Segurança informação, ciber e privacidade: o que comunicar para o Conselho de Administração?

Cada vez mais o Conselho de Administração das organizações são obrigados a receberem informações sobre segurança e validarem a maturidade.

Author Photo
5:18 pm - 27 de outubro de 2023

Cada vez mais o Conselho de Administração das organizações precisa receber informação sobre segurança da informação, cibersegurança e Proteção da Privacidade. Seja incidentes ocorridos ou sobre a maturidade em segurança.

Muitos seguimentos possuem regulamentos das Agências Reguladoras ou órgãos tipo BACEN. A SEC nos USA possui uma recomendação para as empresas que incidentes de segurança devem ser comunicados ao Conselho de Administração. Ainda está como recomendação, mas com certeza em curto prazo será um controle obrigatório. A União Europeia aprovou em 10 de setembro de 2022, a Lei de Resiliência Operacional Digital, ou DORA (Digital Operational Resilience Act), que entrará em vigor em 17 de janeiro de 2025, focada nas instituições financeiras, que também faz exigência sobre comunicações ao Conselho.

Aqui no Brasil além do BACEN, a SUSEP já definiu regras sobre comunicação de incidentes e mais recentemente a CVM publica resolução contemplando normas do ISSB que integram relatórios de sustentabilidade e financeiro e exigem: “que uma entidade divulgue informações sobre todos os riscos e oportunidades relacionados à sustentabilidade que possam razoavelmente afetar os fluxos de caixa da entidade,..”

Enfim, a comunicação com a Alta Direção e com o Conselho da Administração já é um controle obrigatório e será cada vez mais rigoroso.

Com o potencial de danos de um ciberataque que vão além das receitas, o conselho de administração precisa de uma perspectiva de cibersegurança agora mais do que nunca para salvaguardar a reputação da empresa, proteger os clientes e evitar interrupções dispendiosas nos negócios. O relatório recém-lançado da Proofpoint, “Cibersegurança: A Perspectiva do Conselho em 2023”, descobriu que 73% dos diretores de conselhos sentem que sua organização está em risco de um ciberataque material, em comparação com 65% em 2022.

Desta maneira o Gestor da Segurança da Informação e Cibersegurança (CISO) e o Encarregado de Tratamento de Dados Pessoais (DPO, termo usado na União Europeia), precisam comunicar com o Conselho de Administração. A questão é: o que deve ser comunicado? Quais as informações que são essenciais? Muito se tem escrito, e bem escrito. A forma da comunicação, a linguagem não técnica e outras questões similar que devem ser consideradas.

De uma maneira objetiva recomendo a seguinte abordagem:

  1. Tarefa Zero: entenda o negócio da organização

Parece obvio, mas muito gestor não entende a essência do negócio da organização. Sua Missão, Valores são essenciais, mas entrando em mais detalhes: como a organização ganha dinheiro, quais são os recursos essenciais para o funcionamento, lucratividade e atendimento aos objetivos corporativos.

  1. Quais são os Direcionadores Obrigatórios para a Informação

Explique que o segmento de negócio da organização exige que ela siga: controles legais (nacional ou internacional) e normativos de Agências Reguladoras. A Área de Segurança traduz estas regras em controles e com a sabedoria para a sua implementação considerando as características da organização.

  1. Apresente o nível de maturidade atual e o nível desejado

Se uma maneira objetiva apresente a situação da maturidade da segurança atual, e como ela deveria estar considerando o porte, tipo de negócio e objetivos corporativos.

  1. Apresente a recomendação do Plano de Ação

Considerando a sua experiencia e conhecimento no assunto, apresente um Plano de Ação coerente com a organização e com a urgência de se atingir o Nível Desejado de Segurança.

  1. Apresente os possíveis impactos negativos do não atendimento do plano de ação

É necessário explicitar que a não realização do Plano de Ação aumentará a possibilidade da ocorrência de Impactos Negativos: operacionais, não conformidade legal, financeiro, reputação institucional, judicialização e outros.

Conclusão

Evidentemente uma comunicação com o Conselho de Administração exige outros cuidados que dependem muito das características e cultura de cada organização. Os pontos que apresentei são básicos e obrigatórios para o entendimento pelo Conselho de Administração dos riscos em segurança da informação, cibersegurança e proteção à privacidade.

Um ponto muito importante é que o Gestor da Segurança deve gerar confiança e credibilidade para os membros do Conselho de Administração.

Gostaria de conversar conosco sobre este tema? Entre em contato e podemos expandir estes conceitos e entender qual a melhor implementação para a sua organização.

Newsletter de tecnologia para você

Os melhores conteúdos do IT Forum na sua caixa de entrada.