Por que ter um(a) CISO no Conselho de Administração?

CISO = Chief Information Security Officer

ATENÇÃO: Imagine-se, como CEO ou Presidente do Conselho de Administração, sendo surpreendido com uma notícia catastrófica informando que seu negócio pode ser destruído ou severamente impactado por um ataque de cibernético. Ou ainda, descobrir que todos os dados médicos ou financeiros dos seus 20 milhões de clientes estão nas mãos de criminosos e que toda sua estratégia dos próximos 10 anos se tornou pública. E se, no resultado trimestral, for reportada uma linha contábil de R$ 1 bilhão de prejuízo devido a um incidente de segurança. Não estamos falando de ficção ou uma cena de filme; essa é dura realidade de hoje. Aqueles que já enfrentaram situações assim compreendem plenamente o que estou afirmando aqui.

O Risco Cibernético, que não reconhece fronteiras, atingiu patamares inimagináveis. Originado por um inimigo oculto que dispõe de tempo, organização impecável, preparo, enorme poder financeiro, extenso conhecimento adquirido, que está altamente motivado e, o mais crucial, que NÃO TEM NADA A PERDER. Em face disso, um incidente cibernético torna-se uma inevitabilidade

O Conselho de Administração, na qualidade de guardião da estratégia empresarial e protetor da reputação da empresa, desempenha um papel vital na gestão dos riscos e apoio ao fortalecimento da segurança cibernética. Num mundo dominado pelos modelos digitais de negócios, esta responsabilidade é essencial para garantir a resiliência e o sucesso contínuo das organizações.

Para cumprir essa responsabilidade, o conselho deve se submeter a uma vigilância incisiva, praticar observação e análise crítica, fornecendo insights não apenas construtivos, mas transformadores para os programas de segurança cibernética. Isso não é apenas uma necessidade operacional, mas uma urgência vital, uma vez que a escalada dos ataques cibernéticos ocorre a uma velocidade que desafia a própria maturidade das empresas. É uma corrida desenfreada onde ficar à frente não é uma opção, mas uma imperativa estratégica.

Contemple o resultado da seguinte fórmula:

Impacto de um Incidente de Cyber Security = Perda de Valor da Marca + Queda nas Ações + Perda de Clientes + Impacto Financeiro + Impacto Reputacional + Impacto Operacional + Impacto Regulatório + Perda Estratégica + Perda de Talentos + Custo Brutal de Remediação e Recuperação + Agressivo impacto emocional nas equipes de Tecnologia e Cyber Security + + + + + + + + + + + + + + + + + + + + + + + …

Por que que esperar passivamente por isso? Detecção e Prevenção não são apenas estratégicas, são imperativos incontornáveis! E, quando o inevitável acontecer, resposta e recuperação representarão não uma escolha, mas a ÚNICA chance de sobrevivência!  

Considerações Relevantes:

1. Previsão do GARTNER: Até 2026, a previsão é que 70% dos Conselhos terão pelo menos 1 conselheiro com expertise em Cyber Security. O futuro não está apenas se encaminhando para essa direção; está exigindo isso.
2. WEF (World Economic Forum): O documento “Global Cybersecurity Outlook 2022,” elaborado por líderes mundiais e especialistas em segurança cibernética, não deixa espaço para interpretação dúbia: a recomendação imperativa para executivos de negócios é clara – eleve a Cyber Segurança e Resiliência para o cerne da estratégia de negócios.
3. SEC (Securities and Exchange Commissions): Em uma jogada estratégica significativa, a SEC aprovou a entrada em vigor, a partir de Dez/23, da publicação SEC 33 – 11216 Cyber Security, Risk Management, Strategy, Governance and Incident Disclosure. Esta não é apenas uma diretriz; é um mandato firme. Incidentes cibernéticos materializados devem ser reportados em até 4 dias úteis; o processo de gestão de riscos e estratégia deve ser evidenciado nos formulários anuais; e o conselho é encarregado de supervisionar rigorosamente o programa de segurança cibernética

Aqui estrutura o ponto central de conexão entre o Conselho de Administração e a Segurança Digital das empresas: a urgência de um conselheiro dedicado para Cyber Security, cuja missão é fortalecer e sustentar o programa de proteção digital dos negócios.

O Perfil Essencial do Conselheiro em Cyber Security:

O conselheiro ideal deve personificar uma fusão precisa entre uma compreensão profunda das complexidades da cibersegurança e uma experiência robusta em liderança empresarial e governança corporativa.

É imperativo que esse conselheiro possua uma visão aguçada das ameaças cibernéticas e domine as melhores práticas em segurança. Além disso, deve ser dotado da habilidade única de traduzir questões técnicas em linguagem de negócios acessível ao Conselho. A sua força política é crucial para elevar a cibersegurança à condição de prioridade estratégica, fomentando a colaboração entre o CISO e os demais membros do conselho e da alta liderança.

A nomeação de um ex-CISO ou atual CISO de empresas como conselheiro dedicado em cibersegurança confere uma vantagem competitiva inestimável. Esses profissionais polivalentes têm a capacidade singular de fornecer insights incalculáveis para o conselho, abordando aspectos que vão desde riscos e resiliência até talentos, estratégias de negócios, tecnologia, inovação e uma gama variada de outros desafios. Sua presença é um trunfo estratégico crucial para manter a empresa à frente das ameaças digitais em constante evolução.

O Perfil do CISO:

O CISO está imerso em um cenário de extrema complexidade, enfrentando adversários poderosos, ameaças internas, rápida evolução tecnológica, constante inovação, uma marcante lacuna de talentos e, sobretudo, os ambiciosos objetivos das empresas. Diante disso, surge a demanda por uma nova geração de profissionais de segurança que sejam mais do que meros guardiões, mas também vigilantes, estrategistas, comunicadores excepcionais, negociadores habilidosos, resilientes, ponderados, racionais e controlados, conselheiros confiáveis, inovadores incansáveis, conhecedores de negócios distintos e agentes disruptivos na vanguarda da cibersegurança.

Chamada para a Ação:

[Call To Action 1] – Convoco Presidentes de Conselhos, CEOs, Conselheiros, Executivos C-Levels, Advisors, Docentes, Consultores e Executivos em geral a não apenas refletirem, mas a agirem diante da realidade iminente do Risco Cibernético. Isso envolve não apenas uma revisão profunda da estrutura hierárquica de reporte dos CISOs, mas também a consideração séria da recomendação fundamental de um conselheiro com o perfil de Cyber Security.

[Call to Action 2] – Faço um forte apelo aos CISOs e às equipes de segurança para se prepararem para esta nova revolução. Aqui não se trata apenas de tecnologia; é sobre adotar uma mentalidade de ZeroTech. Mais do que nunca, é sobre comunicação efetiva, construção de relacionamentos de confiança, visão estratégica, conhecimentos multidisciplinares, compreensão do negócio e do risco, governança, ESG (Ambiental, Social e Governança), gestão de talentos, inovação, estratégia, e uma gama diversificada de outros segmentos.

Lembrem-se, a Segurança Digital não é meramente uma batalha a ser vencida; é uma Guerra Infinita. A hora de agir é agora!

Créditos: Bruno Moraes – via Linkedin

Cyber Security, Privacy and Risk Management Executive | CISO | Board Advisor | Career Mentor | Cyber Security Transformation | CISSP, CISM, C|CISO

Origem do Artigo: Linkedin