Será que os conselhos que supervisionam algumas das maiores organizações do mundo sabem o suficiente sobre cibersegurança para tomar as melhores decisões? Pelo menos nos Estados Unidos, a maioria dos conselheiros acredita que sim, de acordo com uma pesquisa recente da National Association of Corporate Directors (NACD).
Enquanto isso, os vazamentos de dados seguem crescendo. Em 2019, vimos um recorde no número de ataques cibernéticos. Houve mais de 5 mil incidentes de cibersegurança no mundo somente nos primeiros 9 meses do ano, um aumento de um terço em relação ao mesmo período de 2018. E o número de registros e dados expostos mais que dobrou, chegando a quase 8 bilhões.
Os custos também só aumentam. Uma pesquisa de 2019 da Kaspersky descobriu que a média de perdas nos incidentes de cibersegurança tem girado em torno de US $1,4 milhão.
Legisladores e reguladores têm notado o evidente crescimento desse tipo de problema, assim como os investidores e os shareholders. Em 2019, ex-diretores e conselheiros do Yahoo! fecharam um acordo com shareholders para compensá-los no valor de US $29 milhões quando o conselho da empresa foi processado por não cumprir sua parte do trabalho, depois que a empresa sofreu um vazamento que afetou mais de 3 bilhões de contas de usuários.
Os conselhos já evoluíram muito desde os dias em que a cibersegurança era uma preocupação exclusiva do departamento de TI. Mas ainda que 60% dos conselhos tenham conhecimento suficiente para gerenciar sua cibersegurança, como sugere a pesquisa da NACD, 40% não têm. Ou seja, existe uma série de conselheiros que admite abertamente não saber o que é um endpoint.
O conhecimento deve ser a regra, não a exceção.
Enquanto ataques cibernéticos e vazamentos de dados se tornam cada vez mais frequentes e causam mais danos, a necessidade de uma administração mais efetiva em relação à cibersegurança se torna mais crítica para as empresas.
“Conhecimento sobre segurança de dados já não é mais algo útil. Hoje isso é uma obrigação para qualquer negócio e para todos os líderes, dos criadores de startups até diretores de grandes corporações“
Associações profissionais já recomendam a capacitação de tecnologia como regra para as empresas, e cada vez mais os reguladores têm requerido isso como item essencial.
Tome como exemplo o popular modelo de gerenciamento de risco “três linhas de defesa”, criado pelo Institute of Internal Auditors (IIA). É um modelo que ilustra quem deve administrar as entidades de segurança digital. Por 20 anos, as “três linhas” foram uma espécie de gerência operacional, de risco e de compliance, assim como uma auditoria interna. Mas uma versão 2020 das “três linhas de defesa” especifica uma nova missão para esses conselhos: “Governança, sucesso organizacional e criação de valor”.
O mesmo processo aconteceu na Federal Financial Institutions Examinations Council (FFIEC). Em novembro de 2019, essa organização atualizou seu “Guia para Gerenciamento de Continuidade Empresarial” (“Business Continuity Management guide“, em inglês), assinalou que seu conselho e os cargos de gerência sênior têm a responsabilidade imediata de minimizar quaisquer disfunções que possam afetar funções críticas ao serviço das empresas. Disfunções essas que são constantemente causadas por ameaças digitais maliciosas.
O guia de Segurança da Informação do FFIEC também é outro que afirma que o conselho de uma empresa deve ter um “entendimento razoável” sobre as implicações da cibersegurança e seus riscos sobre o funcionamento da empresa e administrar de acordo com isso.
Mas será que essas são expectativas realistas?
“Para a maioria das pessoas que são de fora do ramo, a cibersegurança ainda é um mistério. Como vamos exigir que membros de conselhos de empresas façam as perguntas corretas para direcionar os chefes de seus departamentos de segurança?“
Empresas com conselhos bem informados sobre o mundo digital têm mais sucesso.
Sabendo que os conselhos precisam de ajuda como guardiões da cibersegurança, organizações como o Fórum Econômico Mundial (“WEF”, sigla em inglês) e a própria NACD têm alguns conselhos para dar.
O WEF criou um guia com 10 princípios de resiliência digital para boards de empresas. Dois dos princípios estão focados diretamente em funções de cibersegurança e suas responsabilidades: “responsabilidade para resiliência digital” e “pleno entendimento” por meio de capacitação em cibersegurança e atualização.
A NACD também publicou sua lista com 5 princípios fundamentais para a supervisão da cibersegurança. Número um: entendimento pleno e completo da cibersegurança e da gestão de riscos.
Mas parece que os conselhos e conselheiros precisam de ajuda para entender a importância do digital. Nos EUA, somente 24% dos conselhos de empresas com mais de 1 bilhão de dólares em faturamento anual são “experts digitais”, de acordo com um relatório publicado pelo MIT (Massachusetts Institute of Technology) em 2019. O relatório também afirma que companhias com um conselho capacitado sobre tecnologia tiveram um crescimento de 38% no seu faturamento e um retorno 34% maior sobre seus ativos.
A barra está lá em cima. Para que os conselhos tenham uma capacidade real de opinar e decidir sobre tecnologia, os autores de estudos como esses recomendam que a equipe seja formada não só por um, mas de, pelo menos, três diretores ou conselheiros focados em tecnologia
Sherry Jones
É fácil entender errado ou ignorar um diretor que use argumentos de tecnologia. Mas para criar uma mudança real, é preciso ter uma massa de manobra.
Os demais 76% representados no estudo não têm experiência nem para resolver problemas corriqueiros relacionados à tecnologia. Para eles, se atualizar para entrar nesse mundo não será fácil, mas ainda assim é possível, se eles estiverem dispostos a pedir ajuda.
Comece a recrutar experts de cibersegurança
“Todo conselho de empresa, não importa qual seja a indústria, o status e o tamanho, deve ter ao menos um especialista em cibersegurança dentro de seus membros”, afirma William Killgallon, Chefe de Operações de Segurança de Risco e Gerenciamento de Crises” na GE Digital.
Um número surpreendente de conselhos falha neste teste. A Farient Advisors, consultoria independente de governança corporativa, descobriu que dentro do S&P 500, índice que mede a performance na bolsa das 500 maiores empresas dos EUA, somente 16% das empresas têm especialistas em tecnologia ou cibersegurança em seu board.
O próprio Killgallon é membro de vários desses conselhos. Ele afirma que sua experiência na área fez a diferença em vários casos, incluindo o de uma arrecadação de fundos para uma startup: “Os investidores fizeram perguntas pontuais sobre segurança e privacidade, especialmente proteção de dados”, ele afirma. Mas os líderes da empresa haviam feito sua parte antecipadamente, recrutando Killgallon para o conselho. O resultado: eles conseguiram os investimentos.
“O dinheiro não seria arrecadado se os investidores não tivessem confiança de que os líderes tivessem, no mínimo, feito a lição de casa para se preparar em termos de cibersegurança e de riscos. Membros que entendam desses assuntos e que além disso sejam bons comunicadores podem ensinar aos demais o suficiente para que possam tomar boas decisões”, aponta Killgallon.
Hoje em dia, a expertise em cibersegurança se tornou algo essencial para que os conselhos entendam como os novos negócios funcionam. O Chefe de Segurança e Dados da Kaspersky, Andrey Evdokimov, afirma que o cenário ideal é ter conhecimento sobre os dois assuntos: saber como o negócio opera e como os departamentos de TI e segurança trabalham para atender essa operação.
“Infelizmente, é comum que os líderes não saibam identificar todas as funções primordiais para o funcionamento de seu negócio, aquelas áreas que precisam estar sempre ativas para que a operação funcione. Com isso, pode ser que nem os especialistas em cibersegurança da própria empresa consigam calcular os custos que um ataque cibernético possa ter sobre cada setor da empresa”, afirma Evdokimov.
“Muitas organizações não têm um plano de resiliência digital. Esses planos servem para definir metas de tempo de recuperação para funções primordiais da empresa e mapas de rede interdependentes, fazendo com que sistemas críticos possam ser restaurados rapidamente e na ordem correta. Para administrar de maneira eficiente, é necessário que os conselhos cobrem os responsáveis em cibersegurança por um planejamento bem feito para essas questões. A gestão de segurança da informação não é para qualquer um. É necessário ter muita experiência em termos de gestão de processos”.
“Existe uma lacuna de talento no ramo da cibersegurança e isso significa que pode ser difícil recrutar pessoas com essas capacidades para fazer parte dos conselhos das empresas”, reconhece Evdokimov. Ele ainda aponta que empresas com problemas para contratar podem sempre recorrer a especialistas terceirizados, como consultores externos.
Como os conselhos podem ir das dúvidas ao conhecimento
Novas regulamentações vão seguir impulsionando para que as empresas deixem a desinformação de lado e passem a se capacitar sobre tecnologia.
Hoje em dia, 58% dos países têm leis de proteção de dados e privacidade. A União Europeia, com sua General Data Protection Regulation, a famosa GDPR, exige um nível de procedimentos muito elevado para quaisquer empresas que fazem negócios em seu território ou com seus residentes. O estado da Califórnia, nos EUA, deu seguimento a esse movimento com o California’s Consumer Privacy Act (CCPA), promulgado em 2020. Ambos os projetos incluem conselhos de empresas na cadeia de responsabilidade.
Nos EUA, o Cybersecurity Disclosure Act of 2019 segue aguardando para ser debatido no Senado. Caso seja aprovado, ele exigirá que toda companhia com valores comercializados na Bolsa divulgue se os membros de seus conselhos têm ou não capacitação em tecnologia e cibersegurança. E, se não houver nenhum especialista, será necessária uma justificativa por parte da companhia.
Isso porque em uma era onde tudo e todos estão cada vez mais conectados, conselhos e conselheiros não podem deixar de se conectar também.
Trazer um expert em cibersegurança (ou três deles) para a conversa ou, ao menos, ter um contato próximo entre o conselho e profissionais experientes do ramo pode ser de grande ajuda para que sua organização se mantenha protegida, assim como seus sistemas e as informações dos seus clientes. Quando o assunto é cibersegurança, um pouco de conhecimento já ajuda muito.
Este é um artigo de opinião e não reflete necessariamente as opiniões e valores da Kaspersky.
