0
0
Semana após semana, mês após mês, ações cibernéticas de acionistas chegaram às notícias. O Capital One se contenta com 190 milhões de dólares. Uma ação coletiva foi movida contra o Ultimate Kronos Group por suposta negligência em relação a um ataque de ransomware, identificando um sistema de cibersegurança ruim como o problema raiz.
Essas duas notícias recentes ressaltam os riscos que as empresas enfrentam em sua guerra em curso contra ameaças cibernéticas. As empresas que são violadas continuam lutando com impactos imediatos e óbvios: tempo de inatividade, perda de dados, perda de receita, acertos em suas reputações e multas regulatórias. Mas agora as apostas estão aumentando. Mais incidentes cibernéticos acionam regularmente ações coletivas de consumidores, investidores e outras partes impactadas argumentando que as empresas – e os próprios conselhos – deveriam ter agido de forma mais diligente para proteger informações confidenciais.
É claro que praticamente todas as empresas tomaram algumas medidas para melhorar as práticas de segurança cibernética nos últimos anos. Violações de alto perfil na Target, Equifax, Marriott e outras empresas conhecidas aumentaram a conscientização e forçaram os tomadores de decisão de TI a reforçar as redes corporativas e reforçar as políticas.
Mas as brechas continuam chegando – e os processos também. O problema é que muitas empresas ainda não elevaram a segurança cibernética a uma verdadeira prioridade em toda a organização. Embora isso se aplique mais às SMBs, ainda é um problema para algumas empresas maiores também. A maioria ainda depende de gerentes de TI nos bastidores para definir e executar estratégias de segurança. Muitos não envolveram líderes empresariais o suficiente na estratégia de segurança cibernética ou fizeram das ameaças cibernéticas um item permanente na agenda do conselho.
É hora de o fazerem. Aqui estão quatro passos básicos que as empresas podem tomar para priorizar a segurança cibernética no nível de liderança.
1. Fortalecer as habilidades cibernéticas do conselho
O conselho deve assumir um papel ativo na preparação da segurança cibernética. Mas os primeiros diretores devem garantir que eles estão à espera da tarefa.
Isso vai além de os membros realizarem discussões corretivas com líderes de TI e de negócios na equipe. Os membros do conselho precisam se educar para enfrentar o desafio de cibersegurança em curso.
Os conselhos podem começar avaliando os níveis de habilidade cibernética de seus membros e contratar um ou mais membros com experiência em assuntos cibernéticos. Esses especialistas cibernéticos podem liderar subcomitês e se envolver mais diretamente com líderes de negócios e TI em estratégias cibernéticas.
Além disso, todo o conselho deve receber treinamento anual ou semestral para entender o cenário de cibersegurança em constante evolução. Um conselho bem versado em questões cibernéticas pode abordar melhor os riscos, passivos e questões técnicas que informarão as decisões estratégicas que terão que tomar.
2. Crie uma troca de informações de fluxo livre
Uma vez que o conselho esteja atualizado, cabe à gestão desenvolver um mecanismo que promova uma comunicação consistente sobre riscos e estratégias cibernéticas. Os gestores devem reservar tempo para uma interação intensa sobre planos, procedimentos e questões em andamento relacionadas aos riscos de segurança cibernética.
É importante que o mecanismo inclua partes interessadas de uma ampla variedade de departamentos – desde negócios até TI até a equipe jurídica até RH e marketing. Enquanto as tecnologias de cibersegurança ainda serão controladas por TI, a estratégia e a implementação cortam todos os departamentos – e se estende até o conselho.
As interações devem se tornar uma parte contínua das responsabilidades contínuas do conselho, e os gestores devem servir ao papel de educadores e facilitadores.
3. Designar um patrocinador executivo
Embora o envolvimento em segurança cibernética se estenda entre departamentos, é importante colocar a criação de um plano de resposta nas mãos de um indivíduo. Esse indivíduo não precisa desenvolver todo o plano, mas a pessoa no comando deve ser um líder que tem autoridade para promover mudanças e obter alinhamento em toda a organização. Em teoria, o CIO, CISO ou CSO devem estar bem posicionados para esta tarefa.
Faz mais sentido uma organização instalar um líder de negócios nessa função – alguém cujo trabalho esteja conectado a atividades ou operações geradoras de receita, em vez de tecnologia. A pessoa deve se envolver com líderes de tecnologia, mas abordar a tarefa com foco na estratégia de negócios. A tecnologia é crítica, mas os melhores planos de resposta são enquadrados em torno de como as operações podem ser melhor preparadas para uma violação e sustentadas no caso de ocorrer uma.
4. Atribuir funções em toda a organização
Enquanto o CSO e o CISO continuarão a definir as agendas de segurança das corporações, outros líderes precisam assumir papéis ativos. Os CFOs devem garantir que um nível de segurança esteja sendo incorporado em todos os processos financeiros da empresa. Os diretores de RH precisam vetar novas contratações com mais diligência e servir de conduítes para o conforto dos funcionários com práticas de segurança. Os líderes de vendas precisam promover a higiene da segurança, especialmente com agentes de viagens cujo acesso virtual os torna principais vetores para hackers.
Conclusão
Dada a sociedade litigiosa de hoje, as empresas não podem esperar acabar com processos cibernéticos. Mas eles podem assumir um papel ativo em defendê-los. Tornar a segurança cibernética uma questão de liderança – estendendo-a por toda a organização, até o conselho – é um passo na direção certa.
FONTE: HELPNET SECURITY