A gestão de topo e o desafio da cibersegurança

Por um lado, os executivos que antes não apreciavam nem sequer entendiam a cibersegurança são agora os que exigem uma maior visibilidade sobre as medidas e o estado da segurança das suas organizações, e são também os que pressionam para que se encontrem soluções que possibilitem a transformação digital. De acordo com um estudo recente da BDO Board Survey, 90% dos conselhos de administração recebem periodicamente informação sobre o estado da cibersegurança da sua empresa.

Por outro lado, o Responsável de Segurança ou CISO já não é a pessoa que tem a missão de impedir iniciativas ou comportamentos que considere desconhecidos ou arriscados, tendo um perfil cada vez mais executivo (dado o necessário reporting à camada executiva). Este deverá evoluir para um papel “facilitador” em que, face a um risco tecnológico, encontra uma forma construtiva de possibilitar a transformação, sem renunciar a vias de mitigação dos riscos que essa transformação digital traz consigo.

Esta relação entre Cibersegurança e gestão do negócio é hoje tão estreita que já existem alguns países (como é o caso particular do México), onde a comissão do mercado de valores mobiliários determinou que, para determinadas entidades do sector financeiro, o CISO tem que depender diretamente da administração e não de figuras intermédias nem de departamentos de Tecnologia que possam comprometer a visão independente dos mencionados riscos.

Mas porque deverá a cibersegurança ser relevante para a gestão de topo das empresas? Existem muitos motivos, mas o primeiro deles será provavelmente o facto de, hoje, o cibercrime ter um grande impacto nos resultados financeiros das organizações. Aliás, de acordo com o Barómetro 2018 da Allianz Risk, perante a pergunta “qual é a causa principal dos prejuízos económicos resultantes de um ciberincidente?”, 67% dos inquiridos liga essa causa diretamente à interrupção do negócio, seguida por fatores tão sensíveis como a perda de reputação ou as reclamações de responsabilidade.

Outra das razões que tornam relevante a segurança para os executivos prende-se com o crescimento exponencial do custo médio de uma falha de segurança. Além disso, segundo o relatório do Ponemon Institute “Global Cost of Data Breaches 2018”, os clientes fogem das empresas com registo de problemas de cibersegurança. Como se estes motivos não fossem suficientes, existem outros danos colaterais, como os que se referem à reputação da organização, que também pode ser seriamente afetada. Outro estudo recente publicado pelo Reputatian Institute, que analisou mais de 7 mil empresas de 25 indústrias diferentes, os aspetos relacionados com a cibersegurança são uma ameaça crescente à reputação das empresas, superando o impacto ambiental. Neste estudo também se destaca que “a violação da privacidade dos dados tem elevadas consequências na reputação e são dispendiosas, pelo que as empresas devem fazer tudo o que é preciso para se proteger e atuar com rapidez e transparência em caso de serem afetadas”.

Todas estas argumentações apontam para uma mesma direção: a cibersegurança é cada vez mais importante e isto é claramente refletido no interesse crescente das equipas diretivas das empresas. Por outro lado, se analisarmos os resultados que se obtêm deste envolvimento por parte da gestão de topo na estratégia de cibersegurança das organizações, apresentados pelo Ponemon Institute, vemos que estão diretamente relacionados ao decréscimo dos custos por falha de segurança.

Para concluir destacar que, para governar de forma efetiva a cibersegurança, é necessária uma visão 360º, que contemple não só a identificação dos ativos e dos riscos, como também estratégias para detetar e responder a ameaças. Só com esta visão holística, apoiada nos melhores standards e no suporte da direção, o CISO e a equipa de TI, tanto a nível interno como externo, poderão garantir a correta implementação da melhor estratégia possível, com uma cobertura do ciclo completo da cibersegurança.

por Jorge Hurtado, CSO & VP Managed Services na S21Sec