Muitas, se não a maioria, das grandes decisões nas organizações vêm da sala de reuniões. Normalmente, o conselho de administração concentra-se em direcionar o rumo da empresa. Como a maioria dos conselhos aprova orçamentos anuais, eles têm uma supervisão significativa dos recursos e áreas de investimento.
À medida que os ataques de cibersegurança continuam a aumentar, as organizações devem tomar decisões orçamentárias importantes que podem afetar o futuro da empresa. As questões de cibersegurança estão sendo cada vez mais levadas ao conselho de administração de organizações de todos os setores.
"A supervisão do risco cibernético é extremamente desafiadora", disse Dottie Schindlinger, diretora executiva do Instituto Diligent, por e-mail para um artigo recente da Cybersecurity Dive. "Com o custo global do cibercrime esperado para chegar a US$ 10,5 trilhões até 2025, a cibersegurança se tornou um imperativo em nível de conselho."
Papel do Conselho de Administração na Cibersegurança
Muitas organizações têm dificuldade em entender o papel do conselho de administração na cibersegurança, especialmente o nível de envolvimento. De acordo com a pesquisa "O Que os Diretores Pensam" da Diligent, os membros do conselho classificaram a cibersegurança como a questão mais desafiadora de supervisionar, à frente da transformação digital, inovação, novas tecnologias e alocação de capital. Ao fornecer suporte e educação aos membros do conselho, você pode reduzir o estresse e ajudá-los a acessar as informações necessárias para orientar sua empresa.
Dr. Wolf Richter, sócio da McKinsey & Co., disse durante um podcast da McKinsey & Co. que o conselho de administração e a liderança executiva precisam se envolver em uma conversa crítica. Ele disse que os conselhos precisam ser capazes de responder a estas perguntas:
Quando ocorrerá o ataque?
A organização está preparada para detectá-lo?
Está preparada para detê-lo?
Pode mitigar os efeitos e retomar as operações normais o mais rápido possível?
"A responsabilidade do conselho de administração é garantir que a equipe executiva tenha um plano, esteja preparada e esteja preparando toda a organização para a eventualidade de um ataque. A questão não é se o ataque vai acontecer e como preveni-lo", disse o Dr. Wolf Richter.
Educação dos Membros do Conselho sobre Questões de Cibersegurança
No entanto, muitos membros do conselho não têm formação em TI ou experiência em cibersegurança. A pesquisa constatou que menos de 9% (nove por cento) de um conselho médio possui experiência técnica. Além disso, metade das empresas pesquisadas não possui expertise técnica no conselho, o que é especialmente preocupante. As organizações devem educar proativamente os membros do conselho para que possam tomar decisões inteligentes em relação à cibersegurança.
Explique que cibersegurança significa mais do que proteção de dados. No artigo "7 Questões Urgentes de Cibersegurança que os Conselhos Precisam Fazer" da Harvard Business Review, os autores Dr. Keri Pearlson e Nelson Novaes Neto escreveram que muitos membros do conselho ainda pensam que a cibersegurança se trata apenas de proteger dados, o que era verdade há muitos anos.
No entanto, agora que processos e ferramentas digitais controlam grande parte das operações de uma empresa, um ataque de cibersegurança pode ser devastador. Por exemplo, um ataque pode interromper a cadeia de suprimentos gerenciada digitalmente ou causar problemas em equipamentos grandes controlados remotamente. Ao entender o impacto real que um ataque tem em uma organização hoje, o conselho tem a base necessária para tomar as decisões mais eficazes, especialmente em termos de financiamento.
Eduque o conselho sobre os riscos de danos à reputação e interrupção dos negócios. Muitos membros do conselho veem o custo da cibersegurança apenas como multas aplicadas por violações de privacidade. Para ajudar o conselho a entender a importância e o impacto, fale sobre como a cibersegurança pode paralisar as operações por dias ou mais, resultando em uma perda significativa de receita. Além disso, um ataque amplamente divulgado causa danos permanentes à reputação. Isso pode levar muitos clientes a interromperem os negócios com uma empresa. Compartilhe exemplos de violações de alto perfil, especialmente aquelas em seu setor ou que afetam empresas semelhantes.
Forneça informações sobre como a abordagem de "zero trust" reduz os custos de um ataque. O conselho não precisa entender todos os detalhes do "zero trust". No entanto, você deve compartilhar como investir nesse framework pode reduzir significativamente os riscos financeiros. De acordo com o Relatório de Custo de uma Violação da IBM de 2022, as organizações que não utilizam "zero trust" incorrem em uma média de US$ 1 milhão a mais em custos de violações em comparação com aquelas que o implementam.
Um Enfoque em "Zero Trust"
Para um conselho de administração não técnico, comece explicando que "zero trust" não é uma única tecnologia ou processo. Em vez disso, é uma estrutura de abordagens diferentes que você pode desenvolver ao longo do tempo. Anteriormente, as organizações tinham uma fronteira física com servidores locais e um prédio de escritórios.
Entretanto, o aumento do trabalho remoto mudou radicalmente essa abordagem. As organizações agora devem se concentrar em garantir que cada usuário, dispositivo e aplicativo tenha as autorizações adequadas. Com "zero trust", assume-se que cada solicitação de acesso é não autorizada e, em seguida, prova-se que é legítima: daí o nome "zero trust".
Mantenha o conselho atualizado sobre novas leis de divulgação de cibersegurança. Nova legislação e políticas impulsionarão a política de cibersegurança de sua organização. Por exemplo, a Lei de Relato de Incidentes Cibernéticos para Infraestrutura Crítica de 2022 foi promulgada no ano passado. A Agência de Cibersegurança e Infraestrutura (CISA, na sigla em inglês) está atualmente desenvolvendo e implementando regulamentações sobre relato de incidentes cibernéticos cobertos e pagamentos de resgate à CISA.
Outras regulamentações regionais e específicas do setor também estão em andamento, o que pode afetar a necessidade de investimento em cibersegurança.
Traga especialistas. Nem todos no seu conselho precisam ser especialistas em cibersegurança. No entanto, o conselho precisa ter acesso a expertise em segurança para ajudar a orientar suas decisões. O relatório da Diligent constatou que 59% das empresas estão trazendo consultores ou especialistas externos para educar o conselho, enquanto equipes jurídicas informam 48% dos conselhos. Além disso, 47% dos conselhos estabelecem programas formais de educação para diretores especificamente para questões de cibersegurança.
A Educação Fortalece seu Conselho
O conselho de administração é a base de sua organização. Se os diretores não tiverem conhecimento sobre um dos maiores problemas que afetam as empresas hoje, eles não poderão tomar as decisões comerciais mais inteligentes.
Ao educar proativamente seu conselho de administração sobre questões de cibersegurança, você pode ajudar seu conselho a construir a base de que sua empresa precisa para se proteger o máximo possível das ameaças cibernéticas.
(Com informações de Jennifer Gregory do site Security Intelligence)
