Não é raro ouvir relatos de CSOs que estão preocupados com a conscientização da alta administração a respeito da segurança da informação, principalmente em relação às ameaças. Nos últimos anos, cresceu a frequência de ataques e se elevou tanto seu aprimoramento quanto a sofisticação das técnicas.
Segurança da informação
Em princípio, a tecnologia e a segurança da informação deixaram de ser assuntos unicamente técnicos, exclusivos à área de TI. Começando a englobar diversas áreas, operações, negociações e colaboradores, direta ou indiretamente.
Contudo, ao tornar a segurança da informação uma medida estratégica de negócio, executivos têm condições de universalizar e integrar os esforços, ao passo que mantêm frequente o monitoramento de processos e controles.
Assim sendo, havendo incidentes ou ataques, a alta gestão já tem a qualificação e a preparação para solicitar relatórios sobre a gravidade dos cenários. Além do mais, isso pode auxiliar na tomada de decisões mais adequadas.
No entanto, como promover a conscientização em segurança da informação de forma a fomentar a relevância do tema? Como tornar esse assunto, pauta na agenda dos conselhos de administração?
Selecionamos alguns pontos que podem ajudar:
1. Falando sobre os riscos
Executivos lidam com a análise de riscos na maior parte do tempo, fazendo parte de suas atribuições. Sendo assim, trazendo ao seu entendimento a ameaça cibernética, deve-se traduzir os riscos e seus possíveis prejuízos financeiros e à reputação da organização.
O assunto da desmoralização, desconfiança, perda de valor de mercado e impactos a curto, médio e longo prazo, poderão reverberar mais forte no universo executivo, estabelecendo dessa forma, um canal de comunicação com a alta gestão, além de fazer a cibersegurança estar presente em toda a cadeia de processos e decisões.
2. Razões para investir
A adoção de práticas de governança para a segurança da informação pode elevar a imagem da organização e trazer credibilidade e reputação perante investidores, sócios e mercado em geral. Além da chance de valorização do seu papel na bolsa.
O relatório Cybersecurity Ratings and Stock Performance divulgado em 2020 pelo Journal of Cyber Policy, mostra a existência de uma conexão entre a postura de segurança cibernética de uma empresa e o desempenho de suas ações.
À medida que as ameaças cibernéticas se transformam e aumentam, o impacto de ataques cibernéticos e violações de dados evidencia à equipe executiva, a necessidade de haver maior equilíbrio entre os investimentos em segurança cibernética e os investimentos já direcionados às outras áreas do negócio.
3. Redução nos custos
O mapeamento de dados, a análise de riscos e a adequação jurídica necessária, tal qual definido pela legislação como a LGPD, pelos órgãos reguladores e auditorias, quando devidamente integrados aos procedimentos organizacionais, têm o potencial de reduzir a ocorrência de multas. Assegurando assim, a integridade da propriedade intelectual e diminuindo o valor de contratação de seguros.
Sabendo que ameaças, ataques e o impacto que representaria às organizações, às pessoas e até mesmo aos países, a implementação de medidas estratégicas que diminuam a probabilidade de sucesso são inevitáveis. É necessário parar de considerar apenas como um custo e passar a enxergar como investimento.
4. Posição privilegiada
Conhecer mais a fundo áreas e atividades sensíveis, compartilhar informações tanto interna como externamente, inclusive de forma estratégica com outras organizações. O que proporciona ao alto comando uma posição privilegiada.
Para isso, é necessário aos executivos contato multidisciplinar e constante, por meio da colaboração e monitoramento. Além disso, é importante envolver todas as áreas e gestões detentoras de informações altamente valiosas.
Não é sobre a alta gestão tornar-se especialista em segurança da informação, mas, usar sua posição para agir de forma responsiva e coordenada. Porém, sempre assegurando o alinhamento da organização e seus colaboradores.
5. Segurança e responsabilidade dos executivos
Uma pesquisa da Bitdefender "Hacked Off!" de 2019 envolvendo mais de 6.000 profissionais de segurança da informação em todo o mundo, trouxe um dado alarmante: 57% dos entrevistados disseram que os principais executivos possuem menor probabilidade de cumprir políticas de segurança da informação.
O efeito desses golpes sobre cargos executivos têm potencial destrutivo, seja para sua carreira ou para o destino da organização. Aliás, por possuir tantos interesses e responsabilidades em jogo, e ser decisivo agir ativamente, é crucial à alta gestão, estar capacitada a seguir medidas preventivas.
Além de estar inteirada sobre ameaças e seus métodos, sobre processos e seus riscos.
6. Tenha posicionamento de líder e não de técnico
Quando o assunto é a abordagem técnica, o setor de TI é o principal responsável. Aos gerentes cabe a “tradução” do que representa à organização investir no aprimoramento da segurança da informação e na conscientização do quadro executivo.
Combinando conhecimentos sobre tipos de ataques, as áreas e informações mais sensíveis, medidas e procedimentos a serem seguidos e reforçados, os gerentes devem ser capazes de explicar claramente questões complexas aos executivos.
Assim mostrando, que perdas financeiras são apenas um dos prejuízos possíveis.
7. Adote programas de conscientização periódicos
O desenvolvimento, manutenção e constante atualização de uma cultura de boas práticas de segurança facilita a adesão dos colaboradores e lhes permite saber sobre práticas de segurança.
Além disso, é interessante contratar um guia procedimental para que ele veicule no dia a dia, executando a conscientização e promovendo a educação sobre os riscos associados à segurança da informação. Dessa forma, o tema sempre permanece na pauta.
Além disso, o engajamento de executivos e colaboradores sobre cibersegurança faz com que organizações apresentem menor ocorrência de incidentes. Por outro lado, as que não fazem o devido investimento, sofrem prejuízos incalculáveis.
Enfim, nem sempre é a mais fácil das tarefas, levar ao conhecimento e apreço dos executivos esse tipo de assunto.
Trata-se de um esforço paciente que, envolvendo trabalhos de médio e longo prazo, exige o envolvimento dos setores executivos para a eficiência da gestão dos incidentes de violação na segurança.
Não se trata de tornar a alta gestão um perito no assunto, mas, hábil o suficiente para saber lidar de forma proativa, global e colaborativa, tanto na prevenção contra ameaças, como na ação rápida quando um incidente ocorrer.
Por fim, a relação entre a alta gestão e a segurança da informação não é apenas decisiva para o sucesso, mas fundamental às organizações que desejam, tanto adquirir maturidade perante os desafios atuais quanto corresponder às demandas de uma realidade cada vez mais interconectada.
Obrigada pela leitura!
