Conheça desafios e recomendações da agenda de segurança cibernética

O coordenador do curso de cyber security do IBGC, Álvaro Teófilo, compartilha os questionamentos que todo gestor deve fazer ao lidar com esse tópico

  • 24/08/2023
  • Victor Santos e Gabriele Alves
  • Bate-papo

A segurança cibernética é um assunto que, cada vez mais, exige uma centralidade dentro das organizações. Para se ter uma ideia da sua relevância, um levantamento divulgado pelo jornal O Globo em junho desse ano atestou: no segundo semestre de 2022, houve um crescimento de 19% nas tentativas de ataque cibernético no Brasil, em relação ao primeiro semestre do mesmo ano. O número de invasões registradas ultrapassou a marca de 285 mil.

O curso Cyber Security para Conselheiros traz essa discussão para a agenda dos conselhos de administração – e por isso, o Blog IBGC conversou com seu coordenador, o especialista Álvaro Teófilo, que é head de riscos operacionais não-financeiros no Santander Brasil. A partir da sua bagagem de mais de 20 anos de atuação na área de riscos operacionais e controles internos, o profissional elenca alguns dos principais pontos que as empresas precisam se atentar em relação à cibersegurança atrelada à governança corporativa.

Blog IBGC: Na sua avaliação, quais são os principais desafios quando falamos em estruturar a segurança cibernética nas organizações, considerando também as práticas de governança corporativa?
Álvaro Teófilo: Para refletir sobre desafios, podemos partir de algumas perguntas-chave: a empresa possui capacidades técnicas (pessoas e tecnologias) adequadas e distribuídas também nas diferentes linhas de defesa? Quanto às equipes de riscos e auditoria, elas possuem recursos e skills para desafiar a função de primeira linha? É fundamental que as equipes com funções de supervisão tenham a capacidade de fazer challenges de verdade aos responsáveis pelas operações. E por fim, a organização como um todo, é capaz de dizer quão eficazes e eficientes são as tecnologias adquiridas?

Poderia detalhar um pouco mais essa questão da centralidade da cibersegurança na perspectiva da organização como um todo? Gostaria de entender mais sobre o papel dos gestores nesse processo.
Começo frisando algo crucial: a cultura de segurança cibernética de uma empresa é responsabilidade primária da sua direção, antes mesmo do próprio head de cyber. Então, para que as iniciativas sejam consolidadas, cabe aos gestores alguns questionamentos: a direção da empresa está engajada diretamente na criação de uma cultura de segurança onde a própria direção é vista como impulsionadora? E mais do que isso, a organização percebe esse protagonismo?

A partir disso, quais são alguns dos caminhos e possibilidades para impulsionar essas práticas de cyber security?
Hoje, o mercado oferece recursos que permitem que uma empresa compare os recursos dedicados ao tema de cyber a seus pares e a outras indústrias. A partir disso, trago novamente algumas perguntas norteadoras. A empresa já tem acesso a expertise externa? São realizados benchmarks periódicos, analisando ataques cibernéticos que se materializaram no mercado? E esses ataques são comparados com a sua estrutura, para verificar como sua organização reagiria a uma situação semelhante? É essencial que o sênior management lance mão de suas conexões no mercado para, por exemplo, trazer ao board a experiência de consultorias especializadas, que justamente ajudem a aproximar da realidade da empresa alguns incidentes recentes ocorridos em outras organizações.

Que pontos devem ser considerados nesse momento de análise do risco de ataques cibernéticos?
É necessária uma visão ampla sobre a resiliência da operação da empresa considerando uma eventual interrupção dos próprios serviços ou dos serviços de fornecedores críticos que fazem parte da sua cadeia de suprimentos – além de avaliar a eficácia de seu processo de recuperação de desastres. Muitas organizações ainda não possuem uma resposta clara para perguntas como “em quanto tempo recupero todo o meu ambiente tecnológico caso soframos um ataque cibernético, e tenhamos que recomeçar do zero?” ou “quais fornecedores, caso sejam atacados, podem gerar maior dano para os nossos negócios?”.

Para finalizar, na agenda de segurança cibernética de uma empresa, dentro desse contexto atual de digitalização, o que não pode faltar?
Como destaquei anteriormente, deve-se conhecer exatamente qual o nível de preparo da organização para uma situação de crise cibernética, e como os mecanismos de proteção funcionam no caso de materialização de um incidente. Inclui-se aí: a definição de papéis e responsabilidades; a composição de uma sala de crise; a ativação de seguro cibernético; e a comunicação ao mercado e reguladores. Iniciativas como testes de table top, simulações de crise, e testes dos “playbooks” de incidentes relevantes são ações que melhoram significativamente a capacidade de uma empresa de reagir em uma eventual materialização do risco. Além disso, vale fazer uma revisão sobre riscos emergentes – e como eles podem afetar o presente e o futuro da organização. Tomemos como exemplo o assunto do dia, a inteligência artificial. A sua empresa já está discutindo como os novos algoritmos podem afetar a segurança da sua empresa – e como a própria tecnologia pode ajudar a fortalecer suas proteções?.

Confira mais detalhes sobre o curso Cyber Security para Conselheiros

Confira as últimas notícias do Blog IBGC