A prevenção contra-ataques cibernéticos e outros problemas que minam o ambiente digital de uma empresa – e consequentemente o negócio – dependem de um entendimento claro dos executivos sobre as ameaças.

Conforme o atual Relatório de Defesa Digital da Microsoft, um total de 921 violações a senhas foram registrados por segundo somente em 2022 — um aumento de 74% em relação ao ano anterior. Muitos destes resultaram em ataques de ransomware, que duplicaram, afetando setores como Manufatura (28%), Saúde (20%), Varejo (16%), Educação (8%), Energia (8%), Finanças (8%), Governos (8%) e TI (4%).  

A primeira coisa que normalmente se pensa quando o assunto é cibersegurança é que isso é um assunto exclusivo da área de TI. Erro. De fato, o departamento desempenha um papel crucial. Mas não é o responsável principal pela proteção desse ativo tão precioso para qualquer instituição, sendo os dados. Segundo Ivan Abreu Paiva, Gerente de Segurança da Informação e Continuidade da Flowti, a cibersegurança é um tema da alta liderança.

“Nenhuma empresa cuja alta direção não prioriza a cibersegurança pode ser bem-sucedida no Plano de Continuidade de Negócio ou num Plano de Recuperação de Desastres. A prevenção começa com a conscientização de quem está em cima.” 

O especialista conta que os membros da alta direção nem sempre estão conscientes do papel, de que a falta de segurança cibernética pode tirar empregos, matar o negócio ou mesmo fazer com que os diretores respondam civilmente e até criminalmente, dependendo da gravidade do problema.

“Por exemplo, se estou vendo uma pandemia lá fora e não providencio nem antivírus atualizado, não tenho um programa de cultura de segurança da informação, não me preocupo em ter uma política de segurança, então estamos falando de imprudência, negligência e imperícia. Não estou falando porque eu acho, mas porque as empresas que mais foram bem-sucedidas nos seus programas de Compliance, Privacidade de Dados, Gestão de Riscos e Segurança da Informação e obtiveram sucesso na continuidade de seus negócios são aquelas em que a alta direção está envolvida, sabe fazer as perguntas certas e interpretar as respostas”, diz Ivan. 

“Quando fazemos um PCN, colocamos perguntas que todo presidente deveria saber responder, como: ‘Quais são os nossos riscos e qual o tamanho do impacto? Em quantas horas a gente retorna? Quando a gente voltar, o quanto perdemos de dados? (você sabia que 1Gb de dados equivale a 1 caminhão de livros e que uma empresa média movimenta 18Gb por dia) A gente tem algum plano? As pessoas envolvidas sabem como tratar o problema? Temos recursos para isso? Os nossos parceiros de negócios e fornecedores representam uma vulnerabilidade para a continuidade do nosso negócio?’ Se você tivesse essas perguntas numa reunião de governança da alta direção mensal e eles tivessem as respostas, eu diria que é a base para iniciar um programa preventivo”, completa Ivan Paiva.

Comunicação é fundamental

Um estudo feito pela Deloitte — “Segurança cibernética na saúde” — examina o desafio de tornar as ameaças da cibersegurança claras para os executivos das organizações da área da Saúde. Embora o relatório mostre que os líderes das empresas do setor consideram a segurança cibernética uma prioridade, há grande dificuldade em entender até que ponto esses riscos são abrangentes. 

Compreender o quão extenso podem ser os prejuízos de todas as ordens relacionados à cibersegurança depende muito da comunicação efetiva entre as áreas que estão diretamente envolvidas nesse processo com a alta direção. Em outras palavras, não basta apenas relatar todos os perigos a que a empresa está sujeita, é preciso investir na mudança de mentalidade dos executivos. Afinal, qualquer organização possui inúmeras prioridades que acabam competindo com a delicada questão da segurança dos dados.

Webinar completo e gratuito sobre "Cibersegurança e a LGPD". Assista agora!

Então, para trazer à luz as necessidades de ajuste na gestão de cibersegurança de uma empresa, o próprio relatório da Deloitte traz algumas perguntas que devem ser feitas periodicamente e que podem auxiliar na maior clareza sobre o tema: 

• Os membros da diretoria, a liderança e a equipe de cibersegurança estão tendo discussões abertas e honestas sobre onde o valor é criado na organização e sobre as vulnerabilidades e ameaças?  
• Foi dada ao Chief Information Security Officer (CISO) a autonomia e os recursos necessários para administrar seu departamento de forma eficaz, para que todos estejam sincronizados nas decisões críticas?  
• Somos uma organização que valoriza a abertura e a transparência? 
• Estamos nos adaptando ao ecossistema em constante mudança — e estamos integrando a segurança cibernética a uma verdadeira abordagem de risco em toda a empresa? 
• Estamos incentivando a abertura e a colaboração, construindo relações fortes com os colegas, parceiros, concorrentes e outras indústrias?  
• Estamos examinando nossa força de trabalho futura e nos certificando de que estamos fazendo o suficiente para recrutar e reter recrutar e reter os melhores talentos? 
• Estamos estudando novas maneiras de investir dinheiro em tecnologias de defesa cibernética para podermos nos proteger de danos?
  

Pensar em cibersegurança, sem dúvida, pode ser desconfortável. Mas é o único meio de proteger o negócio e tudo o que está envolvido nele. O tema é extenso, é um erro focar em ferramentas e a empresa pode iniciar pela parceria com um fornecedor que seja parceiro do negócio e tenha capacidades multidisciplinares de processo e gestão da segurança da informação, segurança da infraestrutura de TI e negócio, conformidade à LGPD e legislações setoriais, experiência no seu setor de negócio e na gestão de ambientes de missão crítica.