O papel da Governança Corporativa na gestão de riscos aplicada à cibersegurança 

O assunto cibersegurança ganhou relevância exponencial ao longo dos últimos dois anos. A pandemia da Covid-19, a crescente transformação digital e o aumento do uso de tecnologia nas mais variadas operações das companhias favoreceram também o aumento do cibercrime. A ocorrência de incidentes cibernéticos com vazamento de dados é uma realidade. De acordo com a consultoria alemã Roland Berger, o Brasil foi o 5º país que mais sofreu crimes cibernéticos em 2021. Dito isso, sofrer um ataque cibernético deixou de ser uma questão de “se”, e se tornou uma questão de tempo.

Ataques cibernéticos afetam diretamente as relações comerciais da empresa

Atualmente, o risco cibernético é o risco de sustentabilidade mais iminente que as empresas enfrentam. As organizações que não implementarem uma boa governança em segurança cibernética, estarão mais suscetíveis a ataques, o que, por sua vez, impacta diretamente na estabilidade e no ecossistema da companhia e seus stakeholders. Dados recentes do Gartner revelam que 56% dos clientes (B2B e B2C) já estão expressando interesse e preocupação frequentes na postura de segurança cibernética das organizações com as quais fazem negócios. E até 2025, 60% das organizações usarão o risco de cibersegurança como fator determinante na realização de transações de terceiros e engajamentos comerciais.

Por consequência, investidores e regulamentação governamental incentivam organizações a adotarem o ESG também na segurança cibernética, relatando metas e métricas de segurança dentro de seus esforços ambientais, sociais e de governança como um requisito de negócios. Segundo o Gartner, até 2026, 30% das grandes organizações terão publicamente compartilhado metas ambientais, sociais e de governança (ESG) focadas em cibersegurança, contra menos de 2% em 2021.

Cibersegurança: uma prioridade de todos

Uma vez que um ataque cibernético pode gerar perda de todos os tipos e danos à reputação da empresa, engana-se quem pensa que os Gerentes de Tecnologia são os únicos interessados e responsáveis pela segurança cibernética da companhia. De acordo com o Gartner, 88% dos conselhos das empresas consideram a segurança cibernética como um risco para os negócios, em vez de apenas um problema técnico da Tecnologia da Informação. Nesse sentido, é indispensável que as áreas de negócios e TI trabalhem juntas na gestão de riscos cibernéticos.

Ainda segundo um estudo do Gartner, pelo menos 50% dos C-Levels terão requisitos de desempenho relacionados ao risco e gestão de segurança cibernética incorporados em seus contratos de trabalho até 2026.

Como CFO, minha preocupação está voltada para a prevenção de danos potenciais e vazamento de dados financeiros e fiscais, uma vez que ataques cibernéticos podem acarretar perda e exposição de dados e estratégias, perda de clientes, da receita e do valor da empresa, interrupção das operações, multas e litígio, e, principalmente, evitar um dano reputacional irreparável. Segundo a pesquisa realizada em 2022 pela IBM com 550 organizações em 17 países, mesmo com inúmeras tecnologias voltadas para a segurança cibernética, o custo das violações de dados continua aumentando. No Brasil, por exemplo, o impacto financeiro de um ataque cibernético custa em média R$ 7.17 milhões para a empresa.

Quais estratégias adotar?

Nesse sentido, é preciso adotar uma abordagem holística e envolver vários setores da empresa na construção de processos que minimizem o risco de ser vítima de um crime cibernético. Vale salientar também que incorporar a segurança cibernética vai muito além de investir em tecnologias de proteção de dados, é preciso promover a cultura da cibersegurança dentro das empresas.

Para isso, há uma série de boas práticas alinhadas a gestão de riscos da organização, e que precisam ser adotadas como a divisão de GRC (Governança, Riscos e Compliance) que irá aumentar significativamente nossa conscientização nesse tema, nos ajudando no planejamento, nas políticas na gestão, controle e compliance. Uma boa gestão de riscos cibernéticos contribui para a segurança e a sustentabilidade da organização, e permite o aperfeiçoamento constante com foco na resiliência cibernética.

E você, o que tem feito para responder de forma defensiva e efetiva aos ataques e violações de cibersegurança?

Autor: Gláucio Barros.

Cibersegurançasecuritysegurança

Deixe seu comentário

CANAL DE ÉTICA E CONDUTA

O Código de Ética e Conduta da AMcom expressa a forma de atuação da empresa em todos os seus negócios, orientando o modo pelo qual seus colaboradores e terceiros devem se comportar e agir em relação aos temas nele abordados.

Ele reúne as principais diretrizes éticas, normas internas e o dever de conformidade com leis e normas externas, especialmente aquelas voltadas ao combate à corrupção, suborno e lavagem de dinheiro, ao assédio e a toda e qualquer prática irregular.

Ele dispõe, ainda, de regras relacionadas aos comportamentos desejados na empresa e que devem ser adotadas por todos, e estimula que seja utilizado o Canal de Denúncia imediatamente caso haja qualquer violação ao código.