Nós x Eles: a visão de TI e da Alta Gestão sobre os riscos cibernéticos
Todas as empresas, independentemente do ramo que atuam, possuem a dependência de algum tipo tecnologia. No entanto, os investimentos voltados ao gerenciamento deste crescente risco ainda são vistos como um custo.
Marta Helena Schuh, Diretora de Cyber Insurance na Howden Brasil, bacharel em Business pela University of Arts London e especialista em Cyber Security. (Foto: Divulgação)
Na última semana estive no evento Tenchi Day 2023, que reuniu membros de conselhos, líderes de negócios e profissionais responsáveis por cyber segurança de diversas organizações. O debate entre os distintos grupos foi muito interessante, embora o assunto em comum fosse cyber segurança e seus impactos em diferentes áreas das empresas. O que vi é que o entendimento entre as áreas técnica e financeira/negócio é completamente distinto, o que é extremamente preocupante.
Apesar do tema ter ganhado mais atenção da alta gestão diante dos incidentes que têm ocorrido com diversas empresas brasileiras, pelo aumento do escrutínio regulatório com o surgimento de leis e regulações, como a LGPD, ANEEL, GDPR e, mais recentemente, de empresas com exposição ao mercado de capitais americano, o assunto traz responsabilidade ao conselho na supervisão do risco cibernético, incluindo a materialidade de suas perdas.
Hoje, todas as empresas, independentemente do ramo que atuam, possuem a dependência de algum tipo tecnologia. No entanto, os investimentos voltados ao gerenciamento deste crescente risco ainda são vistos como um custo e não como necessidade e até mesmo investimento. Quando o incidente ocorre, a responsabilidade fica associada ao profissional de TI.
Um dos painelistas citou que, em uma determinada empresa em que atuou como conselheiro, comentou que certa vez havia conversado com o CISO a respeito da segurança da empresa, e se esse poderia garantir que a empresa não seria atacada, já que havia alocado recursos e feito testes de tentativa de invasão - conhecidos como Pentest no mundo de tecnologia – o que prontamente ele afirmou que sim.
Dias depois, a empresa foi vítima de um incidente, com paralização de atividades e consequências severas ao negócio. O membro do conselho disse, então, ter se sentindo traído pelo CISO e que não entendia como isso poderia ter acontecido. A verdade é que profissionais não técnicos em TI ainda têm dificuldade de entender que não existe bala de prata em cyber segurança – o cenário cibernético está em constante mudança e, por mais que uma empresa invista em segurança de TI, ela nunca estará 100% segura. Como se trata de um risco de natureza evolutiva e permanente, este precisa ser tratado e monitorado, já que novas vulnerabilidades, conhecidas como Zero Day, surgem todos os dias; aliás, estima-se que mais de 1.500 delas são lançadas a cada mês!
Apesar de vítima, errou também o CISO, talvez por receio de que o conselheiro não visse valor nos investimentos feitos na área – a alta gestão está sempre preocupada com o retorno de investimento – então, como justificar algo que não pode ser visto e, muitas vezes, até mensurado, como é o caso de cyber segurança? Eu acredito que essa seja a realidade de diversos profissionais da área, que têm receio em dar voz sobre qual é o status atual de maturidade de sua organização. Muitas vezes, isso se dá por não saberem traduzir em linguagem simples e objetiva o que precisam; outros até sabem e têm ótimas intenções e preocupações, mas por restrição orçamentária ou até mesmo de apoio na adoção de melhores práticas, acabam não conseguindo fazer o que é necessário para compor um nível de maturidade mínima, nos padrões de governança reconhecidos.
Vejo em minhas tratativas diárias o quanto empresas, mesmo de grande atuação, carecem de maturidade diante dos padrões requeridos e buscam o Seguro como uma tentativa de transferir essa responsabilidade - o que, de fato, nenhum segurador irá assumir sem que certos critérios sejam implementados.
Se faz muito necessário que o risco de cyber seja visto como algo da responsabilidade de todos, já que a frequência de perda é muito maior para um evento cibernético do que para os perigos tradicionais, como um incêndio, quebra de máquinas e outros riscos em que são feitos investimentos e até mesmo seguro.
Em cyber não deve ser diferente, precisamos nos aproximar com um mesmo objetivo coletivo para a organização, que é proteger os ativos, sejam eles físicos ou digitais, falar uma linguagem comum para promover o entendimento entre ambas as partes e, como disse um dos panelistas do lado dos CISO´s – não é sobre nós ou eles, é sobre algo que vai afetar a todos, inclusive o ganho financeiro, a reputação e, possivelmente, até mesmo a competividade. E é aqui que a sua empresa precisa ver os custos de segurança cibernética como um investimento e não um gasto.