{"id":17050,"date":"2021-03-03T16:04:59","date_gmt":"2021-03-03T19:04:59","guid":{"rendered":"https:\/\/www.kaspersky.com.br\/blog\/?post_type=emagazine&p=17050"},"modified":"2021-09-08T03:52:01","modified_gmt":"2021-09-08T06:52:01","slug":"working-with-ciso","status":"publish","type":"emagazine","link":"https:\/\/www.kaspersky.com.br\/blog\/secure-futures-magazine\/working-with-ciso\/17050\/","title":{"rendered":"Os l\u00edderes de empresas n\u00e3o est\u00e3o preparados para falar sobre ciberseguran\u00e7a. E n\u00f3s precisamos falar sobre isso."},"content":{"rendered":"

Ser\u00e1 que os conselhos que supervisionam algumas das maiores organiza\u00e7\u00f5es do mundo sabem o suficiente sobre\u00a0ciberseguran\u00e7a\u00a0para tomar as melhores decis\u00f5es? Pelo menos nos Estados Unidos, a maioria dos conselheiros acredita que sim, de acordo com uma\u00a0pesquisa recente da\u00a0<\/a>National<\/i>\u00a0<\/i>Association<\/i>\u00a0<\/i>of<\/i>\u00a0Corporate\u00a0<\/i>Directors<\/i><\/a>\u00a0(NACD).\u00a0<\/a><\/p>\n

Enquanto isso,\u00a0os vazamentos de dados seguem crescendo<\/a>. Em 2019, vimos um\u00a0recorde no n\u00famero de ataques cibern\u00e9ticos<\/a>. Houve mais de 5 mil incidentes de\u00a0ciberseguran\u00e7a\u00a0no mundo somente nos primeiros 9 meses do ano, um aumento de um ter\u00e7o em rela\u00e7\u00e3o ao mesmo per\u00edodo de 2018. E o n\u00famero de registros e dados expostos mais que dobrou, chegando a quase 8 bilh\u00f5es.<\/p>\n

Os\u00a0custos tamb\u00e9m s\u00f3 aumentam.\u00a0Uma pesquisa de 2019 da Kaspersky descobriu que a m\u00e9dia de perdas nos incidentes de\u00a0ciberseguran\u00e7a\u00a0tem girado em torno de US $1,4 milh\u00e3o.<\/a><\/p>\n

Legisladores e reguladores t\u00eam notado o evidente crescimento desse tipo de problema, assim como os investidores e os\u00a0shareholders. Em 2019,\u00a0ex-diretores e conselheiros do Yahoo! fecharam\u00a0um acordo com\u00a0shareholders\u00a0para compens\u00e1-los no valor de US $29 milh\u00f5es<\/a>\u00a0quando\u00a0o conselho da empresa foi processado\u00a0por n\u00e3o cumprir sua parte do trabalho,\u00a0depois que a empresa sofreu um vazamento que afetou mais de 3 bilh\u00f5es de contas de usu\u00e1rios.<\/p>\n

Os conselhos j\u00e1 evolu\u00edram muito desde os dias em que a\u00a0ciberseguran\u00e7a\u00a0era uma preocupa\u00e7\u00e3o exclusiva do departamento de TI. Mas ainda que 60% dos conselhos tenham conhecimento suficiente para gerenciar sua\u00a0ciberseguran\u00e7a,\u00a0como\u00a0sugere\u00a0a pesquisa da NACD,\u00a040% n\u00e3o t\u00eam. Ou seja, existe uma s\u00e9rie de conselheiros que admite abertamente\u00a0n\u00e3o saber\u00a0o que \u00e9 um\u00a0endpoint.<\/p>\n

O conhecimento deve ser a regra, n\u00e3o a exce\u00e7\u00e3o.\u00a0<\/b><\/h2>\n

Enquanto ataques cibern\u00e9ticos e vazamentos de dados se tornam cada vez mais frequentes e causam mais danos, a necessidade de uma administra\u00e7\u00e3o mais efetiva em rela\u00e7\u00e3o \u00e0\u00a0ciberseguran\u00e7a\u00a0se torna mais cr\u00edtica para as empresas.<\/p>\n

\u201cConhecimento sobre seguran\u00e7a de dados j\u00e1 n\u00e3o \u00e9 mais algo \u00fatil. Hoje isso \u00e9 uma obriga\u00e7\u00e3o para qualquer neg\u00f3cio e para todos os l\u00edderes, dos criadores de startups at\u00e9 diretores de grandes corpora\u00e7\u00f5es<\/i>\u201c<\/p><\/blockquote>\n

Associa\u00e7\u00f5es profissionais j\u00e1 recomendam a capacita\u00e7\u00e3o\u00a0de\u00a0tecnologia como regra para as empresas, e cada vez mais os reguladores t\u00eam requerido isso como item essencial.<\/p>\n

Tome como exemplo o popular modelo de gerenciamento de risco \u201ctr\u00eas linhas de defesa\u201d, criado pelo\u00a0Institute\u00a0of\u00a0Internal\u00a0Auditors\u00a0(IIA). \u00c9 um modelo que ilustra quem deve administrar as entidades\u00a0de seguran\u00e7a digital. Por 20 anos, as \u201ctr\u00eas linhas\u201d foram uma esp\u00e9cie de ger\u00eancia operacional, de risco e de\u00a0compliance, assim como uma auditoria interna. Mas\u00a0uma vers\u00e3o 2020 das \u201ctr\u00eas linhas de defesa\u201d\u00a0<\/a>especifica<\/a>\u00a0uma nova miss\u00e3o para esses conselhos:<\/a>\u00a0\u201cGovernan\u00e7a, sucesso organizacional e cria\u00e7\u00e3o de valor\u201d.<\/p>\n

O mesmo processo aconteceu na\u00a0Federal Financial\u00a0<\/i>Institutions<\/i>\u00a0<\/i>Examinations<\/i>\u00a0<\/i>Council<\/i>\u00a0(FFIEC).<\/i>\u00a0Em novembro de 2019, essa organiza\u00e7\u00e3o atualizou seu \u201cGuia para Gerenciamento de Continuidade Empresarial\u201d (\u201cBusiness\u00a0<\/i>Continuity<\/i>\u00a0Management\u00a0<\/i>guide<\/i>\u201c<\/i>, em ingl\u00eas),\u00a0assinalou que seu conselho e os cargos de ger\u00eancia s\u00eanior t\u00eam a responsabilidade imediata de minimizar quaisquer disfun\u00e7\u00f5es<\/a>\u00a0que possam afetar fun\u00e7\u00f5es cr\u00edticas ao servi\u00e7o das empresas.\u00a0Disfun\u00e7\u00f5es essas que s\u00e3o constantemente causadas por amea\u00e7as digitais maliciosas.\u00a0<\/a><\/p>\n

O guia de Seguran\u00e7a da Informa\u00e7\u00e3o do FFIEC tamb\u00e9m \u00e9 outro que afirma que\u00a0o conselho de uma empresa deve ter um \u201centendimento razo\u00e1vel\u201d sobre as implica\u00e7\u00f5es da\u00a0ciberseguran\u00e7a\u00a0e seus riscos sobre o funcionamento da empresa<\/a>\u00a0e administrar de acordo com isso.<\/p>\n

Mas ser\u00e1 que essas s\u00e3o expectativas realistas?<\/p>\n

\u201cPara a maioria das pessoas que s\u00e3o de fora do ramo, a\u00a0<\/i>ciberseguran\u00e7a<\/i>\u00a0ainda \u00e9 um mist\u00e9rio. Como vamos exigir que membros de conselhos de empresas fa\u00e7am as perguntas corretas para direcionar os chefes de seu<\/i>s<\/i>\u00a0departamento<\/i>s<\/i>\u00a0de seguran\u00e7a?<\/i>\u201c<\/p><\/blockquote>\n

Empresas com conselhos bem informados sobre o mundo digital t\u00eam mais sucesso.<\/b><\/h2>\n

Sabendo que os conselhos precisam de ajuda como guardi\u00f5es da\u00a0ciberseguran\u00e7a, organiza\u00e7\u00f5es como o F\u00f3rum Econ\u00f4mico Mundial (\u201cWEF\u201d<\/i>, sigla em ingl\u00eas) e a pr\u00f3pria NACD t\u00eam alguns conselhos para dar.<\/p>\n

O WEF criou um guia com\u00a010 princ\u00edpios de resili\u00eancia digital para boards de empresas<\/a>. Dois dos princ\u00edpios est\u00e3o focados diretamente\u00a0em\u00a0fun\u00e7\u00f5es de\u00a0ciberseguran\u00e7a\u00a0e suas responsabilidades: \u201cresponsabilidade para resili\u00eancia digital\u201d e \u201cpleno entendimento\u201d\u00a0por meio de\u00a0capacita\u00e7\u00e3o em\u00a0ciberseguran\u00e7a<\/a>\u00a0e atualiza\u00e7\u00e3o.<\/p>\n

A NACD tamb\u00e9m publicou sua lista com\u00a05 princ\u00edpios fundamentais para a supervis\u00e3o da\u00a0ciberseguran\u00e7a<\/a>. N\u00famero um: entendimento pleno e completo da\u00a0ciberseguran\u00e7a\u00a0e da gest\u00e3o de riscos.<\/p>\n

Mas parece que os conselhos e conselheiros precisam de ajuda para entender a import\u00e2ncia do digital. Nos EUA,\u00a0somente 24% dos conselhos de empresas com mais de 1 bilh\u00e3o de d\u00f3lares em faturamento anual s\u00e3o \u201cexperts digitais\u201d<\/a>, de acordo com um relat\u00f3rio publicado pelo MIT (Massachusetts\u00a0<\/i>Institute<\/i>\u00a0<\/i>of<\/i>\u00a0Technology<\/i>) em 2019. O relat\u00f3rio tamb\u00e9m afirma que companhias com um conselho capacitado sobre tecnologia tiveram um crescimento de 38% no seu faturamento e um retorno 34% maior sobre seus ativos.<\/p>\n

<\/p>

A barra est\u00e1 l\u00e1 em cima. Para que os conselhos tenham uma capacidade real de opinar e decidir sobre tecnologia, os autores de estudos como esses recomendam que a equipe seja formada n\u00e3o s\u00f3 por um, mas de, pelo menos, tr\u00eas diretores ou conselheiros focados em tecnologia<\/p>\n

Sherry Jones<\/p><\/cite><\/blockquote>\u00a0<\/i>\n

\u00c9 f\u00e1cil entender errado ou ignorar um diretor que use argumentos de tecnologia. Mas para criar uma mudan\u00e7a real, \u00e9 preciso ter uma massa de manobra.<\/p>\n

Os demais 76% representados no estudo n\u00e3o t\u00eam experi\u00eancia nem para resolver problemas corriqueiros relacionados \u00e0 tecnologia. Para eles, se atualizar para entrar nesse mundo n\u00e3o ser\u00e1 f\u00e1cil, mas ainda assim \u00e9 poss\u00edvel, se eles estiverem dispostos a pedir ajuda.<\/p>\n

Comece a recrutar experts de\u00a0<\/b>ciberseguran\u00e7a<\/b>\u00a0<\/b><\/h2>\n

\u201cTodo conselho de empresa, n\u00e3o importa qual seja a ind\u00fastria, o status e o tamanho, deve ter ao menos um <\/i>especialista<\/i>\u00a0<\/i>em\u00a0<\/i>ciberseguran\u00e7a<\/i>\u00a0dentro de seus membros\u201d<\/i>, afirma William\u00a0Killgallon, Chefe de Opera\u00e7\u00f5es de Seguran\u00e7a de Risco e Gerenciamento de Crises\u201d na GE Digital.<\/p>\n

Um n\u00famero surpreendente de conselhos falha neste teste. A\u00a0Farient<\/i>\u00a0<\/i>Advisors<\/i>, consultoria independente de governan\u00e7a corporativa, descobriu que dentro do\u00a0S&P 500<\/i>, \u00edndice que mede a performance na bolsa das 500 maiores empresas dos EUA,\u00a0somente 16% das empresas t\u00eam especialistas\u00a0em tecnologia ou\u00a0ciberseguran\u00e7a\u00a0em seu board.\u00a0<\/a><\/p>\n

O pr\u00f3prio\u00a0Killgallon\u00a0\u00e9 membro de v\u00e1rios desses conselhos. Ele afirma que sua experi\u00eancia na \u00e1rea fez a diferen\u00e7a em v\u00e1rios casos, incluindo o de uma arrecada\u00e7\u00e3o de fundos para uma startup:\u00a0\u201cOs investidores fizeram perguntas pontuais sobre seguran\u00e7a e privacidade, especialmente prote\u00e7\u00e3o de dados\u201d<\/i>, ele afirma. Mas os l\u00edderes da empresa haviam feito sua parte antecipadamente, recrutando\u00a0Killgallon\u00a0para o conselho. O resultado: eles conseguiram os investimentos.<\/p>\n

\u201cO dinheiro n\u00e3o seria arrecadado se os investidores n\u00e3o tivessem confian\u00e7a de que os l\u00edderes tivessem, no m\u00ednimo, feito a li\u00e7\u00e3o de casa para se preparar em termos de\u00a0<\/i>ciberseguran\u00e7a<\/i>\u00a0e de riscos. Membros que entendam desses assuntos e que al\u00e9m disso sejam bons comunicadores podem ensinar aos demais o suficiente para que possam tomar boas decis\u00f5es\u201d<\/i>, aponta\u00a0Killgallon.<\/p>\n

Hoje em dia, a expertise em\u00a0ciberseguran\u00e7a\u00a0se tornou algo essencial para que os conselhos entendam como os novos neg\u00f3cios funcionam. O Chefe de Seguran\u00e7a e Dados da Kaspersky, Andrey\u00a0Evdokimov, afirma que o cen\u00e1rio ideal \u00e9 ter conhecimento sobre os dois assuntos: saber como o neg\u00f3cio opera e como os departamentos de TI e seguran\u00e7a trabalham para atender essa opera\u00e7\u00e3o.<\/p>\n

\u201cInfelizmente, \u00e9 comum que os l\u00edderes n\u00e3o saibam identificar todas as fun\u00e7\u00f5es primordiais para o funcionamento de seu neg\u00f3cio, aquelas \u00e1reas que precisam estar\u00a0<\/i>sempre ativas para que a opera\u00e7\u00e3o funcione. Com isso, pode ser que nem os especialistas em\u00a0<\/i>ciberseguran\u00e7a<\/i>\u00a0da pr\u00f3pria empresa consigam calcular os custos que um ataque cibern\u00e9tico possa ter sobre cada setor da empresa\u201d<\/i>, afirma\u00a0Evdokimov.<\/p>\n

\u201cMuitas organiza\u00e7\u00f5es n\u00e3o t\u00eam um plano de resili\u00eancia digital. Esses planos servem para definir metas de tempo de recupera\u00e7\u00e3o para fun\u00e7\u00f5es primordiais da empresa e mapas de rede interdependentes, fazendo com que sistemas cr\u00edticos possam ser restaurados rapidamente e na ordem correta. Para administrar de maneira eficiente, \u00e9 necess\u00e1rio que os conselhos cobrem os respons\u00e1veis em\u00a0<\/i>ciberseguran\u00e7a<\/i>\u00a0por um planejamento bem feito para essas quest\u00f5es. A gest\u00e3o de seguran\u00e7a da informa\u00e7\u00e3o n\u00e3o \u00e9 para qualquer um. \u00c9 necess\u00e1rio ter muita experi\u00eancia em termos de gest\u00e3o de processos\u201d.<\/i><\/p>\n

\u201cExiste uma lacuna de talento no ramo da\u00a0<\/i>ciberseguran\u00e7a<\/i>\u00a0e isso significa que pode ser dif\u00edcil recrutar pessoas com essas capacidades para fazer parte dos conselhos das empresas\u201d<\/i>, reconhece\u00a0Evdokimov. Ele ainda aponta que empresas com problemas para contratar podem sempre recorrer a especialistas terceirizados, como consultores externos.<\/p>\n

Como os conselhos podem ir das d\u00favidas ao conhecimento<\/b><\/h2>\n

Novas regulamenta\u00e7\u00f5es v\u00e3o seguir impulsionando para que as empresas deixem a desinforma\u00e7\u00e3o de lado e passem a se capacitar sobre tecnologia.<\/p>\n

Hoje em dia,\u00a058% dos pa\u00edses t\u00eam leis de prote\u00e7\u00e3o de dados e privacidade<\/a>. A Uni\u00e3o Europeia, com sua\u00a0General Data\u00a0<\/i>Protection<\/i>\u00a0<\/i>Regulation<\/i><\/a>, a famosa GDPR, exige um n\u00edvel de procedimentos muito elevado para quaisquer empresas que fazem neg\u00f3cios em seu territ\u00f3rio ou com seus residentes. O estado da Calif\u00f3rnia, nos EUA, deu seguimento a esse movimento com o\u00a0California\u2019s<\/i>\u00a0<\/i>Consumer<\/i>\u00a0<\/i>Privacy<\/i>\u00a0<\/i>Act<\/i>\u00a0(CCPA), promulgado em 2020. Ambos os projetos incluem conselhos de empresas na cadeia de responsabilidade.<\/p>\n

Nos EUA, o\u00a0Cybersecurity<\/i>\u00a0<\/i>Disclosure<\/i>\u00a0<\/i>Act<\/i>\u00a0<\/i>of<\/i>\u00a02019<\/i><\/a>\u00a0segue aguardando para ser debatido no Senado. Caso seja aprovado, ele\u00a0exigir\u00e1\u00a0que toda companhia com valores comercializados na Bolsa\u00a0divulgue\u00a0se os membros de\u00a0seus\u00a0conselhos t\u00eam ou n\u00e3o capacita\u00e7\u00e3o em tecnologia e\u00a0ciberseguran\u00e7a. E, se n\u00e3o houver nenhum especialista, ser\u00e1 necess\u00e1ria uma justificativa por parte da companhia.<\/p>\n

Isso porque\u00a0em uma era onde tudo e todos est\u00e3o cada vez mais conectados, conselhos e conselheiros n\u00e3o podem deixar de se conectar tamb\u00e9m.<\/p>\n

Trazer um expert em\u00a0ciberseguran\u00e7a\u00a0(ou tr\u00eas deles) para a conversa ou, ao menos, ter um contato pr\u00f3ximo entre o conselho e profissionais experientes do ramo pode ser de grande ajuda para que sua organiza\u00e7\u00e3o se mantenha protegida, assim como seus sistemas e as informa\u00e7\u00f5es dos seus clientes. Quando o assunto \u00e9\u00a0ciberseguran\u00e7a, um pouco de conhecimento j\u00e1 ajuda muito.<\/p>\n

Este \u00e9 um artigo de opini\u00e3o e n\u00e3o reflete necessariamente as opini\u00f5es e valores da Kaspersky.\u00a0<\/em><\/p>\n","protected":false},"excerpt":{"rendered":"

Os conselhos de empresas devem saber o suficiente sobre ciberseguran\u00e7a para liderar de maneira eficiente. Mesmo assim, 4 em cada 10 conselheiros admite que deveria saber mais sobre o assunto. <\/p>\n","protected":false},"author":2557,"featured_media":17053,"template":"","coauthors":[2540],"class_list":{"0":"post-17050","1":"emagazine","2":"type-emagazine","3":"status-publish","4":"has-post-thumbnail","6":"emagazine-category-negocios-mais-seguros","7":"emagazine-category-regulamentacao","8":"emagazine-category-digital-transformation","9":"emagazine-tag-conselhos-dos-profissionais","10":"emagazine-tag-seguranca-de-dados","11":"emagazine-tag-tecnicas"},"hreflang":[{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/secure-futures-magazine\/working-with-ciso\/17050\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/secure-futures-magazine\/working-with-ciso\/21713\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/secure-futures-magazine\/working-with-ciso\/20034\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/secure-futures-magazine\/working-with-ciso\/34709\/"}],"acf":[],"_links":{"self":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/emagazine\/17050","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/emagazine"}],"about":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/types\/emagazine"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/users\/2557"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/media\/17053"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/media?parent=17050"}],"wp:term":[{"taxonomy":"author","embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/coauthors?post=17050"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}