Como alinhar os riscos cibernéticos com as necessidades de negócios

Carlos Rodrigues

Vivemos em uma sociedade digital em grande avanço, na qual os desenvolvimentos tecnológicos estão evoluindo rapidamente – com redes poderosas, interconectividade crescente e conceitos altamente automatizados, como e-health, cidades inteligentes e a Quarta Revolução Industrial desempenhando papéis cada vez mais proeminentes.

Esse aumento de tais tecnologias significa que a segurança cibernética é uma pré-condição extremamente importante e crescente para que uma sociedade funcione com sucesso. Nossa nova realidade digital exige que os líderes de negócios avaliem e governem adequadamente o risco cibernético e os executivos e tomadores de decisão são necessários, para ter um forte entendimento dos conceitos e questões dessas ameaças para tomar medidas efetivas.

No entanto, tanto a natureza dinâmica do risco cibernético quanto o crescimento exponencial dos ataques cibernéticos podem apresentar desafios na tomada de decisões.

Com base nisso, o Fórum Econômico Mundial, em colaboração com a National Association of Corporate Directors (NACD), Internet Security Alliance (ISA) e PwC, publicaram seis Princípios para a Governança do Conselho de Risco Cibernético para permitir que as organizações gerenciem melhor e entendam como navegar nas escolhas estratégicas e operacionais relacionadas ao risco cibernético.

Um princípio fundamental nesta orientação é que os conselhos de administração devem "alinhar o gerenciamento de riscos cibernéticos com as necessidades de negócios" em todas as facetas da tomada de decisões, incluindo inovação, fusões e aquisições, desenvolvimento de produtos e muito mais.

A exposição ao risco cibernético ameaça a reputação e a confiança do cliente

Os líderes rotineiramente enfrentam decisões difíceis na gestão do risco cibernético, pois a exposição ao risco cibernético pode ameaçar a reputação, a confiança do cliente e o posicionamento competitivo, e possivelmente resultar em multas e ações judiciais.

Nesse contexto, os líderes devem lidar simultaneamente com mudanças nas prioridades organizacionais, mudanças nos orçamentos, tecnologias e número de funcionários, bem como táticas adversárias em evolução e eventos de segurança emergentes, entre outras coisas. Essa complexidade como um todo é chamada de natureza dinâmica do risco cibernético.

No entanto, os executivos e tomadores de decisão são frequentemente sobrecarregados pela complexidade e pressão para agir ao lidar com questões de risco cibernético e, em tais situações, existe o risco de pontos cegos de segurança.

Muitas abordagens estão disponíveis para apoiar líderes e executivos de negócios em suas funções para definir e implementar uma estratégia sustentável de segurança cibernética e resiliência cibernética.

Os exemplos incluem avaliações periódicas de risco usando estruturas reconhecidas pelo setor – como a estrutura NIST Cybersecurity, C2M2 e ISO 27001 – ou a execução de simulações e exercícios de eventos cibernéticos.

Executivos devem fazer mais na gestão e mitigação do risco cibernético

O crescimento exponencial contínuo dos ataques cibernéticos pressiona os tomadores de decisão e executivos a ficarem à frente da curva. Reagir após o fato pode ser muito caro e aumentar as necessidades de avaliação e sanção regulatória. Vemos e entendemos que o risco cibernético é dinâmico por natureza, e agora devemos agir quanto a isso.

Por meio de soluções de tecnologia exploratórias e interativas, os líderes podem desenvolver uma melhor previsão para gerenciar os aspectos econômicos do risco cibernético e o alinhamento com as necessidades de negócios.

 

Carlos Rodrigues é vice-presidente da Varonis.