Motivos pelos quais o diretor financeiro deve promover a administração da segurança

0

Quando ocorre um desastre natural, a população é geralmente surpreendida e deve correr para agir. Se tivesse planejado antes, a resposta ao desastre poderia ser mais rápida. O mesmo desafio se aplica a uma organização que sofreu um ciberataque. Os diretores financeiros (CFOs) e membros do conselho estão sempre de olho nos custos e pensando no cumprimento das metas de receitas. Porém, quando ocorre um ciberataque, os controles com gastos são esquecidos para eliminar o ataque, colocar os sistemas em operação novamente e melhorar as proteções da rede. Infelizmente a realidade é que, ao lidar com um evento de segurança, a maioria das organizações continua trabalhando no modo reativo.

Em média, as organizações gastam somente de 1% a 5% de sua receita com segurança de TI; isso parece pouco quando comparado ao risco da perda de vendas e da queda da produtividade, sem contar os danos à marca associados ao ataque. Houve muitos ataques em 2016 às redes de organizações médicas, globais, governamentais e mesmo aquelas de menor porte. Em cada um desses ataques, informações valiosas são perdidas e/ou negócios são interrompidos e, muitas vezes, executivos perdem seus empregos ou passam por uma fase difícil no trabalho.

Outra grande preocupação é a atual falta de profissionais de segurança especializados. Dois dos maiores ataques sofisticados que ocorreram no ano passado foram devido à falta de pessoal especializado e não por falta de investimentos em segurança. Além disso, novos regulamentos de segurança estão sendo implementados e as empresas serão responsabilizadas se não atenderem aos novos requisitos. A rápida evolução dos ataques em sua complexidade exige profissionais ainda melhor preparados.

Pode-se dizer que o papel dos executivos, principalmente do diretor financeiro, mudou por causa desta tendência. O diretor financeiro poderia se chamar agora "Diretor de Proteção" (CPO – Chief Protection Officer). A cibersegurança coloca as finanças de uma empresa em risco, desafia as estratégias corporativas e aumenta a necessidade de políticas e práticas amadurecidas que protegem os dados e o negócio. Um diretor financeiro, como executivo estratégico de gestão de riscos e negócios, deve manter supervisão e orientação significativas nessas áreas. Essas não são mais considerações "somente do departamento de TI".

Responsabilidade e administração

Já se tornou uma prática comum ter o diretor financeiro e o Conselho à frente das abordagens proativas de segurança em organizações modernas. Mesmo tendo formas de mitigar os danos causados por ataques frequentes e sofisticados, o pessoal de segurança não controla o orçamento.

Alguns pessimistas alegam que o custo da segurança adequada é maior que o custo da recuperação de um ataque. Contudo, esta não é uma abordagem sustentável ou responsável. As evidências indicam que os ataques se tornarão mais frequentes, persistentes e sofisticados; portanto, os custos das ações corretivas continuarão aumentando. Marcas, empregos e preços de ações, todos correm risco.

Segurança e administração andam juntas

A administração vai além de fazer dinheiro ou garantir o sucesso financeiro da organização. Isso significa cuidar e proteger os interesses de longo prazo da empresa e pensar de forma holística nos diversos atores envolvidos. Porém, em termos de segurança, a administração tradicional da organização nem sempre está equipada com as perspectivas, as habilidades ou os conhecimentos necessários. Consequentemente, a segurança muitas vezes ainda acaba sendo vista como um custo, e não como um elemento essencial da gestão de riscos.

Mas, se a administração realmente se refere à proteção e supervisão dos ativos tangíveis e intangíveis de uma empresa, então os ativos mais críticos são dados, IP, reputação, confiança e lealdade do cliente. Desta forma, a segurança precisa ser um pilar fortalecido e central dessa administração. Porque temos visto com frequência, a segurança deficiente pode enfraquecer ou destruir todos esses ativos, e gerar uma perda de valor por meio de volatilidade desnecessária.

E o mais importante, como administradores de suas respectivas organizações, os conselhos e os executivos têm a responsabilidade de garantir a segurança e proteção dos dados e sistemas de clientes, propriedade intelectual e acionistas.

Nunca conseguiremos eliminar os riscos

É impossível eliminar os riscos por completo. Os riscos estão em tudo que fazemos. Considerando que os cibercriminosos gastam pouco para gerar uma violação de dados, a dificuldade para localizá-los e processá-los e o lucro de um ataque realizado com sucesso, é certo afirmar que sempre existirão ataques para roubos de dados e bloqueio de operações empresariais.

Porém, não é porque não conseguimos eliminar os riscos que não podemos gerenciá-los. Essa sempre foi uma função principal do Conselho – avaliar os riscos e fazer adequações apara gerenciá-los, além de considerar o impacto em toda a organização. Não é diferente com a segurança. Os departamentos de TI devem considerar quais inovações devem ser aplicadas para proteger a empresa. Enquanto isso, o Conselho deve priorizar quais ativos devem estar acessíveis e quem deve acessá-los, para então liderar as ações do departamento de TI.

Com o CISO (diretor de segurança da informação) e os outros executivos, o Conselho deve considerar e gerenciar a segurança de maneira proativa em relação a vários outros fatores, incluindo custo, desempenho, agilidade, alocação de recursos (incluindo talentos), autonomia e capacitação, iniciativas estratégias, projetos e planejamento, e colocação no mercado.

Menos TI e RH e mais na sala do conselho

As políticas e a governança de informações são áreas em que o conselho e os executivos podem de fato fazer uma contribuição significativa para a segurança de uma organização. Departamentos de TI bem equipados e com profissionais capacitados podem cuidar dos detalhes técnicos, o departamento de RH (e outras equipes de negócios) podem tratar das políticas e procedimentos, deixando as decisões de alto nível sobre abordagens das políticas e segurança da informação para os executivos e diretores.

Com a corrida armamentista se aquecendo entre os cibercriminosos, os estados-nação, as organizações e a comunidade de segurança, essa mudança fundamental na abordagem de cibersegurança não só colocará os bons profissionais um passo à frente, como também garantirá a resposta rápida e apropriada das organizações quando ocorrer um ataque. E os últimos fatos nos ensinaram que esta não é uma questão de se, mas de quando.

Leonardo Bon, gerente regional de vendas da Fortinet para as regiões Sâo Paulo e Sul do Brasil.

DEIXE UMA RESPOSTA

Por favor digite seu comentário!
Por favor, digite seu nome aqui

This site is protected by reCAPTCHA and the Google Privacy Policy and Terms of Service apply.