De quem é a responsabilidade cibernética?
À medida que os ataques cibernéticos aumentam em intensidade e frequência, o CFO tem um papel crítico a desempenhar nos esforços de qualquer organização para se proteger
Por Bharat Panchal
-
A cibersegurança não é apenas um risco decorrente do uso da tecnologia, mas uma questão de entender os perfis de papéis e a responsabilidade dos líderes seniores e entender quem é responsável pela preparação, previsões, processo e retificação quando as coisas dão errado.
Não se trata mais apenas de proteger ativos, atualizar software e garantir que você tenha uma proteção antivírus atualizada instalada.
É cada vez mais uma questão comercial, que pode resultar rapidamente em danos significativos à reputação, perda financeira e potencialmente desligar a organização completamente se você não estiver preparado para uma eventualidade catastrófica – um ataque cibernético bem-sucedido.
Como o setor foi impactado? A indústria indiana testemunhou ataques realmente maciços no passado recente. O ataque cibernético a um banco de Pune, envolvendo dados de 3,2 milhões de cartões de débito, custa quase Rs 100 crore. Um dos terminais importantes na porta JNPT permaneceu fechado por muito tempo devido ao ataque da Petya Ransomware em sistemas globais de TI da empresa de transporte AP Moller-Maersk.
Esses são apenas alguns exemplos que resultaram em danos diretos e indiretos maciços aos negócios e à reputação dessas empresas e, eventualmente, a seus clientes. O tipo de ganho financeiro possível com o cibercrime o torna mais lucrativo do que o total estimado do comércio global de todas as principais drogas ilegais combinadas.
Para as empresas, o cibercrime representa uma ameaça significativa e potencialmente onerosa. O crime cibernético afeta as empresas por perda monetária, produção perdida, destruição e roubo de dados pessoais e financeiros e danos à reputação. O custo da recuperação após um ataque é um assunto totalmente separado.
Entender errado pode não só ser catastrófico para uma empresa, mas também sua liderança
Muitos líderes pagaram preço por suas posições devido a violações graves de dados. Ao contrário de outros riscos, o risco de segurança cibernética é muito dinâmico, pois todos os dias surgem novos desafios. E, infelizmente, não há remédio disponível instantaneamente para muitas ameaças cibernéticas.
Estar alerta às mudanças digitais é um desafio, mesmo para os profissionais de segurança cibernética, devido à velocidade das mudanças. No entanto, existem alguns aspectos importantes sobre os quais é importante que a liderança de topo permaneça vigilante.
Por que os líderes precisam se preocupar?
Muitos líderes acreditam que estão no topo da agenda de segurança cibernética. A maioria deles, no entanto, precisa ser muito mais proativa do que apenas estar ciente. Seu foco deve ser garantir que o processo, as pessoas e a tecnologia trabalhem em harmonia para mitigar as ameaças colocadas por ataques cibernéticos.
Mais importante ainda, esses princípios devem ser incorporados a todas as atividades da empresa. A verdadeira segurança cibernética vai além da garantia de dados e sistemas de negócios.
Alguns anos atrás, o risco à segurança da informação era considerado parte do risco de TI. Isso levou ao aumento do papel técnico de um CISO (Chief Information Security Officer).
No entanto, com o aumento das ameaças, o trabalho de um CISO se tornou mais complexo.
Tornou-se agora imprescindível que uma habilidade essencial exigida a qualquer líder de segurança seja a capacidade de dividir silos e trabalhar com membros da diretoria e com a gerência para reduzir os riscos à sua função ou unidade de negócios. A regulamentação em torno da segurança cibernética foi reforçada nos últimos tempos.
O sucesso da liderança consiste em garantir que a questão da segurança cibernética tenha o perfil certo dentro de uma organização. Em setores como o BFSI, os dados do consumidor fluem entre varejistas, redes de pagamento e bancos. Se quase todos os links estiverem seguros, mas um não estiver, todos os participantes da cadeia correm o risco de violações. Os possíveis danos podem muito bem ter um efeito dominó.
O papel do CFO na segurança cibernética
Essas novas dimensões tornaram o CFO (Chief Financial Officer) um importante participante da segurança cibernética. A principal razão para essa mudança é que, enquanto os conselhos agora veem a cibersegurança como um risco comercial significativo, existe um perigo nessa percepção de ser interpretado de maneira diferente em toda a organização.
Se a TI, as operações, os riscos e as finanças vêem a segurança cibernética apenas por meio de suas próprias lentes profissionais, as ameaças mais significativas podem não ser identificadas e, portanto, podem acabar não sendo abordadas.
Independentemente da natureza e do alvo do ataque, eventualmente o dano é medido em termos financeiros. Os CFOs nessas circunstâncias não podem ignorar a segurança cibernética. Também é fato que as organizações podem quantificar e gerenciar o risco de um ataque cibernético – mesmo que o CFO possa não ser o próprio responsável.
O CFO possui as habilidades e a supervisão necessárias para poder prever ou prever uma visão muito mais ampla e de longo prazo do impacto financeiro de um ataque. E esses podem ser problemas imediatos de perda de dados e distúrbios operacionais ou perdas de reputação e regulamentares e o efeito no valor para os acionistas.
Como o custo de defender a organização contra ataques cibernéticos aumenta, é apenas quantificando o risco cibernético e o apetite de risco da organização que os recursos podem ser planejados e utilizados de maneira eficaz.
Um CFO é um dos guardiões naturais dos dados em uma organização e, portanto, está se tornando cada vez mais responsável na avaliação de seu valor e no gerenciamento de todo o seu ciclo de vida.
Finanças não é apenas o ponto focal através do qual os dados estão sendo compartilhados na organização e relatados; também é responsável por alguns dos dados mais sensíveis e valiosos que a organização possui.
O CFO, portanto, tem a responsabilidade de garantir a conformidade com as leis de dados, seja a lei doméstica ou global, como o Regulamento Geral de Proteção de Dados da União Europeia.
Portanto, o CFO deve participar plenamente de uma discussão robusta sobre segurança cibernética com o conselho, a organização em geral e as partes interessadas externas, e posicioná-lo como um risco comercial e comercial a ser mitigado por várias medidas de controle.
O departamento financeiro supervisiona a auditoria, o inventário, os testes e a conformidade e assumirá a liderança na avaliação e subscrição do seguro cibernético.
O CFO e o departamento financeiro são altamente organizados e experientes em explicar a lógica dos negócios por trás das restrições e controles financeiros que eles implementam. Portanto, os CFOs precisam usar sua função existente na organização para promover a segurança cibernética.
Conclusão
A segurança cibernética não é um problema para nenhuma equipe. As finanças, lideradas pelo CFO, têm um papel vital a desempenhar para garantir que haja avaliação de risco apropriada e alocação de orçamento para proteção cibernética. Eles também têm a responsabilidade de criar recursos suficientes para recuperação e resiliência que possam ser usados com eficácia quando ocorrer o inevitável ataque – para minimizar e gerenciar os danos.
Como a natureza desse risco continua evoluindo rápida e dinamicamente, é essencial que a abordagem mais inteligente e econômica e responsável para os CFOs se concentre nas proteções críticas que se integram e protegem contra os riscos cibernéticos.
Bharat Panchal dirige estratégias de conformidade e risco como Diretor de Riscos – Índia, Oriente Médio e África na FIS Global (Fidelity National Information Services), uma empresa de tecnologia de serviços financeiros e empresa terceirizada com sede na Flórida.
Panchal atuou como vice-presidente sênior de riscos e conformidade por oito anos na NPCI em seu cargo anterior
Fonte: moneycontrolcom