Sabe quando uma organização se encontra em maior risco cibernético? Quando a alta direção do negócio se limita ao papel de espectador diante do tema segurança em tecnologia da informação. Ou seja, ainda que estejam cientes das vulnerabilidades dos ambientes digitais da companhia, esses executivos – também conhecidos como bystanders – demoram para tomar decisões ou se posicionar diante da apresentação de propostas de boas práticas de segurança da informação.
Os riscos da inércia de decisão
Em organizações nas quais os bystanders dificultam a evolução de projetos de segurança da informação, em geral, perde-se muito dinheiro com ações corretivas, em vez de investir adequadamente nas preventivas. Faz-se o básico, o que é possível, dentro do contexto gestão da segurança da informação. Como se ele fosse suficiente ou adequado. Nessas empresas, é comum a necessidade de liberação de verbas emergenciais e não programadas para aderir a boas práticas de segurança da informação que possam corrigir estragos causados por ataques de ransomware, paralisação da operação ou sequestro de dados. Em geral, a conta paga pela insegurança é brutalmente maior que o investimento em uma ação estruturada e consciente em segurança da informação.
Inclua governança corporativa nas boas práticas de segurança da informação
Em busca de elevar o nível da gestão da segurança da informação, os conselhos de administração de algumas empresas têm se mostrado mais focados no tema cibersegurança, tornando-se um importante ponto de apoio para CISOs e CIOs. Os mais engajados nesse posicionamento tem sido os conselheiros independentes, que por atuarem em diferentes projetos de segurança em tecnologia da informação, têm uma agenda de educação permanente. Estes costumam complementar conhecimentos com base em guidelines dos organismos de governança corporativa, como o do Instituto Brasileiro de Governança Corporativa (IBGC) e a Organização dos Estados Americanos.
Existe, ainda, a prática de criar um comitê de risco presidido por um membro do conselho de administração e integrado, entre outros membros, pelo CIO e pelo CISO da companhia, além de consultores independentes. É importante destacar que essa é uma tendência e que, de acordo com previsões do Gartner, até 2025, 40% dos conselhos de administração vão demandar que os comitês de cibersegurança, auditoria e risco sejam três grupos independentes.
O objetivo desse novo viés na estrutura na governança corporativa é reunir pessoas com os mais diferentes perfis, conhecimentos e interesses em prol do mesmo objetivo, que são as boas práticas de segurança da informação. Assim, amplia-se a capacidade, os recursos e as informações para a tomada de decisões mais efetivas e estratégicas, com a agilidade necessária.
Sabemos o quanto é desafiador para a equipe conciliar as demandas do dia a dia com ações estratégicas, principalmente com o déficit de mão de obra qualificada e do quadro de colaboradores cada vez mais enxuto. Acreditamos que, em casos como esse, o melhor caminho é contar com um parceiro terceirizado para otimizar a estrutura e atuação do time. Nós podemos te ajudar. Vamos fazer um projeto juntos?
