Regulamentação da SEC enfatiza presença de CISOs em conselhos

Apesar de todo o crescimento do setor de segurança e da multiplicidade de empresas, soluções e serviços ao mercado, em resposta aos contínuos ataques de ransomware, apenas 12% dos CISOs tem assento e/ou participam em comitês junto ao conselho das empresas.

Evidente desequilíbrio entre as forcas de mercado e os dogmas de governança corporativa que certamente serão alterados seja pela própria dinâmica do mercado altamente competitivo seja de forma impositiva por regulamentações mais rígidas com a SEC (Securities and Exchange Commission) irá implementar visando prover de transparência aos usuários, clientes e investidores.

Segundo pesquisa do Gartner Group, cerca de 40% dos conselhos terão um comitê dedicado a riscos cibernéticos em 2025 um aumento expressivo contra menos de 10% em 2020. Neste aumento de controles e gestão para os riscos digitais a mesma pesquisa aponta que cerca de 30% das grandes empresas criaram lideranças departamentais para o tema gerando o novo conceito do BISOs (Business Information Security Officer) dedicado a gestão das características de cada uma das linhas de negócios, reportando a um CISO corporativo.

Considerando que o aumento dos resgates contra-ataques por ransomware e as cadeias de valor atingirão 63% das empresas vítimas contra 45% em 2019, significa que o patamar aceitável de prejuízos ultrapassou uma provisão inicial disparando o alarme dos conselhos para um melhor entendimento da questão. Segundo o Gartner 83% das empresas pesquisadas sofreu incidentes cibernéticos em 2021 a um custo médio de U$ 4.35 milhões de dólares, o mais elevado dos últimos 17 deste tipo de estudo.

Não tenho dúvidas desta tendencia e a 2ª pergunta que se coloca será que tipo de papel o profissional de segurança cibernética irá desempenhar. Por experiencia própria sinto que a tendencia está mais dirigida a uma atuação tática nos problemas do dia a dia versus o ideal que seria um apoio estratégico e de longo prazo sobre as tendencias do mercado e posicionamento sobre o apetite de riscos da organização.

Neste novo desenho de funções, BISOs por linhas de negócios, CISO corporativos reportando ao CIO ou diretamente ao CEO, em função da natureza do negócio, não deveria haver nestes comitês de assessoramento aos conselhos uma espécie de dupla validação das decisões já tomadas no plano operacional.

Como jamais haverá 100% de proteção, o mundo externo irá tornar-se continuamente mais agressivo e subindo os preços dos resgates as perguntas principais que os conselhos devem responder aos acionistas e órgãos reguladores estarão voltadas a justificar (por modelos quantitativos) os investimentos feitos em tecnologias de defesa, quanto de exposição a riscos a organização está vulnerável e quais as contramedidas serão ativadas no caso da concretização de situações de ataques.

Não caberão discussões técnicas junto aos conselhos, mas uma linguagem puramente financeira colocando na balança estas variáveis e tomando as melhores decisões possíveis equilibrando os orçamentos disponíveis contra os níveis de riscos expostos e o custo das tecnologias de defesa e/ou contenção.

* Leonardo Scudere é Cyber Security Sales & Strategy; Risk Management; Digital Transformation Executive – THUNDERBIRD, the American Graduate School of International Management