O Conselho de Administração tem ciência da exposição da empresa aos riscos cibernéticos?
Prof. Dr. Antonio Celso Ribeiro Brasiliano,
DICS, MCRC, CIEAI, CEGRC, MBCR, CIEAC, CIEIE, CPSI, CIGR, CRMA, CES, DEA, DSE, MBS,
Doutor em Ciências da Informação e Engenharia e Inteligência Estratégica pela Universidade Paris-Est (Marne La Vallée, Paris, França); Doctor Internacional em Ciencias de la Seguridad, pelo CEAS – Internacional – Madrid – Espanha, presidente da Brasiliano INTERISK. abrasiliano@brasiliano.com.br
A pandemia não criou vulnerabilidades; simplesmente trouxe à tona aquelas já existentes. Pode-se argumentar que a falha não está nos conselhos ou na liderança executiva apenas, mas no fato de que toda organização enfrenta uma miríade de riscos em constante evolução. No entanto, uma coisa é certa: a tarefa de se tornar e permanecer resiliente ciberneticamente é quase impossível se os conselhos de administração não tiverem uma compreensão clara dos pontos fortes e fracos da segurança cibernética de suas empresas.
Uma pesquisa realizada, de forma inédita, pelo IIA dos Estados Unidos e a empresa EY, com base na vivência e experiência dos times das duas instituições, captou as perspectivas do CA, da gestão executiva e dos gestores de auditoria interna sobre os riscos mais importantes, fornecendo uma análise aprofundada sobre como essas visões se alinham e como isso afeta a governança geral.
A pesquisa concluiu que o CA deveria de forma afirmativa a seis perguntas consideradas chaves, evidenciando compreensão em profundidade do tema. A pesquisa enfatiza que se a resposta for “não” para qualquer uma delas ou para todas, a empresa deve ter um cuidado extra, pois um “não” para uma pergunta pode impactar muito as respostas às outras. As perguntas são caracterizadas por uma forte interconectividade e motricidade recíproca. Por isso é necessário que as respostas sejam afirmativas.
Estas seis perguntas chaves sobre segurança cibernética passaram a ser chamadas de “As Seis Perguntas Arriscadas”, em inglês “The Six Risky Questions”. São elas:
-
A sua organização realizou uma avaliação recente de riscos cibernéticos em toda a empresa?
-
A sua organização implantou um programa de governança de dados, além da classificação básica?
-
Os riscos cibernéticos e as respostas a eles foram incorporados de forma distinta e formalizada no Processo de Gerenciamento de Crise da empresa?
-
A sua organização realizou uma avaliação recente de riscos cibernéticos em terceiros ou em joint venture?
-
A segurança cibernética está incluída no plano de auditoria interna ou a auditoria interna está sendo colocada para ajudar na segurança cibernética?
-
A eficácia dos controles de segurança cibernética é mensurada e reportada de forma consistente e significativa?
Entendendo The Six Risky Questions
1. A sua organização realizou uma avaliação recente de riscos cibernéticos em toda a empresa?
Para qualquer organização, ter um entendimento completo dos riscos que enfrenta e conduzir uma avaliação de riscos sólida são fatores críticos de sucesso, ou seja são pontos fundamentais. O Conselho de Administração, em função da criticidade do risco cibernético, deve conhecer o framework e os critérios utilizados na empresa para poder questionar, fazer as perguntas necessárias do tipo: foi feita uma avaliação de riscos cibernéticos no último ano? a organização realizou uma avaliação que identificasse riscos cibernéticos relacionados a pessoas, processos e tecnologia para todas as unidades de negócios, regiões e grupos? Esses riscos foram classificados com base no impacto, caso ocorram, e na probabilidade de ocorrerem como riscos inerentes ou residuais? Se sim, quem conduziu a avaliação — a TI, a auditoria interna, ou foi contratado um terceiro? A avaliação seguiu foi orientada com base nas melhores práticas de mercado: NIST SP 800-37 e CSF v1.1, COBIT 2019; ISO 31000, 27002, 27032?
A conclusão decorrente desta pergunta é que, para a maioria das empresas, a resposta coletiva é “não” e, nos casos em que a resposta é “sim”, já se passou tempo demais para que os dados fossem úteis para proteger devidamente a organização.
2. A sua organização implantou um programa de governança de dados além da classificação básica?
A privacidade de dados é uma faceta da segurança cibernética na qual a pesquisa concluiu haver mais confusão e imaturidade do que em quase qualquer outra área. Os regulamentos de privacidade de dados estão surgindo a partir do roubo de identidade, dos crimes cibernéticos desenfreados, do compartilhamento displicente de informações por empresas e do uso malicioso dessas informações. Quase em parceria com essas realidades problemáticas está a falta de uniformidade nos regulamentos nacionais de privacidade de dados. Já existe uma profusão confusa de tais regulamentos, incluindo o General Data Protection Regulation (GDPR) da União Europeia, o California Consumer Privacy Act (CCPA), a Lei de Proteção de Dados Pessoais (PDPA) da Argentina e a Lei Geral de Proteção de Dados Pessoais (LGPD) do Brasil. Espera-se que pelo menos 10 estados dos EUA sigam o exemplo da Califórnia em breve, com seus próprios regulamentos abrangentes de privacidade do consumidor. Até mesmo países da UE promulgaram regulamentos adicionais, como a Lei Federal de Proteção de Dados da Alemanha. Por esta razão, implantar uma governança em empresas, em nível global, fica cada vez mais complicado.
3. Os riscos cibernéticos e as respostas a eles foram incorporados de forma distinta e formalizada no Processo de Gerenciamento de Crise da empresa?
As auditorias internas de TI ou segurança cibernética mais solicitadas vistas pelos profissionais são para a recuperação de desastres de TI ou para dar respostas a incidentes cibernéticos. Essas auditorias identificaram que a segurança cibernética, muitas vezes, não está incluída nos planos gerais de gerenciamento de crises das organizações. As empresas estão percebendo rapidamente que essa é uma grande lacuna.
Os planos tradicionais de resposta a incidentes permitem que a TI recupere ou continue as operações durante ou após um grande evento climático ou outros desastres não cibernéticos.
No entanto, reagir e se recuperar de um incidente cibernético sofisticado exige um conjunto totalmente diferente de atividades e pessoas. Como tal, o risco cibernético deve ter seu próprio plano de gerenciamento de crises.
4. A sua organização realizou uma avaliação recente de riscos cibernéticos em terceiros ou em joint venture?
É raro encontrar uma organização que não se envolva com terceiros de alguma forma. Em defesa de todas, geralmente há um contrato organizado e assinado por cada parte, concordando com os termos que funcionam para todos os envolvidos — caso contrário, por que assinariam?
Uma vez que os contratos são assinados, raramente são examinados novamente, e a conformidade com os termos não é verificada rotineiramente, a menos que seja exigido por um fator orientado para a conformidade, como relatórios SOX. Mais raras ainda são as verificações de rotina para ver se algum novo regulamento, como os regulamentos de privacidade de dados em constante mudança, mencionados na pergunta 2, devem ser incorporados a eles. Além disso, envolver terceiros geralmente é algo específico de um departamento e a TI nem sempre está envolvida. Isso pode levar a lacunas preocupantes na segurança cibernética.
Segundo pesquisas da EY, 36% das organizações tiveram uma violação de dados causada por terceiros nos últimos dois anos, com tendência de aumento no modelo de trabalho remoto. Um fator que contribui fortemente para isso é a falta de verificações de conformidade de rotina.
5. A segurança cibernética está incluída no plano de auditoria interna ou a auditoria interna está sendo colocada para ajudar na segurança cibernética?
Pesquisa da EY de 2020, concluiu que 46% dos conselhos envolvidos no estudo contrataram terceiros para revisar a eficácia do programa de gerenciamento de risco cibernético de suas organizações; 14% não o fizeram, mas pretendiam fazê-lo nos próximos 12 meses, e 39% não contrataram terceiros e nem pretendiam contratar.
Um dos itens citados é o custo, que serve como justificativa para que 4 em cada 10 conselhos não se envolvam em contratar serviços de terceiros. No entanto, o custo não precisa ser uma barreira impenetrável para melhorar a segurança cibernética. Em termos de relação custo versus benefício, a contratação sempre vale a pena. Neste tópico, na experiência da Brasiliano INTERISK, entendemos como falta de visão holística e estratégica do Conselho de Administração a falta de priorização dos riscos cibernéticos.
Fonte: Pesquisa 2021 da E&Y e IIA Estados Unidos – Risky Six
6. A eficácia dos controles de segurança cibernética é mensurada e reportada de forma consistente e significativa?
Esta é a mais motriz das seis perguntas. Se a segurança cibernética não for reportada de uma forma que seja padrão e aceita pela indústria, a mensuração pode ser perdida ou mesmo se tornar imprecisa e enganosa.
Pesquisa da EY de 2020 concluiu que apenas 7% das organizações reportavam ter a capacidade de quantificar financeiramente os impactos das violações. Se uma fração tão pequena de organizações pode quantificar o impacto das violações cibernéticas, é lógico que poucas podem quantificar o valor do esforço despendido no gerenciamento desse risco. Se nenhum dos dois for quantificado, nenhum será reportado com boa granularidade.
Na pesquisa integrada da empresa EY e do IIA, a resposta à pergunta 6, para a maioria das organizações, foi um "não". A responsabilidade por essa não conformidade recai integralmente sobre os conselhos de administração daquelas empresas.
Mas chegar a uma resposta positiva para essas perguntas e criar rotinas para garantir que as respostas permanecerão sendo "sim" é o mínimo que uma empresa deve fazer para ter uma ideia real de onde está a sua resiliência cibernética. Ao Conselho de Administração cabe cobrar, questionar, criticar o Comitê de Auditoria, a gestão executiva, a segurança de TI e cibernética, levando a empresa a dispor de um processo – Framework – estruturado para avaliar riscos inerentes e residuais, com a mensuração da eficácia dos controles.
Fonte: Pesquisa 2021 da E&Y e IIA Estados Unidos – Risky Six
Conclusão
A pesquisa da EY e do IIA concluiu que o Conselho de Administração de qualquer tipo de empresa desenvolve um sentimento de falsa confiança, mesmo com informações incompletas e as vezes sem processos estruturados.
A Brasiliano INTERISK reforça o sentimento de negação de executivos e membros do Conselho de Administração. Citamos a metáfora do Rinoceronte Cinza, cunhado pela economista e autora do Livro The Grey Rhino, Michele Wucker. Segundo Michele Wucker, os rinocerontes cinzas estão em campo aberto para todo mundo ver, mas são ignorados até que seja tarde demais.
Sob esta ótica é que prevalece a segunda linha de defesa da Gestão de Riscos Corporativos. É mais um reforço para a Governança da empresa ser eficaz. Todos os riscos da empresa, seja qual for a taxionomia, devem estar interligados à área de riscos para integração e contínuo monitoramento. Esta é também uma função estratégica que as empresas não podem mais deixar de enxergar!