Como enfrentar o desafio de tornar a cibersegurança uma prioridade estratégica
O risco representado por um ataque cibernético nunca foi tão alto, com cada vez mais dados sensíveis trafegando pelos dispositivos de trabalho
Os profissionais que trabalham e lidam com os desafios da cibersegurança sabem que este é um setor em que não é raro termos a sensação de estar enxugando gelo. Em última análise, o sucesso de uma estratégia de cibersegurança bem implementada revela-se num dia a dia em que nada acontece. Os ataques são contidos as ameaças são mitigadas e, assim, a empresa permanece operando normalmente, sem intercorrências. Ao mesmo tempo, porém, o risco representado por um ataque cibernético nunca foi tão alto, com cada vez mais dados sensíveis trafegando pelos dispositivos de trabalho.
Uma pesquisa realizada em 2023 pela Abrasca (Associação Brasileira das Companhias Abertas) revelou que, 42% das empresas brasileiras de capital aberto não possuem qualquer tipo de plano de ação contra um ciberataque, tampouco destinam uma fatia de seus investimentos para adequação às leis de conformidade. Trata-se de um número preocupante, especialmente quando se considera o dano reputacional catastrófico que um ataque bem orquestrado pode causar.
Leia mais: Funcionários descuidados são maiores responsáveis por perdas de dados
Para “nada acontecer”, existe o esforço árduo e diário de equipes de segurança, procurando vulnerabilidades, conscientizando colaboradores e fortalecendo o ecossistema. O principal desafio, então, parece ser o de “trazer luz” a esse trabalho pouco percebido na rotina, mas cuja ausência faz uma falta imensurável.
A resolução desse problema vai muito além dos passos básicos – implementar monitoramento de rede, fazer controles de acesso rígidos e adotar soluções de autenticação multifatorial. Uma mudança de mentalidade é o que dá às companhias a chance de virar o jogo, e para tal, é preciso que a cibersegurança seja pauta nos conselhos administrativos, não como um gasto, e sim como um investimento estratégico.
O primeiro passo para esse objetivo é promover uma mudança de mentalidade quanto ao que as ameaças cibernéticas representam. Não estamos falando apenas de proteger dados e computadores, mas estamos falando de gestão de risco. E, é claro, nenhuma empresa em sã consciência pode imaginar a gestão de riscos dissociada dos temas mais relevantes a serem tratados em conselhos de administração e na alta gestão.
A presença física de um executivo que entenda a relevância da boa proteção de dados no cenário atual também é um passo importante. Até pouco tempo, quando inovação era um tema quente, as empresas disputavam a tapa conselheiros que dominassem essa temática. Seguramente, isso deve começar a acontecer com profissionais experientes que dominem o tema da segurança da informação.
Esse conselheiro deve orientar e supervisionar os esforços dos profissionais de segurança na operação da empresa, na direção de liderar e conduzir reuniões e discussões que promovam a integração da cibersegurança com os demais setores da companhia – para evitar um vazamento, equipes de segurança cibernética são tão importantes quanto de vendas, recursos humanos, jurídico, financeiro, entre outras. Aproximar o dia a dia da equipe de segurança da informação dos demais colaboradores segue sendo a melhor forma de mostrar a importância deste trabalho.
Por fim, a existência de mecanismos dentro da empresa que abordem constantemente os riscos cibernéticos e as estratégias que estão sendo desenvolvidas para enfrentá-los, dá aos tomadores de decisão a oportunidade de servirem em igual medida como educadores e facilitadores, engajando “de cima para baixo” os colaboradores, e certificando-se que projetos adequados de cibersegurança sejam aprovados. Isso é convergente com a percepção de que a principal estratégia de defesa passa pela educação das pessoas e dos colaboradores quanto ao seu comportamento no uso de dispositivos conectados. Educar sempre será muito mais barato e efetivo do que remediar.
Não é por acaso que estamos vendo, recorrentemente, profissionais no C-Level de grandes empresas sendo responsabilizados pelo prejuízo causado por ataques cibernéticos. Ter visibilidade e agir sobre os riscos de uma organização é parte intrínseca do papel de qualquer executivo de alto nível e de qualquer conselheiro em grandes empresas. Por isso essa mudança de mentalidade é urgente. Cibersegurança caminha para se tornar um diferencial competitivo, à medida que contribui de maneira decisiva para assegurar estabilidade operacional e preservação da reputação de qualquer empresa, e isso, sem dúvida, interessa a todas as empresas e conselhos administrativos.
Siga o IT Forum no LinkedIn e fique por dentro de todas as notícias!