Cibersegurança também é assunto para os Conselhos de Administração - CECyber
Menu fechado

Artigos e Notícias

Cibersegurança também é assunto para os Conselhos de Administração

A Segurança Cibernética, do ponto de vista do Conselho, deve começar com a discussão e avaliação de diversos pontos críticos para as empresas:

  1. Identificação dos ativos e processos críticos
  2. Teste de procedimentos e colaboradores
  3. Estabelecimento de planos de emergência

 

A responsabilidade do Conselho é ter a certeza de que a gestão executiva tem um plano, está preparada e está preparando a organização para um ataque cibernético. A questão não é se haverá um ataque, mas sim quando, como será detectado e endereçado, e como pode ser mitigado.

Para estabelecer a capacidade de gestão na segurança cibernética, o primeiro passo é nivelar a base de conhecimento comum ao Conselho e à gestão. O segundo passo é definir prioridades. Já o terceiro passo é estabelecer procedimentos para o caso de um ataque cibernético acontecer. A cyber resiliência somente será alcançada com esta sequência básica.

É fundamental destacar, também, que a resposta ao incidente não é responsabilidade exclusiva do CIO. As consequências de um incidente não serão gerenciadas pelo CIO, pois há questões de cunho legal, reputacional e operacional que fogem à sua alçada.

Para o Conselho, é absolutamente crítico estabelecer um padrão de comunicação para cada perfil de stakeholder, interno e externo, porém a partir de uma verdade única. É melhor, para dizer o mínimo, testar este padrão de comunicação de antemão.

Dentre as perguntas-chave com as quais o Conselho deve se atentar para monitorar a cyber resiliência, podemos enumerar:

  1. Onde há vulnerabilidade?
  2. Como são mitigadas?
  3. Qual perfil de incidente causa que tipo de impacto ao negócio?
  4. Qual nível de risco é possível transferir para uma seguradora?
  5. Já foram feitos testes de penetração? Que tipo de melhoria na defesa estes testes provocaram?
  6. Há alguém no Conselho apto a questionar o CIO e o CISO?

 

Outra ação importante que deve ser tomada pelo Conselho é executar um checklist de segurança com updates, autenticações, acessos e pessoas capacitadas. E, na hora de investir em ferramental, pense: Tecnologias mal utilizadas nunca são boas tecnologias.

Segurança cibernética não é física quântica. Mas você precisa saber se os seus processos, sistemas, ativos e dados estão sendo “cutucados” por alguém. Ninguém saberá responder isso sozinho.

Saiba que o crime cibernético é organizado e profissional. Sim, talvez você tenha que chamar a polícia. Antes, capacite o seu time.

Por Paulo Mordehachvili, CEO CECyber.

Para saber mais como a CECyber capacita de forma prática e acelerada os times de segurança, acesse os nossos cursos.