5 perguntas sobre cibersegurança que todo CEO deve saber responder

O ano de 2017 foi marcado por grandes brechas de segurança de dados que desembocaram no vazamento de milhões de informações pessoais privadas de consumidores, crises graves na reputação das empresas envolvidas e grandes prejuízos financeiros. 

Em 2018, a trama fica mais densa, como diz a frase popular, porque, além de lidar com ciberameaças contínuas e sofisticadas, as empresas precisam se adequar às novas leis governamentais de proteção à privacidade dos dados – a GDPR da União Europeia, em aplicação desde 25 de maio, e a LGPD (Lei Geral de Proteção de Dados) brasileira, para a qual as companhias têm ainda 18 meses para se adequar – para não correr o risco de tomar multas milionárias. 

Mais do que nunca, cibersegurança é um problema de negócios e não apenas uma questão de tecnologia. Isso quer dizer que o assunto precisa ser tratado pelas lideranças executivas. Se não incluir segurança na agenda corporativa, uma empresa arrisca-se a ver sua boa reputação desaparecer em minutos por conta de vazamento de dados, ataque de ransomware, ou uso indevido de informações privadas dos clientes.

Na mesa do CEO

“O tema segurança não é um tema novo para o CEO. Mas vemos que por hora ele ainda é apenas uma preocupação e não uma ação. Sabemos que não é fácil, que o tema é complexo. Mas assim como o lançamento de um novo produto, como a aquisição de uma nova empresa ou de uma fábrica, a segurança de dados é um tema que precisa ser tocado pelo CEO para que ele se torne parte do modelo mental da empresa”, diz Camillo Di Jorge, country manager da ESET Brasil.

O executivo participou de um webcast, promovido pela CIO em parceria com a HP Brasil, com o título de Governança de Dados e Cibersegurança na Agenda da Liderança, juntamente com João Lucas Melo Brasio, Diretor Executivo da Elytron Security, e Bruno Ortolani, Category Manager da HP.

Para os especialistas,  atender as exigências dos padrões de compliance é obrigatório e vai garantir às organizações uma base sólida para lidar os com os riscos conhecidos, mas não faz muita diferença se não incluir uma política de segurança de dados capaz de encarar novas ameaças em constante mutação. As empresas precisam ter uma estratégia de abordagem de riscos que seja mais eficiente e que ofereça uma gestão mais abrangente das ciberameaças.

“A questão não é SE uma empresa vai ser atacada, mas sim QUANDO ela vai ser atacada”, diz João Lucas Melo Brasio, Diretor Executivo da Elytron Security.

5 perguntas

Um dos problemas mais comuns ligados à cibersegurança é a mudança constante e rápida do cenário de riscos, que exige empresas muito mais ágeis e governos muito mais alertas. O Departamento de Segurança Nacional (Department of Homeland Security, ou DHS) dos EUA, montou um documento específico de alerta sobre segurança cibernética para os CEOs, com um check-list contra o cibercrime, que contém, entre outras coisas, uma lista de cinco perguntas que todo CEO deveria ser capaz de responder sozinho sobre cibersegurança. Vamos a elas:

1- Como os membros da liderança executiva da companhia se mantêm atualizados sobre o nível e o grau de impacto dos riscos de cibersegurança para a empresa?

2- Quais são os planos ou estratégias de segurança de dados para lidar com os riscos que foram identificados? 

3- Como, especificamente, seu programa atual de segurança de dados aplica os padrões da indústria e as melhores práticas?

4- Quantos e quais tipos de incidentes de cibersegurança são detectados na empresa toda semana? E qual o grau de risco que dispara um alerta direto para a liderança executiva?

5- Seu plano de resposta a incidentes de cibersegurança é rígido? Quantas vezes por semana ou por mês ele é testado?

As perguntas descrevem um modelo mental e uma cultura corporativa de CONSCIÊNCIA DO RISCO. Se um CEO é capaz de responder corretamente a todas as cinco perguntas, isso quer dizer que sua empresa não só está aderente aos padrões de compliance, como também adota e executa, de forma abrangente, as melhores práticas e padrões da indústria para identificar problemas e manter todos informados.

“Um mindset voltado para segurança se aplica a qualquer tipo e tamanho de empresa. Um escritório de advocacia com cinco funcionários lida com informações tão importantes e sensíveis quanto as de uma multinacional. Os ciberataques hoje muitas vezes são direcionados a informações específicas e não a uma empresa específica e por isso é preciso estar alerta”, afirma  Bruno Ortolani, da HP

Uma empresa cujo CEO é capaz de responder sem piscar às cinco perguntas, certamente tem chances muito maiores de responder de forma rápida e eficiente às possíveis ameaças cibernéticas e de realizar uma recuperação rápida e fácil se por acaso ainda assim sofrer um ciberataque.

Tempo é tudo nesse assunto. Respostas rápidas e antecipadas podem não só reduzir o impacto negativo para sua empresa como até conseguem desviá-lo. A chave para tudo é o planejamento. E isso é muito mais do que apenas ter uma lista de tarefas para checar periodicamente. É uma prática que exige preparação contínua e abrangente, focada no risco, envolvendo o CEO, as lideranças de negócios, o departamento jurídico, a equipe de tecnologia, o Chief Security Officer (CISO) e todos os funcionários de uma companhia.

SERVIÇO: CLIQUE AQUI para assistir a íntegra do webcast Governança de Dados e Cibersegurança na agenda da Liderança.