Como falar ao Conselho sobre Cibersegurança
As discussões sobre segurança da informação com o Conselho de Administração devem destacar os riscos cibernéticos mais graves enfrentados pelo negócio e os métodos utilizados para gerenciá-los
Paulo Pagliusi, Ph.D. in Information Security
A perpetuidade do negócio deve ser o grande objetivo de seus administradores, e a Segurança da Informação (SI) tornou-se tema crucial para a sobrevivência das instituições. Hoje é bastante evidente que toda empresa fica vulnerável ao lidar com dados digitais, pois há sempre alguém querendo entrar em seus sistemas. É inegável também que Cibersegurança – a preservação da SI no ciberespaço[1] – não abrange apenas tecnologia nem vale somente dinheiro; também custa às corporações tempo, conveniência, capacitação, liberdades, e assim por diante.
Assim sendo, este tema não deve mais ser conduzido apenas no âmbito da Tecnologia da Informação, mas por meio de uma governança corporativa consciente e responsável. Tal consciência deve começar de cima, e o Conselho de Administração – como representante dos acionistas – deve fazer com que a empresa assuma papel efetivo no combate a ataques cibernéticos, violações e vazamentos de dados. Ela deve aproveitar oportunidades de melhoria na defesa e cumprir com suas obrigações perante seus representados, clientes, fornecedores, colaboradores e comunidades.
A ameaça cibernética é uma realidade no mercado e coloca em risco o que as instituições têm de mais valioso: a informação. A conhecida onda de violações de dados e ataques cibernéticos ao longo dos últimos anos levou muitos Conselhos a começar a fazer perguntas incisivas sobre as práticas de segurança da informação em suas empresas. Eles desejam conhecer as chances da empresa experimentar uma danosa violação na sua segurança, e o que está sendo feito para impedir isso.
A fim de que o Conselho possa enfrentar de modo eficiente e eficaz tais riscos cibernéticos, não basta simplesmente seguir o que dizem os legisladores ou os códigos de melhores práticas de governança corporativa. Diante de um mundo cibernético cada vez mais volátil, incerto, complexo e ambíguo[2], é preciso ir além. Se o ciberespaço externo mudou, ao invés de apenas confrontar esta realidade, os tomadores de decisão nas empresas precisam aproveitar o momento para realizar internamente as reformas que irão contribuir para um posicionamento mais sustentável no longo prazo. Isto envolve transformar a cultura e a forma com que a gestão do risco cibernético é feita nas corporações, adaptando-as aos novos tempos.
Diante deste cenário, os CIOs e CISOs são cada vez mais chamados a responder a perguntas nas reuniões do Conselho. A clareza de suas respostas pode alavancar ou invalidar as agendas de segurança da informação. Para que o Conselho se sensibilize quanto a seu papel fundamental neste combate e possa vir a confiar cada vez mais no CIO e CISO da sua empresa, é vital que tais executivos saibam se comunicar com clareza, foco e discernimento quando chamados a falar, incentivando deste modo a necessária inclusão das questões de Cibersegurança no topo da agenda corporativa.
Por exemplo, quando se discute com o Conselho incidentes cibernéticos ou temores de potenciais incidentes, é preciso separar bem o conceito de vulnerabilidade da ideia de ameaça. Uma porta destravada constitui uma vulnerabilidade, mas não uma ameaça se ninguém quiser entrar. Por outro lado, uma vulnerabilidade pode levar a muitas ameaças: aquela porta destravada pode levar a terroristas esgueirando-se para instalar uma bomba, concorrentes levando embora segredos comerciais, ladrões furtando bens valiosos, vândalos locais depredando a propriedade, ou até mesmo gatos perambulando e distraindo a atenção da equipe ao brincar com os teclados. Os dois aspectos que melhor definem as ciberameaças são o ator e a consequência.
O reconhecimento da existência de um ator obriga o Conselho a pensar estrategicamente sobre ciberameaças. Pois o ciberatacante sempre pode escolher que vulnerabilidade explorar para atingir determinado objetivo. Isto implica que, em relação a uma determinada ameaça cibernética, a empresa deverá não apenas resolver uma série de vulnerabilidades, mas também compreender que esta ameaça poderá evoluir dinamicamente, em resposta a cada uma de suas ações defensivas.
Como há vários tipos de atores maliciosos, é fácil o Conselho se confundir ao ouvir do CIO ou CISO alguns clichês da mídia, como o termo “hackers”. O objetivo de cada ator é uma boa forma de se começar a separá-los adequadamente, para que o Conselho possa entender melhor as ameaças que cada um representa e potenciais consequências de seus ataques. Às vezes, o objetivo final do ator é realizar uma fraude financeira, outras vezes o ciberatacante deseja espionar a empresa em busca de segredos-chave do negócio, realizar ativismo hacker (hacktivismo) ou até mesmo interromper processos de controle industrial, sabotando as instalações corporativas.
Fornecer respostas claras, que reflitam as ameaças mais iminentes à segurança e privacidade da organização, as principais tendências do mercado, que falem também das estratégias de mitigação de risco – atuais e previstas – pode contribuir para ganhar a confiança dos membros do Conselho e aprimorar a agenda de segurança. Por outro lado, respostas excessivamente detalhadas, que mergulhem em operações de segurança do dia-a-dia, podem sobrecarregar ou até frustrar o Conselho. Não é incomum a CIOs e CISOs, que antes nunca puderam levar ao Conselho questões de segurança da informação, cometer o erro de fornecer muita informação.
Um CIO ou CISO não habituado a se dirigir a Conselhos tende a querer demonstrar conhecimento e profundidade na sua abordagem, exibindo dezenas de métricas que mostram diferentes dimensões do risco cibernético. Mas isto só distrai os membros com relação aos poucos indicadores de risco crítico mais importantes ao negócio. Há três mensagens essenciais que os CIOs e CISOs precisam transmitir ao Conselho:
- Criar uma lista sucinta dos quatro a seis principais riscos cibernéticos que a empresa enfrenta, com indicadores de risco sinalizando o nível de exposição a eles. Os riscos de segurança da informação a que uma empresa está sujeita podem incluir furto de propriedade intelectual, violação de dados que comprometa informações sigilosas de clientes, ou fraude financeira de terceiros. Os indicadores que os CIOs e CISOs elegem para ajudar a avaliar a exposição ao risco de suas empresas podem incluir, por exemplo, o número de tentativas mensais de acesso à rede corporativa a partir de países conhecidos como patrocinadores de espionagem cibernética e furto de propriedade intelectual; ou perdas de receitas trimestrais associadas a incidentes de vazamento de dados de clientes. É importante que tais indicadores dos principais riscos cibernéticos sejam notificados ao Conselho, pois eles ajudam a ilustrar os pontos fortes e fracos da postura geral de cibersegurança de uma empresa.
- Identificar se principais indicadores de risco estão tendendo para cima, para baixo ou permanecendo estáveis trimestre a trimestre. Se os indicadores de risco estão se movendo, deve-se explicar ao Conselho o que pode estar causando tais mudanças. Por exemplo, se forem notados picos de ataques cibernéticos durante as semanas ou meses que antecederam lançamentos de produtos, tais correlações devem ser levadas ao Conselho. O Conselho deve ficar sempre atento às tendências de ameaças cibernéticas relacionadas à performance dos negócios e à natureza cíclica do risco de segurança da informação.
- Explicar como a empresa está gerindo riscos de segurança e mantendo-os dentro de limites aceitáveis. Por exemplo, se a distribuição não autorizada de informações corporativas sigilosas representa elevado risco à empresa, pode ser preciso explicar ao Conselho, em alto nível, as tecnologias e processos que se dispõe para monitorar informações enviadas dentro e fora da instituição, detectar comunicações suspeitas, e restringir sua transmissão até que a legitimidade possa ser verificada. Caso o acesso não autorizado de terceiros a informações sensíveis represente uma ameaça, pode-se descrever os rigorosos processos de avaliação de segurança da empresa ao lidar com fornecedores terceirizados.
Falar ao Conselho sobre Cibersegurança torna-se complicado pelo fato de que, em uma típica reunião de dois dias dos membros, costuma-se dedicar apenas 15 minutos a este tópico. Por isto, é essencial aos CIOs e CISOs apresentar os poucos indicadores de risco mais importantes para os Conselheiros assimilarem, e dar-lhes tempo para suas perguntas. Outra prática recomendada é fornecer resumos concisos ao Conselho antes das reuniões, que servem para focar sua atenção em preocupações críticas de segurança da informação, bem como planos para potencial mitigação.
Finalmente, recomenda-se aos CIOs e CISOs apresentar uma visão objetiva do que a empresa está fazendo bem, além das suas vulnerabilidades críticas. As reuniões do Conselho são um momento oportuno para o CIO e o CISO ser sincero sobre as implicações de segurança de várias decisões envolvendo pessoal, orçamento e priorização de iniciativas e interesses de TI, sejam planejados ou em andamento.
Por derradeiro, convém lembrar que ninguém se beneficia por apresentar uma mensagem tendenciosa ao Conselho, pendendo positiva ou negativamente. É importante ao Conselho obter uma visão equilibrada da segurança e postura de risco da empresa. Seus membros precisam entender, de modo tão transparente quanto possível, quais os principais riscos cibernéticos e o que a empresa está fazendo a respeito deles, para que possam fazer as perguntas certas para conduzir o processo.
Matéria veiculada no Jornal Estadão em 31/05/2016
Referências: - Singer, P.W. and Friedman, A. Cybersecurity and Cyberwar – What Everyone Needs To Know. Oxford University Press, 2014.http://www.cybersecuritybook.com/
- Deloitte Insights. “How To Talk To The Board About Security”. The Wall Street Journal, CIO Journal, 20 de novembro de 2012.http://deloitte.wsj.com/cio/2012/11/20/how-to-talk-to-the-board-about-security/
- Azeredo, M. “Risco Cibernético Em Alerta Máximo”, Revista Relações com Investidores nº 194, seção: Gestão de Risco, junho de 2015.http://www.revistari.com.br/194/985
- Vasconcellos, P. C. “O conselho de administração ideal de uma empresa”. Portal BM&FBOVESPA, artigo acessado em 30 de dezembro de 2015.http://www.bmfbovespa.com.br/pdf/CiasListadasArtigo3.pdf
- Araújo, J. L. “A chance de transformar a própria casa”, Revista Mundo Corporativo nº 50, seção: Mensagem ao mundo corporativo, outubro – dezembro de 2015.http://www2.deloitte.com/br/pt/pages/about-deloitte/articles/mundocorporativo50.html
- Rai, S. Cybersecurity – What The Board Of Directors Needs To Ask. ISACA & The Institute of Internal Auditors Research Foundation (IIARF), 2014.http://www.isaca.org/Knowledge-Center/Research/Documents/Cybersecurity-What-the-Board-of-Directors-Needs-to-Ask_res_Eng_0814.pdf
- Pundmann, S., Juergens, M. Cybersecurity and the role of internal audit: An urgent call to action. Deloitte Perspectives, EUA, 2015.http://www2.deloitte.com/us/en/pages/risk/articles/cybersecurity-internal-audit-role.html
[1] Ciberespaço: Ambiente complexo, resultante da interação de pessoas, software e serviços na Internet, por dispositivos de tecnologia e redes conectadas.
[2] Estes quatro termos – em inglês: Volatile, Uncertain, Complex e Ambiguous – geram uma expressão bastante utilizada em estudos da Deloitte: “VUCA World”, originalmente cunhada pelo exército norte-americano na década de 1990, quando idealizava o mais desafiador dos potenciais cenários de combate.