Eder Souza (*)
Temos acompanhado os principais estudos sobre cibersegurança e um dos recentes, O futuro do ecossistema de cibersegurança, da Deloitte, traz alguns pontos de reflexão importantes para quem deseja obter resultados positivos na proteção do ambiente tecnológico de suas organizações:
– 85% dos respondentes dizem que a cúpula da empresa está comprometida com a segurança cibernética;
– Mas, mesmo assim, 45% das organizações não têm um responsável de segurança no board;
– 75% têm planos de resposta a incidentes, mas 33% nunca testam esses planos para saber se funcionam;
– E, apesar de 84% estarem em conformidade com a LGPD, as empresas ainda enfrentam grandes desafios em governança, capacitação e gestão de riscos de terceiros.
Isso evidencia um ponto que temos debatido com executivos próximos: “não basta querer desejar a cibersegurança, é necessário estratégia e saber orquestrar o plano com clareza, responsabilidade e agilidade”.
A partir destes números, alguns pontos para reflexão e ação:
1.Precisamos elevar o tema cibersegurança ao nível do board e garantir que o tema faça parte da agenda estratégica das organizações;
2. É fundamental testar regularmente os planos de resposta a incidentes para evitar surpresas e agravar cenários que, na maioria das vezes, já são caóticos;
3. Investir em capacitação continuada e especialização é altamente importante para elevar o nível de maturidade das organizações em cibersegurança, inclusive poder contar com parcerias externas;
4. Mapear e monitorar com rigor os riscos de terceiros (fornecedores, parceiros) é crucial para o bom andamento do negócio e – talvez – seja esta uma questão de sobrevivência dos negócios;
5. Revisitar políticas, processos e ferramentas de segurança para evitar sobreposição ou subutilização garante uma execução do budget mais estratégica e retorno do investimento muito mais sólido.
A maturidade em segurança digital não se constrói apenas com investimento tecnológico, ela depende também de governança, consistência e cultura.
Como construir a estratégia para a cibersegurança?
Somente possuir as melhores ferramentas não será o suficiente para a proteção da empresa se não existir uma cultura e estratégia de cibersegurança, inclusive apoiada pelo board.
Muito mais do que a adoção de ferramentas, é vital inserir segurança na cultura, nos processos e na estratégia corporativa e para isso é necessário planejamento, que deve ter início a partir da definição do propósito.
O que a empresa precisa proteger? Quais são as jóias da coroa? Seriam os dados de clientes, a sua propriedade intelectual ou os sistemas críticos? Como podemos nos apoiar nas equipes para atingir estes objetivos?
Um ponto importante: se ainda hoje muitas empresas delegam essa responsabilidade à turma de TI e ao CISO (Chief Information Security Officer), é fundamental que mude de pensamento. O desafio é de todos e deve ser superado com a participação inclusive do board.
Para a colaboração funcionar, crie um comitê de cibersegurança com representantes de áreas estratégicas, como: TI, jurídico, RH, operações e outras que estão na linha de frente do negócio, além do CISO, claro.
Convidar para este comitê um parceiro externo e especialista em cibersegurança irá ajudar a construir a estratégia, principalmente porque este agente poderá trazer a experiência de outras empresas que passam pelo mesmo problema. A cibersegurança não deve ser tratada como se ela fosse um desafio exclusivo da organização. Compartilhar conhecimento e experiências é vital para o sucesso.
Definindo os papéis e responsabilidades
A governança da cibersegurança começa pela clareza de papéis e responsabilidades dentro do comitê responsável pela proteção da organização. Cada integrante deve compreender não apenas suas atribuições operacionais, mas também o impacto estratégico de suas decisões na proteção e continuidade do negócio.
O CISO deve assumir a liderança executiva desse processo, atuando como o maestro da estratégia de cibersegurança, aquele que orquestra iniciativas técnicas, políticas e culturais voltadas à redução de riscos cibernéticos e ao fortalecimento da resiliência digital.
Para que essa liderança seja efetiva, é essencial que o CISO tenha um assento forte nesse board corporativo. Somente com essa representatividade é possível garantir autoridade decisória, alinhamento com os objetivos de negócio e integração entre segurança, inovação e governança corporativa.
Em um cenário onde as ameaças digitais evoluem em ritmo acelerado, e os vetores de ataque se tornam cada vez mais sofisticados, a estratégia de cibersegurança deixa de ser um tema meramente técnico e se consolida como um pilar fundamental da sustentabilidade organizacional, protegendo ativos processos de negócio, reputação e vantagem competitiva.
(*) CTO da e-Safer.