Gestão de Riscos: atividade que requer o envolvimento de todos
Décio Luís Schons, CIEAI, CEGRC, CIGR, CISI
General-de-Exército da Reserva, é Vice-Presidente de Operações de Consultoria da empresa Brasiliano INTERISK
Fevereiro | 2022
As mudanças acentuadas ocorridas ultimamente na nossa sociedade provocaram, além de outros efeitos notáveis, uma aproximação antes inimaginável entre as instâncias decisórias nas organizações, sejam elas públicas, sejam privadas. A gestão de riscos corporativos é uma das áreas em que tal fato tornou-se mais evidente.
Antes dos eventos acima referenciados, a instituição do Conselho de Administração nas empresas já havia sido consagrada como uma das boas práticas de governança corporativa mais valorizadas no mundo dos negócios.
De fato, o Conselho de Administração é o órgão responsável por definir as grandes linhas que devem nortear as ações da organização, estabelecendo sua missão, visão e valores e, a partir daí, assinalar os objetivos estratégicos a serem perseguidos pela totalidade do corpo orgânico. As decisões tomadas no âmbito do Conselho dizem respeito a um horizonte de médio e longo prazo e seus reflexos afetam, de forma muito especial, a continuidade da empresa. Ele simboliza o profissionalismo que deve nortear todas as atividades empresariais, seja nas empresas públicas, seja nas sociedades por ações, seja ainda nas empresas familiares. Nestas últimas, por sinal, a importância do Conselho é ressaltada ao apresentar-se como um corpo isento e imparcial diante das dificuldades que a tomada de decisões pode enfrentar, dado o embate nada incomum entre os interesses pessoais e familiares de um lado e os interesses da empresa de outro.
Cabe ao Conselho de Administração manter um olhar vigilante sobre todos os setores da empresa, para certificar-se de que as grandes linhas estratégicas estejam sendo acatadas e seguidas e de que todos os integrantes da organização avancem em uníssono na perseguição dos objetivos estabelecidos. Cabe-lhe também baixar as diretrizes estabelecendo a metodologia de trabalho e de controle interno.
Quando o Conselho de Administração foi idealizado, não se imaginava que ele viria a se envolver em assuntos mais imediatos, relativos ao dia a dia da empresa – para isso, pensava-se, existe a Diretoria Executiva e todo o staff a ela subordinado. Mas os tempos mudaram e hoje o Conselho é responsável pela tomada de decisões de impacto no que se refere à gestão de riscos, já que ele integra a 3ª Linha de Defesa, na qualidade de ultima ratio de todo o arcabouço montado com essa finalidade em qualquer organização. Essa atribuição, no entanto, não parece ter sido bem compreendida por muitos integrantes de conselhos, em particular no que diz respeito aos riscos cibernéticos e aos demais riscos a eles associados. As razões para tal não são difíceis de entender.
Por uma questão de associação intelectiva, é corrente no meio empresarial a noção de que, ao tratar da gestão de riscos que envolvam ativos de tecnologia da informação, o gestor dos riscos, o CSO (Chief Security Officer – Diretor de Segurança da Empresa), deverá ser um especialista da área de informática. As consequências dessa decisão são bem conhecidas.
A primeira dificuldade que normalmente se apresenta são as barreiras de comunicação: de um lado o Conselho de Administração, integrado por circunspectos homens de negócio que não pertencem à área de TI nem têm com ela familiaridade; de outro, o especialista, fazendo uso do jargão técnico para defender o enfrentamento das ameaças cibernéticas com os recursos mais modernos (e, portanto, mais caros) do mercado.
O que acontece na sequência, na maioria dos casos, é a alienação pura e simples dos executivos e uma atitude de “vamos deixar este assunto para quem entende” ou “isso não é da minha área”. Se a empresa consegue destinar os recursos pleiteados pelo CSO para o enfrentamento das ameaças, há uma sensação geral de alívio, pois afinal a situação está sendo administrada pelos especialistas e a Alta Direção apoia com tudo que foi solicitado.
É muito comum a disposição do aparato de segurança cibernética em “fechar todos os acessos”, de modo a impedir qualquer forma de ataque cibernético mediante a pura e simples instalação dos controles mais avançados em todos os sistemas. Acontece que, normalmente, aquele que procura ser forte em toda a superfície de ataque consegue no máximo oferecer uma resistência mediana, e isso é tudo que o hacker deseja.
A experiência mostra que, em qualquer planejamento operacional, deve ser adotado um sistema de priorização. É como diz o velho aforisma: primeiro o mais importante, e o mais importante na gestão de riscos cibernéticos, são aqueles ativos que, na Brasiliano Interisk, costumamos chamar de “as joias da coroa”.
As joias da coroa, basicamente, são representadas pelos sistemas críticos, pelos processos críticos e pelas informações críticas, tudo isso envolvido pela ação das pessoas que gerenciam esses ativos e que constituem o elo mais vulnerável da cadeia de proteção cibernética.
O primeiro passo na gestão de riscos cibernéticos será, dessa forma, determinar as joias da coroa e dar-lhes prioridade em termos de segurança e proteção. O foco, nesta fase, deve estar, não na tecnologia, mas nas ameaças aos ativos e às atividades críticas, embora as vulnerabilidades tecnológicas e as soluções para lhes fazer face venham a constituir fatores decisivos no prosseguimento das ações.
Voltamos aqui a enfatizar a importância do envolvimento do Conselho de Administração da organização no processo, pois que outro órgão terá condições de apontar os ativos e atividades críticos para o negócio e de estabelecer prioridades entre eles? Essa responsabilidade não pode, de forma alguma, ser delegada a funcionários no nível técnico-operacional, por mais especializados e competentes que sejam. Trata-se, nada mais, nada menos, de tomar decisões e fazer escolhas que podem, em última análise, representar a diferença entre o sucesso e o fracasso no enfrentamento de ataques cibernéticos, com as conhecidas repercussões sobre a saúde financeira da organização.
Identificadas e priorizadas as joias da coroa, deve-se buscar as suas vulnerabilidades e planejar as defesas que podem minimizá-las, quando não for viável eliminá-las por completo. Nesta fase, é vital a participação de todos os integrantes da força de trabalho, dos integrantes do Conselho até os operadores de máquinas e equipamentos, pois muitas das defesas mais eficazes consistem exatamente nos cuidados com senhas e outros procedimentos simples e aparentemente banais.
Comunicação, para utilizar outro-lugar comum, é aspecto chave para o sucesso da empreitada. Da maior ou menor habilidade em levar ao público-alvo noções sobre a importância e os cuidados que todos precisam ter no trato do tema dependerá em grande parte o sucesso na gestão de riscos cibernéticos. E aí, ainda uma vez, a participação do Presidente e dos integrantes do Conselho, expondo suas opiniões e proporcionando o exemplo de conduta no enfrentamento do problema, ensejará, sem dúvida, os melhores resultados.
Tiramos partido de um assunto muito em voga no momento, a gestão de riscos cibernéticos, para ressaltar a importância decisiva da participação do Conselho de Administração em decisões que, à primeira vista, não se encontrariam incluídos em sua pauta decisória. O mundo se transformou, as distâncias físicas perderam em grande parte o significado e decisões e atitudes que até há pouco tempo exigiriam um prazo considerável para serem gestadas agora precisam tomar corpo em prazos muito exíguos. Do mesmo modo, crises que antes tomavam algum tempo para serem caracterizadas hoje se instalam quase que instantaneamente. O olhar vigilante em todos os níveis hierárquicos é determinante para prevenir ou, se isso não for possível, mitigar a escalada da crise e suas funestas consequências.
É preciso ser dito que um número ponderável de empresas já conta com profissionais especializados em tecnologia da informação como integrantes de seus conselhos de administração. Isso não invalida, de forma alguma, as considerações acima colocadas. Muito ainda precisa ser feito para que o Conselho de Administração assuma de vez o seu papel de impulsionador dos processos de gerenciamento de riscos em suas organizações.
Esperamos assim haver levado ao público interessado, em breves palavras, uma noção da importância do envolvimento de todos os colaboradores das organizações, do chão de fábrica à Alta Direção, na gestão de riscos e, de forma particular, na gestão de riscos cibernéticos. No mundo interconectado em que vivemos, não há espaço para omissões, para atitudes de “deixa estar como está para ver como é que fica”. Agir é preciso.