
Cibersegurança também é assunto para os Conselhos de Administração
A Segurança Cibernética, do ponto de vista do Conselho, deve começar com a discussão e avaliação de diversos pontos críticos para as empresas:
- Identificação dos ativos e processos críticos
- Teste de procedimentos e colaboradores
- Estabelecimento de planos de emergência
A responsabilidade do Conselho é ter a certeza de que a gestão executiva tem um plano, está preparada e está preparando a organização para um ataque cibernético. A questão não é se haverá um ataque, mas sim quando, como será detectado e endereçado, e como pode ser mitigado.
Para estabelecer a capacidade de gestão na segurança cibernética, o primeiro passo é nivelar a base de conhecimento comum ao Conselho e à gestão. O segundo passo é definir prioridades. Já o terceiro passo é estabelecer procedimentos para o caso de um ataque cibernético acontecer. A cyber resiliência somente será alcançada com esta sequência básica.
É fundamental destacar, também, que a resposta ao incidente não é responsabilidade exclusiva do CIO. As consequências de um incidente não serão gerenciadas pelo CIO, pois há questões de cunho legal, reputacional e operacional que fogem à sua alçada.
Para o Conselho, é absolutamente crítico estabelecer um padrão de comunicação para cada perfil de stakeholder, interno e externo, porém a partir de uma verdade única. É melhor, para dizer o mínimo, testar este padrão de comunicação de antemão.
Dentre as perguntas-chave com as quais o Conselho deve se atentar para monitorar a cyber resiliência, podemos enumerar:
- Onde há vulnerabilidade?
- Como são mitigadas?
- Qual perfil de incidente causa que tipo de impacto ao negócio?
- Qual nível de risco é possível transferir para uma seguradora?
- Já foram feitos testes de penetração? Que tipo de melhoria na defesa estes testes provocaram?
- Há alguém no Conselho apto a questionar o CIO e o CISO?
Outra ação importante que deve ser tomada pelo Conselho é executar um checklist de segurança com updates, autenticações, acessos e pessoas capacitadas. E, na hora de investir em ferramental, pense: Tecnologias mal utilizadas nunca são boas tecnologias.
Segurança cibernética não é física quântica. Mas você precisa saber se os seus processos, sistemas, ativos e dados estão sendo “cutucados” por alguém. Ninguém saberá responder isso sozinho.
Saiba que o crime cibernético é organizado e profissional. Sim, talvez você tenha que chamar a polícia. Antes, capacite o seu time.
Por Paulo Mordehachvili, CEO CECyber.
Para saber mais como a CECyber capacita de forma prática e acelerada os times de segurança, acesse os nossos cursos.
Comments are closed.