Nós x eles: a visão de TI e da alta gestão sobre os riscos cibernéticos


Assespro-RJ
Associação das Empresas Brasileiras de Tecnologia
07 de Junho de 2023 14:56
  • Enviar por e-mail
    Enviar por e-mail
    Para múltiplos destinatários separe os e-mails por vírgula.
  • Salvar em PDF

Por: Marta Helena Schuh, diretora de Cyber Insurance na Howden Brasil.


Na última semana estive no evento Tenchi Day 2023, que reuniu membros de conselhos, líderes de negócios e profissionais responsáveis por cyber segurança de diversas organizações. O debate entre os distintos grupos foi muito interessante, embora o assunto em comum fosse cyber segurança e seus impactos em diferentes áreas das empresas. O que vi é que o entendimento entre as áreas técnica e financeira/negócio é completamente distinto, o que é extremamente preocupante.


Apesar do tema ter ganhado mais atenção da alta gestão diante dos incidentes que têm ocorrido com diversas empresas brasileiras, pelo aumento do escrutínio regulatório com o surgimento de leis e regulações, como a LGPD, ANEEL, GDPR e, mais recentemente, de empresas com exposição ao mercado de capitais americano, o assunto traz responsabilidade ao conselho na supervisão do risco cibernético, incluindo a materialidade de suas perdas.


Hoje, todas as empresas, independentemente do ramo que atuam, possuem a dependência de algum tipo tecnologia. No entanto, os investimentos voltados ao gerenciamento deste crescente risco ainda são vistos como um custo e não como necessidade e até mesmo investimento. Quando o incidente ocorre, a responsabilidade fica associada ao profissional de TI.


Um dos painelistas citou que, em uma determinada empresa em que atuou como conselheiro, comentou que certa vez havia conversado com o CISO a respeito da segurança da empresa, e se esse poderia garantir que a empresa não seria atacada, já que havia alocado recursos e feito testes de tentativa de invasão – conhecidos como Pentest no mundo de tecnologia – o que prontamente ele afirmou que sim.


Dias depois, a empresa foi vítima de um incidente, com paralização de atividades e consequências severas ao negócio. O membro do conselho disse, então, ter se sentindo traído pelo CISO e que não entendia como isso poderia ter acontecido. A verdade é que profissionais não técnicos em TI ainda têm dificuldade de entender que não existe bala de prata em cyber segurança – o cenário cibernético está em constante mudança e, por mais que uma empresa invista em segurança de TI, ela nunca estará 100% segura. Como se trata de um risco de natureza evolutiva e permanente, este precisa ser tratado e monitorado, já que novas vulnerabilidades, conhecidas como Zero Day, surgem todos os dias; aliás, estima-se que mais de 1.500 delas são lançadas a cada mês!


Apesar de vítima, errou também o CISO, talvez por receio de que o conselheiro não visse valor nos investimentos feitos na área – a alta gestão está sempre preocupada com o retorno de investimento – então, como justificar algo que não pode ser visto e, muitas vezes, até mensurado, como é o caso de cyber segurança? Eu acredito que essa seja a realidade de diversos profissionais da área, que têm receio em dar voz sobre qual é o status atual de maturidade de sua organização. Muitas vezes, isso se dá por não saberem traduzir em linguagem simples e objetiva o que precisam; outros até sabem e têm ótimas intenções e preocupações, mas por restrição orçamentária ou até mesmo de apoio na adoção de melhores práticas, acabam não conseguindo fazer o que é necessário para compor um nível de maturidade mínima, nos padrões de governança reconhecidos.


Vejo em minhas tratativas diárias o quanto empresas, mesmo de grande atuação, carecem de maturidade diante dos padrões requeridos e buscam o Seguro como uma tentativa de transferir essa responsabilidade – o que, de fato, nenhum segurador irá assumir sem que certos critérios sejam implementados.


Se faz muito necessário que o risco de cyber seja visto como algo da responsabilidade de todos, já que a frequência de perda é muito maior para um evento cibernético do que para os perigos tradicionais, como um incêndio, quebra de máquinas e outros riscos em que são feitos investimentos e até mesmo seguro.


Em cyber não deve ser diferente, precisamos nos aproximar com um mesmo objetivo coletivo para a organização, que é proteger os ativos, sejam eles físicos ou digitais, falar uma linguagem comum para promover o entendimento entre ambas as partes e, como disse um dos panelistas do lado dos CISO´s – não é sobre nós ou eles, é sobre algo que vai afetar a todos, inclusive o ganho financeiro, a reputação e, possivelmente, até mesmo a competividade. E é aqui que a sua empresa precisa ver os custos de segurança cibernética como um investimento e não um gasto.


Marta Helena Schuh, diretora de Cyber Insurance na Howden Brasil.


Via: TI Inside

Comentários
Carregando...