A segurança cibernética e seu papel central na tomada de decisões junto ao C-level

A segurança cibernética ainda é uma questão negligenciada por boa parte do mercado. Muitas organizações, por não compreenderem os reais riscos ao negócio, não enxergam a importância e necessidade da área — ao menos até o momento em que são surpreendidas por um ataque virtual ou outro tipo de incidente cibernético.

O que se vê com frequência, inclusive em reuniões de conselho, é um olhar equivocado, até mesmo do próprio C-level, sobre os ataques e suas consequências. Geralmente questionam “Quantas vezes essa ameaça se materializa?”, quando deveriam perguntar: “Se a ameaça se concretizar, qual o impacto teremos e quais são as perdas que vamos enfrentar?”

Para reverter esse cenário, é fundamental que tomadores de decisão das organizações estejam cada vez mais atentos e cientes dos riscos e passem a lidar com seriedade em relação à segurança digital, mobilizando mais conscientização, esforços e recursos para a área, além de empoderar a liderança executiva de cyber.

Ataques de hackers ou falhas de segurança cibernética podem ter impactos devastadores na organização, indo muito além de prejuízos financeiros imediatos para afetar aspectos da governança, da relação com consumidores e fornecedores, além da imagem da organização. Com as ameaças digitais cada vez mais elaboradas, vale ter em mente não apenas os impactos de curto prazo, mas também os de longo prazo que podem ser ainda mais significativos, como perda de vantagem competitiva, redução na classificação de crédito e aumento nas taxas de seguro cibernético.

O caminho para combater a negligência com a segurança digital começa por fortalecer a liderança de cyber, já que no Brasil há poucas organizações com líderes de áreas de segurança como parte da alta administração, o chamado C-level. Apesar de terem “C” no nome, CISOs (Chiefs Information Security Officers) e CIOs (Chiefs Information Officers) são cargos que não costumam integrar o conselho de administração das empresas. Além de seguir a tendência mundial, imposta pela Security Exchange Commision (SEC), que deverá ser materializada como regulação em território nacional também.

A proeminência da liderança executiva de cyber

Para que as organizações consigam avançar no que diz respeito à segurança cibernética, é fundamental que executivos e executivas de cyber exerçam um papel que vá além da gestão de recursos. É preciso que eles participem ativamente das tomadas de decisões da empresa. A presença de um profissional especializado no conselho, que olhe para a cibersegurança, é crucial para ajudar a estabelecer o tom dessa área na organização e para desenvolver uma estratégia de cibersegurança de longo prazo.

Colocar esse profissional em uma posição de relevância no conselho é, na realidade, uma forte tendência para os próximos anos, segundo a pesquisa da Gartner Top Security and Risk Management Trends 2021 com as 500 empresas da Fortune Global. Segundo o estudo, até 2025, 40% dos conselhos terão um comitê de cibersegurança supervisionado por um membro qualificado do board — um aumento em relação aos atuais menos de 10%.

No entanto, para que isso se torne realidade dentro das organizações, é preciso uma mobilização adequada de recursos para cyber, incluindo perspectivas de provisão de caixa, seguro cibernético e monetização cibernética atrelada à elevação de maturidade.

Quantificar financeiramente os riscos cibernéticos também é um ponto importante, já que a tomada de decisões de risco deve ser tão confiável quanto às demonstrações financeiras habituais. As metodologias para se realizar essa valoração ainda estão sendo desenvolvidas, mas a Deloitte já participa de projetos que trabalham com indicadores para se fazer uma equivalência entre os riscos e uma demonstração financeira.

Essa quantificação das ameaças fornece uma visão ampla dos riscos cibernéticos, por exemplo, pelo recorte geográfico ou pelo departamento, mapeando as estruturas da organização cibernética da empresa. Além disso, consolida dados em ambientes locais e na nuvem, calculando as pontuações de risco cibernético quase em tempo real.

O resultado dessa identificação em valor, ainda que parcial, ajuda a mudar o mindset da liderança. Os relatórios de riscos, que podem ser feitos de maneira independente, trazem pontos cruciais como as maiores ameaças (por exemplo, o ransomware) e seus potenciais prejuízos, o tipo de perda mais provável, como vantagem competitiva, e até controles a serem implementados com a relação custo x benefício.

Todas essas iniciativas de sensibilização para riscos cibernéticos, fortalecimento da liderança de cibersegurança e alocação estratégica de recursos nessa esfera trazem uma série de benefícios e contribuem para que o tomador de decisões tenha maior entendimento sobre desafios, para que assim, ele esteja mais equipado para aprimorar a governança e fazer o negócio crescer com segurança.