Como os conselhos de administração devem olhar para a cibersegurança

O Google publicou recentemente um relatório em que recomenda que os conselhos de administração vejam a questão da cibersegurança pelo prisma do risco comercial.

A lógica é simples: a falta de cautela quanto aos riscos cibernéticos pode comprometer toda a operação do negócio.

Então, a cibersegurança não deve ser um problema concentrado apenas nas mãos dos especialistas em tecnologia.

Ela também é um assunto dos conselhos de administração e, por isso, é importante contar com parâmetros como o Cybersecurity Framework do NIST, que traz cinco pilares que facilitam a compreensão das demandas da segurança cibernética pelos conselheiros.

Conforme o documento do Google, as lideranças de uma empresa devem se engajar diretamente em todos os assuntos relacionados à cibersegurança e aos riscos tecnológicos.

O Google sugere a adoção de uma postura mais proativa nessas áreas a partir da conscientização da diretoria e a orientação subsequente para toda a equipe.

O relatório, intitulado “Google Cybersecurity Action Team’s Perspectives on Security for the Board report” é o primeiro de uma série de documentos que a empresa pretende publicar.

O objetivo é ajudar os conselhos de administração a aprimorar seus conhecimentos e sua postura em relação à cibersegurança.

Isso inclui a criação de uma estratégia sobre como lidar com os ataques cibernéticos sob o ponto de vista da gestão, a compreensão do impacto que esses ataques podem causar na empresa e a preparação para possíveis obrigações regulatórias.

Ao longo dos próximos tópicos, vamos abordar a perspectiva do Google a respeito do tratamento a ser dado pelos conselhos administrativos a questões como os riscos de segurança cibernética.

Continue a leitura!

O papel dos conselhos de administração na supervisão dos riscos de cibersegurança

Se você acompanha os conteúdos do nosso blog, já sabe que os riscos de cibersegurança são uma das principais preocupações enfrentadas pelas organizações atualmente.

Sendo assim, é cada dia mais importante para os membros dos conselhos de administração a realização de uma supervisão relevante e a orientação quanto às prioridades de risco da gestão.

O relatório do Google aponta o NIST Cybersecurity Framework como uma ferramenta útil para os conselhos de administração tornarem-se mais proativos quanto à cibersegurança.

Nesse contexto, cabe citar os cinco pilares do NIST CSF: Identificar, proteger, detectar, responder e recuperar.

Vejamos a seguir as atribuições de cada uma dessas funções:

• Identificar: auxilia na compreensão do que é mais importante para a empresa, incluindo serviços críticos de negócios, sistemas, pessoas, ativos, dados e capacidades;
• Proteger: descreve as salvaguardas apropriadas para garantir a entrega de serviços críticos e apoia a capacidade de conter o impacto de um possível incidente de cibersegurança;
• Detectar: ​​auxilia na definição das atividades apropriadas para identificar um evento de segurança cibernética em tempo hábil;
• Responder: concentra-se nas atitudes apropriadas a serem tomadas no caso de um incidente de cibersegurança enquanto apóia a contenção do impacto desse potencial incidente;
• Recuperar: define atividades para manter os planos de resiliência e restaurar os serviços que foram afetados devido a um incidente de segurança cibernética.

À medida que o risco regulatório aumenta nos níveis federal e estadual, a compreensão dos conselhos de administração sobre cibersegurança é mais relevante do que nunca.

Os conselhos devem desempenhar um papel importantíssimo na forma como as organizações respondem a essas tendências.

Três princípios da supervisão eficaz dos riscos cibernéticos

O Google recomenda a adoção de três princípios para a promoção de uma supervisão eficaz dos riscos cibernéticos. Vamos falar sobre cada um deles a seguir.

Busque instrução

Em primeiro lugar, os conselhos devem ser instruídos sobre os principais tópicos para garantir que o risco cibernético e tecnológico mais amplo esteja embutido nas discussões e decisões organizacionais sobre os riscos operacional e estratégico.

Isso inclui a compreensão do impacto cibernético sobre o gerenciamento de riscos e estruturas de resiliência.

Para colocar em ação o primeiro princípio recomendado pelo Google, você deve:

• Avaliar a estrutura e experiência do conselho de administração, considerar suas comissões e observar qual é a mais adequada para supervisionar o risco;
• Organizar briefings e discussões aprofundadas com especialistas internos e externos.

Seja comprometido

Em segundo lugar, os conselhos de administração devem estar envolvidos com o CISO e com as principais partes interessadas nos negócios para construir melhores relacionamentos, e entender as lacunas mais críticas e as necessidades de recursos.

Isso vai garantir que os riscos mais críticos sejam tratados como prioridade por todos os executivos, e não apenas por aqueles que pertencem à equipe de cibersegurança.

Ou seja, os conselhos de administração devem trabalhar com o CISO, juntamente com as partes interessadas em tecnologia, negócios e conformidade para identificar os principais riscos e quantificá-los.

Esse trabalho conjunto vai possibilitar uma melhor avaliação sobre como cada risco em destaque se alinha com o apetite de risco geral.

Para colocar essa meta em prática, é preciso:

• Tornar a cibersegurança uma importante prioridade de negócios, tendo uma linha de líderes empresariais presentes quando o assunto for os riscos como parte da estratégia de negócios apoiada pelo CISO;
• Convidar o CISO para discussões estratégicas sobre decisões de negócios e tecnologia;
• Programar mergulhos profundos regulares com o CISO, CIO e CTO sobre prioridades de risco, orçamentos e planejamento.

Mantenha-se atualizado

Em terceiro lugar, os conselhos de administração devem manter-se informados sobre relatórios em andamento, fazer perguntas e trabalhar com o CISO e outros líderes para entender as métricas relacionadas aos riscos de cibersegurança.

Os conselhos de administração devem se esforçar para criar um sólido ciclo de feedback que incentive o diálogo franco, a tomada de decisões assertivas e a gestão contínua de riscos.

Isso é importante para fomentar o alinhamento da cibersegurança com as boas práticas de gerenciamento de riscos operacionais.

Para colocar este terceiro pilar em ação, é preciso:

• Entender quais são os principais riscos para sua empresa e como ela planeja abordá-los em parceria com o CISO;
• Solicitar um relatório periódico sobre os esforços do CISO para avaliar o risco e acompanhar e medir o progresso.

Conforme aponta o relatório do Google, os conselhos de administração podem usar esses três princípios para ajudar a construir um melhor relacionamento entre o CISO e a liderança da empresa.

Como o cenário de ameaças continua evoluindo, os conselhos de administração vão precisar adaptar continuamente sua abordagem.

Conexão entre inteligência de ameaças e mitigação de riscos

A partir da experiência adquirida pela Mandiant — empresa recentemente adquirida pelo Google Cloud — ao auxiliar cerca de 1.800 clientes que, em 2022, se preparavam ou se recuperavam de incidentes de cibersegurança, os especialistas do Google observaram o aumento das vulnerabilidades de dia zero, dos grupos de agentes de ameaças, dos comprometimentos da cadeia de suprimentos e das táticas de extorsão destinadas a prejudicar a reputação das empresas.

Por outro lado, também foram notados vários resultados positivos, que surgiram com a valorização da cibersegurança nas empresas.

Conforme o relatório do Google, sua primeira conclusão é de que os líderes de segurança cibernética acreditam que a modernização da nuvem apresenta melhores oportunidades de incremento da segurança.

Isso inclui uma mudança radical na detecção e capacidades de resposta das empresas diante de um eventual incidente.

Em segundo lugar, os agentes defensores que atuam na linha de frente estão aprimorando sua capacidade de reduzir as lacunas de cibersegurança em tempo hábil, ou seja, há uma redução visível no tempo necessário para descobrir um comprometimento e acionar as devidas proteções.

Isso acontece quando a questão da cibersegurança é tomada como uma responsabilidade de todos, não se concentrando no setor de tecnologia.

À medida que os conselhos de administração consideram essas tendências, eles devem entender a conexão entre inteligência de ameaças e mitigação de riscos.

Na maioria dos casos, os líderes de segurança cibernética entendem a necessidade de melhorar a inteligência organizacional sobre os agentes de ameaças. Porém, muitos deles tomam decisões sem entender completamente quem está atacando seu negócio e por qual motivo.

Em uma pesquisa recente sobre negócios e líderes de TI, mais de 75% dos entrevistados disseram que tomam decisões sem informações sobre quem poderia estar investindo contra sua organização.

Apenas cerca de um terço desses profissionais tinha um conhecimento abrangente sobre os diferentes grupos de ameaças e suas táticas, técnicas e procedimentos.

Essas visíveis lacunas demonstram que as estratégias de defesa com frequência podem não atender aos seus objetivos e metas.

Os conselhos de administração podem trabalhar para preencher essas lacunas de inteligência de ameaças, garantindo que as informações desempenhem um papel de liderança nas decisões de gerenciamento de riscos.

Três perguntas a serem feitas aos CISOs pelos conselhos de administração

Para estimular a conexão entre os CISOs e os conselhos de administração, considerando os três princípios da supervisão eficaz dos riscos cibernéticos citados anteriormente, os conselheiros devem apresentar ao CISO os seguintes questionamentos:

Quão bons somos em segurança cibernética?

Os conselhos de administração precisam aprender mais sobre as pessoas e experiências da equipe de cibersegurança.

Isso é importante porque os conselhos não podem confiar apenas em painéis de conformidade e controles de segurança cibernética.

Muitas empresas vítimas de ciberataques contam com vários painéis e controles. Certamente eles exercem um papel importante.

Mas os conselhos de administração precisam atuar no sentido de entender melhor as práticas de sua equipe e sua capacidade de resposta a eventos ou incidentes de segurança.

Uma maneira de testar as capacidades da sua equipe de cibersegurança é solicitar ao CISO a realização de exercícios de Red Team e pedir uma cópia do relatório.

Quão resilientes somos?

As diretorias devem perguntar ao CISO se a organização está preparada para manter o negócio funcionando no caso de um evento como um ataque de ransomware.

Isso é semelhante ao planejamento de um terremoto ou outro desastre, e pode envolver cenários como operar fora da Internet, restaurar backups de dados, entre outras possibilidades.

Uma maneira de avaliar a resiliência da empresa é pedir ao CISO para realizar avaliações periódicas a partir de exercícios de resiliência cibernética para testar a resposta organizacional.

Qual é o nosso risco?

Os conselhos de administração devem garantir no mínimo que a estrutura de gerenciamento de riscos do CISO aborde cinco áreas principais:

1. Uma avaliação das ameaças atuais à sua organização;
2. Um explicação sobre o que a liderança em cibersegurança está fazendo para mitigar essas ameaças;
3. Exemplos de como o CISO está testando o funcionamento das mitigações;
4. Uma avaliação das consequências caso essas ameaças realmente aconteçam;
5. Uma avaliação de riscos que não serão mitigados, mas ao contrário, serão aceitos por terem consequências que não são consideradas graves.

Uma maneira de chegar ao fundo dessa questão é pedir ao CISO que apresente um relatório com essas informações ao menos duas vezes por ano.

Engajamento dos conselhos de administração quanto à IA e à cibersegurança

Para que os conselhos de administração consigam apoiar da melhor forma as estratégias de cibersegurança de suas organizações, é preciso adotar uma abordagem ousada e responsável quanto à inteligência artificial.

Para maximizar os benefícios das tecnologias de IA e minimizar os riscos, o Google recomenda que as diretorias trabalhem em conjunto com os CISOs adotando uma abordagem em três frentes: proteger, dimensionar e evoluir.

Primeiramente, os conselhos de administração devem entender como a empresa planeja implantar sistemas seguros de IA.

Isso inclui uma familiaridade básica com a forma como o CISO pretende proteger os dados e controles de acesso a modelos de aprendizado de máquina e aplicativos de IA.

Para colocar em prática a frente relativa à proteção, é importante:

• Fazer uma parceria com o CISO para que a diretoria promova uma revisão completa dos planos dele para implementar os sistemas de IA com segurança e determinar se há necessidade de investimento;
• Entender as responsabilidades de dados da sua organização e saber se os líderes de segurança cibernética contam com as ferramentas adequadas para proteger dados de aprendizado de máquina.

Em segundo lugar, os conselhos de administração devem trabalhar com o CISO para entender a melhor forma de aproveitar o poder da IA ​​para alcançar melhores resultados de cibersegurança.

Para dimensionar esses resultados, você pode:

• Solicitar um briefing anual sobre os pontos problemáticos de cibersegurança da sua organização e como as tecnologias de IA podem resolvê-los, o que ajudará o conselho a avaliar potenciais investimentos;
• Entender o plano de investimentos de longo prazo da sua organização para a promoção da cibersegurança através das tecnologias de IA e como ele conversa com as prioridades de negócios e decisões estratégicas.

Por fim, o conselho deve trabalhar com o CISO para manter-se informado sobre os desenvolvimentos relacionados à antecipação de ameaças.

Para colocar este plano em prática, você deve:

• Organizar briefings regulares de especialistas internos e externos para detectar tendências emergentes de IA e novos riscos de segurança;
• Avaliar os planos do CISO de fazer parcerias para desenvolver melhores práticas, ferramentas e modelos de ameaças que abordem interações e riscos típicos de IA.

Essa abordagem reforça um ciclo contínuo onde a inteligência da linha de frente se encontra com a inovação da tecnologia de IA na nuvem. Agora que você conhece as recomendações do Google sobre a postura que os conselhos de administração devem adotar em relação à cibersegurança, é hora de se aprofundar no tema baixando o eBook - A cibersegurança como um componente essencial da governança corporativa, que é um chamado à ação para os conselhos de administração.