Apenas 14% dos membros do board são envolvidos com as estratégias de cibersegurança

Em busca de fornecer algumas respostas e direcionamentos sobre qual deve ser o papel adequado dos conselheiros a ISACA, empresa de auditoria de segurança, juntamente com a organização americana Instituto de Auditores Internos (IIA), realizaram o estudo “Segurança Cibernética: o que o conselho de administrativo precisa perguntar”.

A razão pela qual a empresa focada em auditoria financeira se uniu com o instituto é clara: a segurança cibernética e outros riscos relacionados à tecnologia assumiram tal importância que seu core tradicional caiu para 20% no total do plano de auditoria.
O relatório baseia-se em uma pesquisa do IIA que aponta que 58% de membros do board sentem que deveriam estar ativamente envolvidos na estratégia de cibersegurança. Apenas 14% afirmam que são ativamente envolvidos, embora 65% relatem que a percepção sobre o nível de risco que suas organizações enfrentam aumentou nos últimos 2 anos. “A partir desta pesquisa fica claro que a diretoria gostaria de ser estrategicamente mais envolvida nas iniciativas de segurança cibernética”, pontua o relatório, “mas agora a questão é: o que o conselho deve fazer?”.

O IAA geralmente descreve três linhas de defesa contra riscos de segurança cibernética, começando com um nível básico de controle, supervisionado por uma estrutura de governança tipicamente dirigida por um diretor de segurança da informação (CISO), tendo a auditoria interna como a terceira linha de defesa. Mas a segurança cibernética e as consequências de falhas na adequação de sistemas e dados das companhias tornaram-se tão importantes que o relatório defende que o conselho deve agir como uma quarta linha de defesa: investigando ativamente se aqueles responsáveis pelos níveis mais baixos estão fazendo seu trabalho.

“Se o board ainda não está convencido, considere o seguinte: o conselheiro Proxy do Institutional Shareholder Services (ISS) pediu aos acionistas para reformar o conselho da Target, na sequência da violação de dados que acometeu a varejista no ano passado. Em um relatório recente, o ISS recomendou o voto contra 7 dos 10 diretores por falharem em supervisionar os riscos de forma suficiente enquanto membros de comitês de auditoria e responsabilidade. A segurança cibernética não é mais só um outro item da agenda de TI: é um item da agenda do conselho também”, destaca o relatório.

O caso da Target serve como exemplo de que as empresas não devem tomar uma postura defensiva e, sim, abandonar a visão de segurança como apenas mais um fosso ao redor do castelo, substituindo-a por uma abordagem proativa orientada para os atacantes.
E isso vale também para as novas disrupções tecnológicas que estão vindo por aí, como Google Glass, impressão 3D, projetos do marketing com big data, enfim, tudo que gera uma nova classe de informações pessoais de seus consumidores. Os diretores de risco devem estar um passo à frente das novas ameaças e complicações que inevitavelmente serão trazidas junto com essas novas tecnologias.

Executivos e líderes de TI de uma empresa devem enfrentar esses desafios diretamente, com o suporte de auditores. O papel do conselho está a um nível superior, mas os membros da comissão de auditoria, em particular, devem examinar a qualidade do planejamento de segurança cibernética.

O estudo sugere que o board exija que os auditores internos realizem um “exame de saúde” anual do programa de segurança cibernética da organização. Além disso, os membros do conselho devem se reunir com o CISO pelo menos uma vez por ano. O conselho também deve estar ciente de quaisquer dependências com fornecedores de serviços de TI de terceiros, tais como operadores de data center e de serviços de nuvem, e das medidas tomadas para garantir que eles estão protegendo adequadamente os dados sensíveis.

O IIA e a ISACA recomendam que o board faça os seguintes questionamentos:

1. A organização usa um framework de segurança? Exemplos incluem COBIT e regulamentações, como HIPAA na área da saúde e PCI-DSS para aceitação de cartões de crédito.

2. Quais são os cinco principais riscos de segurança cibernética enfrentados pela organização? Como a empresa está endereçando nos desafios, como dispositivos móveis, a tendência BYOD ou computação em nuvem?

3. Como os funcionários estão cientes do seu papel na segurança cibernética? Será que todos os colaboradores recebem algum treinamento básico de conscientização sobre segurança cibernética?

4. As ameaças externas e internas são consideradas no planejamento de atividades do programa de segurança cibernética? Embora incidentes externos tendem a receber mais exposição na mídia, observa o relatório, a probabilidade de um incidente interno causar um grande incidente é de fato maior.

5. Como é gerenciada a governança da segurança? O conselho deve entender como as três linhas de defesa, destacadas anteriormente, são implementadas e certificar-se de que não haja lacunas entre elas, como a confusão sobre as responsabilidades do CISO e dos auditores.

6. No caso de violação grave, a gestão desenvolveu um protocolo de resposta robusta? Que resposta a incidentes e quais abordagens de gestão de crises estão em vigor?