Cinco etapas para promover a segurança cibernética entre a TI e o conselho

Imagine se um bando de saqueadores estivesse do lado de fora de sua sede corporativa 24 horas por dia, jogando pedras, atirando projéteis e tentando causar o maior caos possível para a sua empresa. O conselho ignoraria as consequências sem fazer nada? A sua empresa está provavelmente na mira de saqueadores noite e dia — você apenas não os vê. Esses saqueadores, se ainda não conseguiram, um dia vão conseguir romper as barreiras. Esses são os hackers. Muitos dos conselhos de hoje parecem mostrar certa indiferença alarmante em relação à sua presença.

Pesquisas mostram que apenas metade das empresas norte-americanas tem políticas e procedimentos abrangentes para lidar com a segurança cibernética. Fora dos EUA, as percentagens são ainda mais baixas. Essas empresas deixam para o CIO a responsabilidade de manter o “castelo” protegido, e isso é um erro.

A segurança cibernética não é apenas um problema técnico a ser resolvido. Muito está em jogo. Seu site transmite mensagens importantes de identidade visual e publicidade para os consumidores e, provavelmente, oferece a oportunidade de comprar o seu produto. Internamente, a tecnologia é o que mantém a sua empresa operando e comunicando-se de forma eficiente. Os sistemas de transação mantêm fluxos de caixa operando no front-end da sua empresa, enquanto as finanças são reconciliadas no back-end. Se um invasor danificar quaisquer dessas funções ou fugir com os dados de IP, ou pior, com os dados de clientes ou dinheiro real, você vai entender rapidamente as consequências não tecnológicas de uma segurança de computador fraca.

Os membros do conselho não precisam se tornar especialistas técnicos — isso pode ser deixado para a equipe de TI. Mas eles devem gerenciar os riscos e alocar recursos. As políticas, os processos e os protocolos de segurança cibernética precisam ser colocados em prática no nível do conselho e considerados uma prioridade organizacional.

Veja aqui cinco maneiras de como os membros do conselho podem começar a agir:

1. Eleve a segurança de TI ao nível do conselho. Comece internamente com uma apresentação da equipe de TI ou do CIO (diretor de Tecnologia da Informação), que descreva as medidas de segurança que estão implantadas, as políticas e os procedimentos associados e exemplos de ataques reais que ocorreram em seus sistemas. (Grandes ataques não devem ser novidade, mas você pode se surpreender com os ataques constantes e a crescente sofisticação.) Traga consultores externos para avaliar o conselho de administração. Esses especialistas podem orientá-lo por meio de uma análise da política de segurança cibernética.

2. Mude a mentalidade de segurança. Não se trata se um ataque será bem-sucedido, mas quando ocorrerá. A resposta é tão importante quanto a prevenção. A metáfora da segurança cibernética como um fosso ao redor do castelo é frequentemente usada; se os bárbaros violassem o fosso, tudo estaria perdido. Mas esse não é mais o caso. Um intruso digital não é o fim do mundo quando controles podem identificar uma violação em curso e deter os efeitos colaterais adversos. Se você confirmar que nenhum dado de cliente foi afetado e que o dano foi limitado em decorrência de uma cuidadosa preparação, a sua empresa estará em boa situação, pois foi honesta sobre o que estava acontecendo, além de estar bem preparada para minimizar os danos.

3. Siga os protocolos pós-ataque corretamente. Parte dessa preparação que acabamos de mencionar é planejar com antecedência como será a resposta. Quem vai falar com a imprensa? E com os stakeholders? E com os acionistas? O que eles dirão? Essas decisões devem ser tomadas no nível do conselho, comunicadas e ensaiadas para que todos saibam o que fazer quando ocorrer um desastre.

4. A segurança começa em casa. Os ataques mais bem-sucedidos são causados por falha interna. A vice-presidente executiva que esquece o smartphone no restaurante. O administrador que deixa cair um cartão de memória repleto de números de cartão de crédito ou de informações de contas de cliente identificáveis. O gerente da loja que abre um e-mail espontaneamente. O conselho precisa conduzir uma mudança de cultura a esse respeito e desenvolver processos e procedimentos que passem a mensagem de que a segurança cibernética consiste em uma prioridade. Já considerou começar por você mesmo? Que exemplo o conselho e a equipe de liderança estão estabelecendo para o restante da organização?

5. Defina a alocação de recursos de forma adequada. O orçamento de TI, como alocado hoje, não cobrirá as melhorias necessárias em termos de pessoal, estratégia e planejamento tático, nem com a implantação de equipamentos. O conselho não apenas deve tornar a segurança uma prioridade organizacional, mas prepará-la de forma adequada.

Afinal, a segurança cibernética é uma questão de risco, uma ameaça aos negócios e, mais importante, à liderança. A boa notícia é que cada vez mais empresas observam a ameaça crescente. A má notícia: muitas empresas ainda não adotam as medidas necessárias para proteger os seus negócios, especialmente na sala de reuniões.