na visão dos líderes de segurança (1,9%) preocupam-se com os aspectos regulatórios, quase metade dos entrevistas (49,52%) preocupam-se com a permanente disponibilidade do negócio, seguido por (24,76%) que entendem a relevância dos impactos financeiros na empresa equilibrado com os (23,81%) que preocupam-se com os aspectos ligados à marca e reputação de sua organização.
Na contramão da pesquisa Global Cybersecurity Outlook 2024, a revista harvard business review trouxe o artigo intitulado “Os conselhos estão tendo conversas erradas sobre segurança cibernética” onde fica claro que ainda existe um longo caminho a ser percorrido pelos conselhos para ajudar suas organizações a se tornarem mais resilientes aos ataques cibernéticos.
Destacando-se os seguintes desafios a serem superados pelos Conselhos:
- Falta de interações da Diretoria com o CISO.
- Os conselhos se concentram na proteção quando precisam se concentrar na resiliência.
- Os conselhos veem a segurança cibernética como um tópico técnico, mas ela se tornou um imperativo organizacional e estratégico.
- A composição da maioria dos conselhos cria uma vulnerabilidade adicional quando deveria criar uma supervisão mais forte.
- Deixar de mostrar que a segurança cibernética é uma prioridade para a Diretoria envia uma mensagem indesejada para organização.
Diante as visões contrapostas, seguem um conjunto de recomendações que acredito serem acionáveis tanto pelos Conselhos quantos pelos CISOs na busca pelo aumento da resiliência cibernética das empresas. As recomendações, que por óbvio, não são exaustivas, derivam de um relevante estudo conduzido pelo do Fórum Econômico Mundial (WEF) intitulado Principles for Board Governance of Cyber Risk que busca apresentar um conjunto de seis princípios consensados que contribuem para supervisão do conselho na organização ao mesmo tempo que impulsionam os objetivos estratégicos de uma organização resiliente.
Dessa forma, na sequência apresento os seis princípios com informações adicionais para guiar a implementação das recomendações.
- A segurança cibernética é um facilitador estratégico de negócios.
- Compreenda os impulsionadores econômicos e o impacto do risco cibernético.
- Alinhe o gerenciamento de risco cibernético com as necessidades do negócio.
- Garanta que a estrutura organizacional apoie a segurança cibernética.
- Incorpore experiência em segurança cibernética na governança do conselho.
- Incentive a resiliência sistêmica e a colaboração entre os stakeholders.
Princípios materializados por estratégias para implementação à disposição dos Boards, Conselhos de Administração, VPs, Diretores e CISOs das organizações:
Princípio 1 – A segurança cibernética é um facilitador estratégico de negócios.
Decida/Resolva:
- Integrar as considerações sobre risco cibernético nos principais processos de tomada de decisões operacionais e estratégicos, incluindo a adoção do risco cibernético como um item recorrente da agenda para reuniões completas do conselho.
- Ver cada nova iniciativa importante de transformação digital da organização através da lente do risco cibernético.
- Determinar qual comitê do conselho deve ter supervisão primária de questões ligadas aos riscos cibernéticos.
- Analisar questões de segurança cibernética no que diz respeito às suas implicações estratégicas e como parte do risco empresarial.
- Peça aos executivos que identifiquem oportunidades para usar a segurança cibernética como um diferencial de mercado e ou impulsionador de negócios.
Princípio 2 – Compreenda os impulsionadores econômicos e o impacto do risco cibernético.
Decida/Resolva:
- Revisar e aprovar o apetite ou tolerância ao risco cibernético da organização no contexto do perfil de risco e dos objetivos estratégicos da empresa.
- Instruir a administração a estabelecer uma estrutura consistente, utilizando modelos de quantificação de risco aceitos pelo setor, para calcular o potencial impacto econômico e probabilidade de cenários de segurança cibernética.
- Exigir exame contínuo de medidas e métricas comparativas para risco cibernético (KPIs).
- Basear as decisões de gestão de risco cibernético no impacto potencial e na probabilidade de eventos de risco e perda ou exposição da organização.
Princípio 3 – Alinhe o gerenciamento de risco cibernético com as necessidades do negócio.
Decida/Resolva:
- Rever criticamente a estratégia de negócios e os impulsionadores da organização (por exemplo, crescimento digital) no contexto das suas implicações de risco cibernético.
- Exigir que a gestão (ou seja, todo o C-suite) reporte ao conselho sobre as implicações das suas atividades para a segurança cibernética, incluindo os riscos cibernéticos relevantes, a apropriação dos riscos e o alinhamento com o programa de gestão de riscos empresariais, sem negligenciar a forma como as decisões sobre riscos cibernéticos são rastreados.
- Exigir que a administração reporte ao conselho planos bem desenvolvidos, escritos e testados para combater eventos cibernéticos adversos.
- Determinar que a gestão integre a análise de risco cibernético em decisões de negócios significativas (por exemplo, lançar um novo produto ou publicar um app), juntamente com garantias efetivas da qualidade e abrangência da informação.
- Exigir que a administração forneça ao conselho roteiros sobre como a empresa determina a materialidade do risco que informe obrigações regulatórias.
Princípio 4 – Garanta que a estrutura organizacional apoie a segurança cibernética.
Decida/Resolva:
- Rever a estrutura organizacional para garantir que a função de segurança cibernética está adequadamente representada em toda a empresa, grupos e liderança.
- Compreender as atribuições de funções e linhas de responsabilidade importantes para a estratégia, política e execução de segurança cibernética.
- Definir expectativas de que as funções de segurança cibernética e de risco cibernético receberão pessoal e financiamento adequados e monitorar a eficácia dessas determinações.
- Inspirar uma cultura de segurança cibernética e incentivar a colaboração entre a função de segurança cibernética e todas as partes interessadas relacionadas e responsáveis pelo risco cibernético em vários níveis (por exemplo, conformidade, privacidade, etc.)
- Garantir que um responsável tenha autoridade e responsabilidade para coordenar a estratégia de risco cibernético em toda a organização e que a organização tem um plano abrangente para governança de dados.
Princípio 5 – Incorpore experiência em segurança cibernética na governança do conselho.
Decida/Resolva:
- Construir relacionamentos com partes interessadas internas que possam fornecer experiência para orientar decisões estratégicas de segurança cibernética, até e inclusive garantir que a expertise cibernética esteja representada no conselho.
- Participar de oportunidades para aumentar o nível básico de conhecimento dos Diretores do conselho sobre risco cibernético.
- Procurar consultores e avaliadores externos – que reportam regularmente ao conselho – para garantir uma supervisão eficaz da gestão.
- Considerar auditorias periódicas, análises da força da segurança cibernética e benchmarking por terceiros independentes.
- Realizar sessões regulares com o conselho para atualizar o grupo sobre incidentes cibernéticos recentes, tendências, vulnerabilidades e previsões de risco.
Princípio 6 – Incentive a resiliência sistêmica e a colaboração entre os stakeholders.
Decida/Resolva:
- Desenvolver uma visão de 360 graus da postura de risco e resiliência da organização para operar como uma parte socialmente responsável no ambiente mais amplo em que o negócio opera.
- Desenvolver redes de pares, incluindo outros membros do conselho, para partilhar as melhores práticas de governação dos conselhos através das fronteiras institucionais.
- Garantir que a gestão tenha planos para uma colaboração eficaz, especialmente com o setor público, na melhoria da resiliência cibernética.
- Garantir que a gestão leve em consideração os riscos decorrentes das conexões mais amplas do setor (por exemplo, terceiros, fornecedores e parceiros).
- Incentivar a participação da gestão em grupos industriais, setoriais e plataformas de compartilhamento de conhecimento e informação sobre questões cibernéticas.
Por fim, cabe destacar que os temas de resiliência cibernética, riscos cibernéticos e segurança cibernética seguem como focos de atenção, alocação de recursos, e grande preocupação por parte de organizações públicas, privadas e governos. Sendo mantadório aos líderes de negócios e líderes de segurança cibernética a compreensão dos impactos dos riscos cibernéticos na estratégia de negócios, o desenho de estratégias eficientes de alocação de recursos em segurança, além da busca permante pelo aumento da maturidade e resiliência cibernética.
Glossário: (Principles for Board Governance of Cyber Risk)
Segurança cibernética: O conjunto de atividades que protegem redes, dispositivos e dados contra acesso não autorizado ou uso criminoso. Buscando garantir a confidencialidade, integridade e disponibilidade de informações e sistemas com adequada entrega de serviços.
Risco cibernético: Evento de perda provável que se materializa quando uma ameaça cibernética afeta um ativo de valor e resulta em um impacto material em uma organização. O risco cibernético pode ser medido como a frequência provável e o impacto provável de um evento de perda.
Resiliência cibernética: Uma dimensão da gestão do risco cibernético, representando a capacidade dos sistemas e organizações para desenvolver e executar estratégias de longo prazo para resistir a eventos cibernéticos e ou a capacidade de uma organização de manter, construir e entregar de forma sustentável os resultados de negócios pretendidos, apesar de eventos cibernéticos adversos em seus ambientes internos e externos.
Referências
- Global Risk Report 2024. Global Risks Report 2024 | World Economic Forum | World Economic Forum (weforum.org).
- Global Cybersecurity Outlook 2024. Global Cybersecurity Outlook 2024 | World Economic Forum (weforum.org)
- Principles for Board Governance of Cyber Risk. Principles for Board Governance of Cyber Risk | World Economic Forum (weforum.org)
- Os conselhos estão tendo conversas erradas sobre segurança cibernética. Boards Are Having the Wrong Conversations About Cybersecurity (hbr.org)
Sobre Leonardo Ferreira
Leonardo Ferreira, LinkedIn Top Voice | Diretor de Privacidade e Cibersegurança, Segurança da Informação do Governo Digital MGI/Gov.Br, | CISO e DPO | Professor | Palestrante | Mentor | Colunista do Crypto ID | (ISC)² CC
Leia outros artigos de Leonardo Ferreira, em sua coluna aqui!
Leia mais sobre Privacidade e Proteção de Dados em nossa coluna dedicada a esse tema. São artigos sobre o que acontece no Brasil e no Mundo. Aqui!
Junte-se a nós na construção de um futuro digital mais seguro e confiável!
Ao longo de dez anos, trilhamos um caminho de pioneirismo com foco em segurança digital, identificação e privacidade. Celebramos essa jornada com a certeza de que a confiança é a base para um futuro digital sólido e promissor.
Mas a nossa missão continua! Convidamos você, leitor, e sua empresa a se juntarem a nós nesta jornada em busca de um futuro digital ainda mais seguro e confiável. Acreditamos no poder da colaboração para construir um ecossistema digital onde empresas, máquinas e pessoas possam confiar muito mais uma nas outras.