21.4 C
São Paulo
quinta-feira, abril 3, 2025
InícioColunistasCibersegurança como pauta estratégica: o que os Conselhos de Administração precisam entender...
Colunistas

Cibersegurança como pauta estratégica: o que os Conselhos de Administração precisam entender e fazer agora

Cassio Menezes
Por Cassio Menezes
Uma imagem elegante, de estilo corporativo, de um cadeado integrado a uma placa de circuito digital, simbolizando forte segurança cibernética. O fundo mostra um ambiente de escritório com profissionais trabalhando em laptops e tablets. Cibersegurança
Imagem gerada por inteligência artificial

Nos últimos anos, a cibersegurança deixou de ser apenas um tema técnico da área de TI para se tornar uma questão crítica de governança corporativa e de negócio. A evolução tecnológica, digitalização constante e a inteligência artificial pervasiva acelera cada vez mais a exposição das organizações a riscos cibernéticos e, simultaneamente, os crimes eletrônicos se alastram de maneira organizada e preocupante. O resultado? Crescentes impactos operacionais, financeiros e reputacionais — com conselheiros sendo cada vez mais cobrados por sua diligência.

A imprevisibilidade dos riscos cibernéticos já não permite que a segurança da informação seja tratada como função de retaguarda. Ela passou a ser um componente essencial da estratégia de resiliência e de continuidade do negócio. Para os conselhos e executivos da alta liderança, isso significa assumir um papel mais ativo na supervisão da maturidade cibernética e garantir que decisões críticas considerem, desde a origem, o impacto potencial de falhas de segurança.

Por que o Conselho deve liderar essa pauta?

A segurança cibernética sustenta a confiança em todo o ecossistema organizacional, sendo um componente indissociável da viabilidade e da credibilidade de qualquer negócio. Ataques podem paralisar operações, destruir reputações, gerar multas regulatórias milionárias e desvalorizar marcas construídas ao longo de décadas. Em setores mais sensíveis — como saúde, financeiro ou infraestrutura — o impacto pode ser ainda mais grave, afetando diretamente a segurança de pessoas.

É o Conselho que, em última instancia, tem a responsabilidade fiduciária e precisa supervisionar e alinhar as ações de governança ao apetite de risco da organização. Em casos de incidentes, o respaldo legal depende da capacidade do board de comprovar que supervisionou adequadamente os riscos cibernéticos, garantindo que estejam sendo endereçados de maneira razoável.

Neste contexto em que o Conselho deve ser responsável pela supervisão dos riscos estratégicos, há principalmente 3 pontos que vale destacar:

  1. Garantir que a estratégia de segurança esteja alinhada à estratégia do negócio.
  2. Supervisionar planos de resposta e recuperação a incidentes.
  3. Acompanhar a maturidade do programa de cibersegurança ao longo do tempo.

Onde as empresas e os conselhos ainda falham?

Apesar do avanço da pauta, muitas organizações continuam tratando segurança como um tema exclusivamente técnico e operacional. Isso resulta em:

  • Falta de visibilidade sobre os ativos mais críticos da empresa.
  • Inexistência de planos testados de resposta a incidentes.
  • Riscos ocultos em parceiros, fornecedores e sistemas legados.
  • Indicadores de risco inexistentes ou desconectados do negócio.

Em termos práticos, há Conselhos que periodicamente recebem relatórios com avaliações e indicadores técnicos e incompreensíveis a alta liderança, mas não fazem perguntas básicas como: “Qual seria o impacto de um sequestro digital em nossa operação core?” ou “Estamos prontos para reagir rápido e comunicar um incidente em conformidade com as exigências legais?”

O que os Conselhos precisam perguntar agora

Os conselheiros que têm assumido de fato seu papel na governança de riscos cibernéticos, estão buscando clareza sobre temas essenciais:

  • Qual é o atual nível de maturidade em segurança da informação? (Baseado em frameworks de mercado como NIST, CIS ou ISO, por exemplo)
  • Quais são os ativos mais críticos e como estão protegidos?
    (Não apenas sistemas, mas processos de negócio e dados)
  • Há um plano de resposta a incidentes revisado e testado periodicamente? (Simulações e exercícios de crise são essenciais)
  • Quais são os principais riscos relacionados a terceiros, fornecedores e integrações? (A cadeia de valor tem sido um vetor crescente de exposição)
  • Estamos preparados para comunicar e recuperar a operação e preservar a reputação em caso de crise? (Riscos reputacionais exigem planos de resposta e comunicação estruturados)
  • Os investimentos em segurança estão alinhados ao risco que enfrentamos e ao apetite de risco da empresa? (os recursos sejam em equipes, processos ou tecnologias precisam ser aplicados de forma proporcional a estratégia e ao apetite de risco da organização)

Como estruturar a governança de cibersegurança no Conselho

Com o entendimento da cultura e do negócio, deve-se formalizar uma governança com responsabilidades claras e métricas a serem acompanhadas ao longo do tempo. Algumas ações práticas incluem:

  • Incluir segurança cibernética como item recorrente na pauta do comitê executivo e comitê de riscos.
  • Envolvimento diligente do CISO em iniciativas estratégicas, como um M&A, por exemplo.
  • Aprovar indicadores de riscos e de performance para acompanhamento executivo.
  • Avaliar contratação de seguro de risco cibernético, com base em avaliação de impacto.
  • Estimular uma cultura organizacional que trate segurança como responsabilidade compartilhada.

O conselheiro diligente exige organizações resilientes

A capacidade de resistir, responder e se recuperar de um incidente cibernético passou a ser uma métrica de resiliência de negócio. Os conselhos das empresas têm compreendido isso cada vez mais profundamente e isso os torna muito mais preparados para preservar valor, proteger a reputação e garantir os interesses de investidores e clientes.

Segurança cibernética não deve ser tratada como um entrave à inovação, mas como um componente indispensável para que ela aconteça com responsabilidade e consistência. A segurança cibernética não será e nem deve ser encarada como o principal assunto de uma pauta na alta administração. Contudo, em um cenário onde a tecnologia impulsiona o crescimento, deixar a segurança fora da pauta (ainda que com alguma periodicidade) é permitir riscos invisíveis comprometam decisões estratégicas. Quando incorporada à governança, a cibersegurança deixa de ser um custo defensivo e passa a representar visão de futuro, solidez institucional e respeito aos stakeholders.

Nota: Este artigo reflete exclusivamente minha visão pessoal sobre o tema abordado. Os exemplos, situações e reflexões aqui apresentados não se referem e nem estão vinculados a projetos, atividades ou contextos específicos dos meus empregadores, atuais ou anteriores, e tampouco derivam de quaisquer informações confidenciais ou internas.

Siga o Itshow no LinkedIn e assine a nossa News para ficar por dentro de todas as notícias do setor de TI e Telecom!

Artigo anterior
Equinix assegura normalização dos serviços após incêndio em data center SP4, em Barueri
Próximo artigo
ChatGPT Agora no Google Drive e Slack: Como Essa Integração Está Mudando a Rotina das Empresas
Cassio Menezes
Cassio Menezes
Cassio Menezes é um executivo com mais de 24 anos de experiência em tecnologia e segurança cibernética, com atuação nos mercados de telecomunicações, financeiro e saúde, onde tem liderado iniciativas para proteção de infraestruturas críticas e gestão de riscos cibernéticos. Certificado CISSP pelo (ISC)², Cassio tem uma trajetória consolidada em empresas de grande porte, com foco na segurança da informação, gestão de riscos e inovação tecnológica.
Postagens recomendadas
Outras postagens
Carregar mais

Itshow

O seu portal de noticias sobre ti e telecom.

Redes sociais

Transformação digital
Liderança de ti
Cloud
Infraestrutura de TI
Cibersegurança
Podcast
Quem somos
Fale conosco
Política de privacidade
Termos de uso

© Itshow

A company part of BIZ GROUP