Cibersegurança também é assunto para os Conselhos de Administração

A Segurança Cibernética, do ponto de vista do Conselho, deve começar com a discussão e avaliação de diversos pontos críticos para as empresas:

1. Identificação dos ativos e processos críticos
2. Teste de procedimentos e colaboradores
3. Estabelecimento de planos de emergência

A responsabilidade do Conselho é ter a certeza de que a gestão executiva tem um plano, está preparada e está preparando a organização para um ataque cibernético. A questão não é se haverá um ataque, mas sim quando, como será detectado e endereçado, e como pode ser mitigado.

Para estabelecer a capacidade de gestão na segurança cibernética, o primeiro passo é nivelar a base de conhecimento comum ao Conselho e à gestão. O segundo passo é definir prioridades. Já o terceiro passo é estabelecer procedimentos para o caso de um ataque cibernético acontecer. A cyber resiliência somente será alcançada com esta sequência básica.

É fundamental destacar, também, que a resposta ao incidente não é responsabilidade exclusiva do CIO. As consequências de um incidente não serão gerenciadas pelo CIO, pois há questões de cunho legal, reputacional e operacional que fogem à sua alçada.

Para o Conselho, é absolutamente crítico estabelecer um padrão de comunicação para cada perfil de stakeholder, interno e externo, porém a partir de uma verdade única. É melhor, para dizer o mínimo, testar este padrão de comunicação de antemão.

Dentre as perguntas-chave com as quais o Conselho deve se atentar para monitorar a cyber resiliência, podemos enumerar:

1. Onde há vulnerabilidade?
2. Como são mitigadas?
3. Qual perfil de incidente causa que tipo de impacto ao negócio?
4. Qual nível de risco é possível transferir para uma seguradora?
5. Já foram feitos testes de penetração? Que tipo de melhoria na defesa estes testes provocaram?
6. Há alguém no Conselho apto a questionar o CIO e o CISO?

Outra ação importante que deve ser tomada pelo Conselho é executar um checklist de segurança com updates, autenticações, acessos e pessoas capacitadas. E, na hora de investir em ferramental, pense: Tecnologias mal utilizadas nunca são boas tecnologias.

Segurança cibernética não é física quântica. Mas você precisa saber se os seus processos, sistemas, ativos e dados estão sendo “cutucados” por alguém. Ninguém saberá responder isso sozinho.

Saiba que o crime cibernético é organizado e profissional. Sim, talvez você tenha que chamar a polícia. Antes, capacite o seu time.

Por Paulo Mordehachvili, CEO CECyber.

Para saber mais como a CECyber capacita de forma prática e acelerada os times de segurança, acesse os nossos cursos.