Quando ocorre um desastre natural, a população é geralmente surpreendida e deve correr para agir. Se tivesse planejado antes, a resposta ao desastre poderia ser mais rápida. O mesmo desafio se aplica a uma organização que sofreu um ciberataque. Os diretores financeiros (CFOs) e membros do conselho estão sempre de olho nos custos e pensando no cumprimento das metas de receitas. Porém, quando ocorre um ciberataque, os controles com gastos são esquecidos para eliminar o ataque, colocar os sistemas em operação novamente e melhorar as proteções da rede. Infelizmente a realidade é que, ao lidar com um evento de segurança, a maioria das organizações continua trabalhando no modo reativo.
Em média, as organizações gastam somente de 1% a 5% de sua receita com segurança de TI; isso parece pouco quando comparado ao risco da perda de vendas e da queda da produtividade, sem contar os danos à marca associados ao ataque. Houve muitos ataques em 2016 às redes de organizações médicas, globais, governamentais e mesmo aquelas de menor porte. Em cada um desses ataques, informações valiosas são perdidas e/ou negócios são interrompidos e, muitas vezes, executivos perdem seus empregos ou passam por uma fase difícil no trabalho.
Outra grande preocupação é a atual falta de profissionais de segurança especializados. Dois dos maiores ataques sofisticados que ocorreram no ano passado foram devido à falta de pessoal especializado e não por falta de investimentos em segurança. Além disso, novos regulamentos de segurança estão sendo implementados e as empresas serão responsabilizadas se não atenderem aos novos requisitos. A rápida evolução dos ataques em sua complexidade exige profissionais ainda melhor preparados.
Pode-se dizer que o papel dos executivos, principalmente do diretor financeiro, mudou por causa desta tendência. O diretor financeiro poderia se chamar agora "Diretor de Proteção" (CPO – Chief Protection Officer). A cibersegurança coloca as finanças de uma empresa em risco, desafia as estratégias corporativas e aumenta a necessidade de políticas e práticas amadurecidas que protegem os dados e o negócio. Um diretor financeiro, como executivo estratégico de gestão de riscos e negócios, deve manter supervisão e orientação significativas nessas áreas. Essas não são mais considerações "somente do departamento de TI".
Responsabilidade e administração
Já se tornou uma prática comum ter o diretor financeiro e o Conselho à frente das abordagens proativas de segurança em organizações modernas. Mesmo tendo formas de mitigar os danos causados por ataques frequentes e sofisticados, o pessoal de segurança não controla o orçamento.
Alguns pessimistas alegam que o custo da segurança adequada é maior que o custo da recuperação de um ataque. Contudo, esta não é uma abordagem sustentável ou responsável. As evidências indicam que os ataques se tornarão mais frequentes, persistentes e sofisticados; portanto, os custos das ações corretivas continuarão aumentando. Marcas, empregos e preços de ações, todos correm risco.
Segurança e administração andam juntas
A administração vai além de fazer dinheiro ou garantir o sucesso financeiro da organização. Isso significa cuidar e proteger os interesses de longo prazo da empresa e pensar de forma holística nos diversos atores envolvidos. Porém, em termos de segurança, a administração tradicional da organização nem sempre está equipada com as perspectivas, as habilidades ou os conhecimentos necessários. Consequentemente, a segurança muitas vezes ainda acaba sendo vista como um custo, e não como um elemento essencial da gestão de riscos.
Mas, se a administração realmente se refere à proteção e supervisão dos ativos tangíveis e intangíveis de uma empresa, então os ativos mais críticos são dados, IP, reputação, confiança e lealdade do cliente. Desta forma, a segurança precisa ser um pilar fortalecido e central dessa administração. Porque temos visto com frequência, a segurança deficiente pode enfraquecer ou destruir todos esses ativos, e gerar uma perda de valor por meio de volatilidade desnecessária.
E o mais importante, como administradores de suas respectivas organizações, os conselhos e os executivos têm a responsabilidade de garantir a segurança e proteção dos dados e sistemas de clientes, propriedade intelectual e acionistas.
Nunca conseguiremos eliminar os riscos
É impossível eliminar os riscos por completo. Os riscos estão em tudo que fazemos. Considerando que os cibercriminosos gastam pouco para gerar uma violação de dados, a dificuldade para localizá-los e processá-los e o lucro de um ataque realizado com sucesso, é certo afirmar que sempre existirão ataques para roubos de dados e bloqueio de operações empresariais.
Porém, não é porque não conseguimos eliminar os riscos que não podemos gerenciá-los. Essa sempre foi uma função principal do Conselho – avaliar os riscos e fazer adequações apara gerenciá-los, além de considerar o impacto em toda a organização. Não é diferente com a segurança. Os departamentos de TI devem considerar quais inovações devem ser aplicadas para proteger a empresa. Enquanto isso, o Conselho deve priorizar quais ativos devem estar acessíveis e quem deve acessá-los, para então liderar as ações do departamento de TI.
Com o CISO (diretor de segurança da informação) e os outros executivos, o Conselho deve considerar e gerenciar a segurança de maneira proativa em relação a vários outros fatores, incluindo custo, desempenho, agilidade, alocação de recursos (incluindo talentos), autonomia e capacitação, iniciativas estratégias, projetos e planejamento, e colocação no mercado.
Menos TI e RH e mais na sala do conselho
As políticas e a governança de informações são áreas em que o conselho e os executivos podem de fato fazer uma contribuição significativa para a segurança de uma organização. Departamentos de TI bem equipados e com profissionais capacitados podem cuidar dos detalhes técnicos, o departamento de RH (e outras equipes de negócios) podem tratar das políticas e procedimentos, deixando as decisões de alto nível sobre abordagens das políticas e segurança da informação para os executivos e diretores.
Com a corrida armamentista se aquecendo entre os cibercriminosos, os estados-nação, as organizações e a comunidade de segurança, essa mudança fundamental na abordagem de cibersegurança não só colocará os bons profissionais um passo à frente, como também garantirá a resposta rápida e apropriada das organizações quando ocorrer um ataque. E os últimos fatos nos ensinaram que esta não é uma questão de se, mas de quando.
Leonardo Bon, gerente regional de vendas da Fortinet para as regiões Sâo Paulo e Sul do Brasil.