Gerenciando a segurança cibernética: qual o nível de participação que seu conselho precisa ter?

Os ataques cibernéticos são uma ameaça constante a todas as organizações. De acordo com a ICS-CERT, a quantidade de ataques cibernéticos de larga escala em 2016, precedidos pelo ataque de dezembro de 2015 às empresas de energia da Ucrânia, demonstra que não é uma questão de se, mas de quando, uma organização será alvo de criminosos cibernéticos.

Do ponto de vista corporativo, uma das dificuldades para lidar com as ameaças cibernéticas é que, tradicionalmente, tudo relacionado a computadores e redes é controlado pelo pessoal de TI. No entanto, com a evolução da segurança da TI para segurança da informação e, agora, para o gerenciamento de riscos, alguns dos problemas mais amplos relacionados ao risco cibernético podem estar fora do escopo desse departamento ou, em alguns casos, até mesmo além do escopo do diretor de segurança da informação. Não basta mais configurar uma solução de segurança que combine soluções de diversos fornecedores. É necessário uma abordagem mais estratégica de gerenciamento de risco cibernético.

Recentemente, a Diligent realizou um painel em que cerca de 40 executivos discutiram sobre segurança cibernética aplicada a conselhos de administração e sobre as melhores práticas para proteger os dados corporativos confidenciais.

Propriedade da ameaça cibernética

Como a segurança cibernética é um assunto cada vez mais recorrente no âmbito dos conselhos de administração, espera-se que os conselhos tenham um papel mais participativo na definição de políticas e mecanismos de proteção, lidando com assuntos não necessariamento relacionados à TI, como:

• Projetar um modelo de ameaças para mapear e classificar os riscos impostos aos dados corporativos e definir controles relacionados à postura de risco da empresa.
• Processar e aplicar as diretrizes da SEC sobre risco material e definir como adicionar declarações de risco material sem expor vulnerabilidades.
• Avaliar a extensão do risco e comprar seguro contra riscos cibernéticos.
• Avaliar as ameaças estatais (que, como demonstrado pelo Cyber Storm V National Cyber Exercise, da DHS, põem em perigo diferentes setores, de energia a saúde, passando pelo setor financeiro) e trabalhar com as agências governamentais.
• Entender e implementar uma estrutura de segurança cibernética.
• Criar um registro de risco de dados por meio de um comitê de auditoria.

Ainda que não haja métodos à prova de falhas para evitar ataques cibernéticos, em geral, a culpa recai sobre os membros do conselho quando eles não conseguem proteger seus controles de segurança, especialmente se não tiverem uma estratégia de resposta eficaz estabelecida. Considere a violação de dados da Sony em 2014, na qual os controles de segurança não foram gerenciados de maneira adequada — propriedade de credenciais do Active Directory (dados de usuário da Microsoft, sistema de gerenciamento de recursos e segurança para ambientes de rede distribuída) e supervisão da equipe de gerenciamento de patches.

Sistema de gerenciamento de rede da Microsoft

A função do conselho na proteção dos dados corporativos deve incluir uma análise do status dos dados e da segurança de dados em toda a organização. É preciso haver uma ideia clara de onde os dados residem e dos pontos de interface nos quais eles podem ser expostos para o mundo. Deve haver uma imagem clara de quem pode querer roubar os dados e os motivos para isso. E, talvez, o mais importante, a segurança de dados precisa fazer parte da cultura corporativa, e não ficar restrita aos especialistas. Deve haver políticas claras para o manuseio de dados e para o relato de violações de dados.

TI e conselho de administração

Uma das formas de aumentar diretamente o envolvimento do conselho de administração na segurança cibernética é modificar o relacionamento entre CIOs (Diretores de Tecnologia da Informação), CISOs (Diretores de Segurança da Informação) e o conselho. De acordo com um estudo da K logix, uma empresa de consultoria de segurança da Nova Inglaterra, mais da metade dos CISOs ainda se reportam ao CIO, enquanto apenas 15% se reportam ao CEO. Alguns CISOs acham que reportar-se ao CIO representa um conflito de interesses: Em um blog do WSJ, Avivah Litan, uma analista de segurança cibernética da Gartner, levantou a preocupação de que, se o CISO se reportar ao CIO, a segurança cibernética poderá ficar em segundo plano em relação a atividades que geram rendimentos. “A função de segurança precisa ser alçada ao nível do CEO para oferecer à organização um sistema de freios e contrapesos e a integridade de que ela precisa”, Litan disse.

Outra tendência é levar CIOs e CTOs (Diretores Técnicos) para os conselhos (e, por extensão, levar o CISO a um nível hierárquico mais próximo ao conselho) para aumentar a capacidade de tomada de decisão dos conselhos sobre segurança cibernética e outras questões de TI. De acordo com o SearchCIO.com, um portal dedicado a oferecer estratégias de gerenciamento de tecnologia para diretores de tecnologia da informação, há cada vez mais CIOs nos conselhos — na verdade, entre as empresas Fortune 500, 33% dos conselhos contam com um ex-CIO ou CTO. Como exemplo, a WellPoint Health Networks (que se fundiu à Anthem Health em 2014) elegeu um CIO para seu conselho ainda em 2011, conforme um comunicado à imprensa da Anthem, já que a empresa, juntamente com todo o setor de saúde, tornou-se mais dependente da TI e mais voltada para o cliente.

Uma abordagem alternativa, que pode ser especialmente adequada a pequenas empresas, é terceirizar a segurança cibernética para um provedor de serviços de segurança, dado o alto risco e a falta de experiência dentro da empresa. Essa abordagem requer instruir o conselho a respeito de serviços de segurança baseados em nuvem e sobre como avaliar esses serviços.

Um gerenciamento de riscos cibernéticos eficaz depende de governança consciente e capaz de apoiar a gerência na execução de estratégias de segurança e na resposta a ameaças com rapidez e eficácia. No comando das empresas, os conselhos precisam ter mais conhecimento e estar mais envolvidos nas decisões relacionadas à proteção de dados da empresa, elegendo CIOs ou CISOs experientes e criando um mecanismo para viabilizar tomadas de decisão embasadas.