Dave Russell (*) e Rick Vanover (**)
Semana após semana, mês após mês, empresas são obrigadas a pagar ações indenizatórias por negligência com os seus sistemas de segurança após ataques de cibercriminosos. Isso evidencia os riscos que as organizações enfrentam com essa guerra contínua contra as ameaças cibernéticas.
As instituições violadas lutam contra os impactos mais imediatos e óbvios: tempo de inatividade, perda de dados, de receita, danos à reputação e multas regulatórias. Mas isso está piorando. Mais ações coletivas de consumidores, investidores e de outras partes afetadas por incidentes de segurança estão acontecendo com uma certa regularidade, argumentando que as empresas deveriam ter agido com mais eficiência para proteger informações confidenciais.
É claro que boa parte das organizações tomou algumas medidas para melhorar as práticas de cibersegurança nos últimos anos. As violações na Target, Equifax, Marriott e outras empresas conhecidas globalmente aumentaram a conscientização e forçaram os tomadores de decisão a fortalecer as redes corporativas e reforçar as políticas.
Mas as violações continuam acontecendo – e os processos chegando. O problema é que muitas empresas ainda não elevaram a segurança cibernética a uma verdadeira prioridade em toda a organização. Embora isso se aplique mais às PMEs, ainda é um problema para algumas companhias maiores.
A maioria ainda depende de gerentes de TI, nos bastidores, para definir e executar estratégias de segurança. Muitos não envolveram os líderes de negócios o suficiente na estratégia de segurança cibernética ou fizeram das ameaças um item permanente na agenda do conselho. Mas está na hora.
Abaixo estão quatro etapas básicas que as empresas podem adotar para priorizar a cibersegurança a nível de liderança.
- – Fortaleça as habilidades cibernéticas – O conselho deve assumir um papel ativo, mas, primeiro, os diretores precisam garantir que estão à altura da tarefa. Isso vai além de fazer com que os membros conduzam discussões corretivas com os líderes de TI e de negócios da equipe. Eles precisam se educar para enfrentar esse desafio contínuo.
Os conselhos podem começar avaliando os níveis de habilidade cibernética de seus membros e contratar um ou mais profissionais com experiência no tema. Esses especialistas podem liderar subcomitês e se envolver mais diretamente com os líderes de negócios e de TI.
Em segundo lugar, todo o conselho deve receber treinamento anual ou semestral para entender o cenário de segurança cibernética em constante evolução. O grupo pode abordar melhor os riscos, as responsabilidades e as questões técnicas que orientarão as decisões a serem tomadas.
- – Crie uma troca de informações de fluxo livre – Uma vez que o conselho esteja atualizado, cabe à administração desenvolver um mecanismo que promova uma comunicação consistente sobre riscos e estratégias cibernéticas. Os gerentes devem reservar um tempo para a interação intensa sobre planos, procedimentos e questões contínuas relacionadas aos riscos de segurança cibernética.
É importante que a medida inclua as partes interessadas de uma ampla variedade de departamentos – desde negócios até TI, equipe jurídica, RH e marketing. Embora as tecnologias de segurança cibernética ainda sejam controladas pela TI, a estratégia e a implementação abrangem todas as áreas e se estendem até o conselho. As interações devem se tornar parte contínua das responsabilidades do conselho, e os gerentes devem desempenhar o papel de educadores e facilitadores.
- – Eleja um responsável – Embora o envolvimento na segurança cibernética se estenda a todos os departamentos, é importante colocar a criação de um plano de resposta nas mãos de um indivíduo. Essa pessoa não precisa desenvolver todo o programa, mas deve ser um líder que tenha autoridade para impulsionar mudanças e obter alinhamento em toda a organização. Em teoria, o CIO, CISO ou CSO tende a estar bem-posicionado para essa tarefa.
Faz mais sentido para uma instituição ter um líder de negócios nessa função, alguém cujo trabalho esteja ligado a atividades ou operações geradoras de receita, em vez de tecnologia. Essa pessoa deve se envolver com líderes de tecnologia, mas abordar a tarefa com foco na estratégia de negócios.
A tecnologia é fundamental, mas os melhores planos de resposta são estruturados em torno de como as operações podem ser mais bem preparadas para uma violação e mantidas caso ocorra.
- – Atribua funções em toda a organização – Embora o CSO e o CISO definam as agendas de segurança das corporações, outros líderes precisam ter papéis mais ativos. Os CFOs precisam garantir que um nível adequado de segurança esteja incorporado em todos os processos financeiros da empresa.
Os diretores de RH precisam examinar as novas contratações com mais diligência e ajudá-los com as melhores práticas de segurança. Os líderes de vendas também precisam instruir o seu time, especialmente os que viajam bastante e acessam informações privilegiadas remotamente.
. Conclusão – As empresas não precisam esperar por ações indenizatórias, mas podem ter um mais papel ativo para afastá-las. Tornar a segurança cibernética uma prioridade da liderança – estendendo-a por toda a organização, até o conselho – já é um passo na direção certa.
(*) – É Vice President of Enterprise Strategy at Veeam; (**) – É Senior Director Product Strategy at Veeam.