EY refere-se à organização global e pode se referir a uma ou mais das firmas-membro da Ernst & Young Global Limited, cada uma das quais é uma entidade legal separada. A Ernst & Young Global Limited, uma empresa britânica limitada por garantia, não presta serviços a clientes.
Pesquisas Recentes
Em resumo
- Reforce a conscientização e o treinamento dos funcionários para prevenir ataques cibernéticos.
- Integre a segurança cibernética à estratégia de negócios para garantir proteção e conformidade.
- Adote IA e automação para fortalecer a defesa e agilizar a resposta a incidentes.
A segurança cibernética é um elemento essencial da governança corporativa e deve ser tratada como uma prioridade estratégica pelos conselhos de administração. Para proteger a empresa contra a ameaça crescente de ataques digitais, os conselhos e dirigentes precisam estar bem informados sobre o cenário de riscos e garantir que a estratégia de segurança cibernética esteja integrada às decisões de negócios.
Segundo Demetrio Carrión, Cybersecurity Leader para a EY América Latina, "os conselheiros precisam estudar o tema em um nível executivo e fazer perguntas em pelo menos três níveis — não basta aceitar a primeira resposta; é necessário aprofundar a análise para tomar decisões com segurança."
Afinal, essa postura é essencial para que o conselho compreenda os riscos reais e tenha confiança para definir diretrizes que fortaleçam a proteção da empresa em um ambiente cada vez mais digital e impulsionado por tecnologias como inteligência artificial (IA) e automação.
Phishing, malware, ransomware e deepfake são apenas algumas das ameaças que podem comprometer a operação e a reputação de uma empresa. Para mitigar esses riscos, os conselhos precisam adotar uma abordagem proativa, integrando a segurança cibernética às decisões de negócios e garantindo que a organização esteja preparada para detectar, responder e se recuperar rapidamente de possíveis incidentes.
Carrión ressalta que os conselheiros precisam se aprofundar no tema de segurança cibernética, mas de forma estratégica e em nível executivo. “Com esta base, eles devem fazer perguntas em pelo menos três níveis. O que isso quer dizer? Não aceitar apenas a primeira resposta, mas sim descer pelo menos mais dois níveis para sua compreensão e para que se sintam confortáveis ao tomar decisões”, afirma Carrión.
O Cybersecurity Leader para a EY América Latina destaca que essa postura é ainda mais essencial para conselheiros que não têm uma base sólida em segurança cibernética. Para Carrión, é fundamental que os conselheiros não se sintam intimidados por jargões técnicos. “O conselheiro não deve se inibir frente aos termos técnicos, pois muitas vezes são utilizados como cortina de fumaça”, alerta. Ele reforça a importância de buscar clareza: “Peça explicações, pois até mesmo quem é do ramo não consegue acompanhar a proliferação de siglas.”
1. Compreenda o cenário de segurança cibernética
Conselhos de administração precisam estar atualizados sobre as ameaças emergentes e as vulnerabilidades específicas da empresa. Isso inclui entender os tipos de ataques que a organização pode enfrentar, o impacto potencial em suas operações e as medidas preventivas em vigor. É essencial fazer perguntas detalhadas à equipe de segurança cibernética para garantir uma visão clara dos riscos e das respostas planejadas.
2. Avalie a estratégia de segurança cibernética
Uma estratégia de segurança robusta deve estar alinhada aos objetivos de negócios da empresa. O conselho deve garantir que a organização tenha políticas claras de gerenciamento de riscos, um plano de resposta a incidentes bem definido e processos de conformidade com regulamentações do setor. Além disso, é importante revisar periodicamente essa estratégia para adaptá-la às mudanças no cenário de ameaças e à evolução tecnológica.
3. Explore o potencial da IA e da automação
Inteligência artificial (IA) e aprendizado de máquina (ML) oferecem oportunidades para fortalecer a postura de segurança cibernética da empresa. A automação de respostas a incidentes e a detecção preditiva de ameaças podem aumentar significativamente a capacidade de defesa da organização. Conselhos de administração devem questionar como essas tecnologias estão sendo aplicadas e monitorar seus resultados para garantir que estejam gerando valor real e protegendo os ativos críticos da empresa.
4. Priorize investimentos em segurança cibernética
Dado o impacto potencial de uma violação cibernética, conselhos de administração devem garantir que a organização esteja alocando os recursos necessários para proteger seus sistemas e dados. Isso inclui o financiamento de novas tecnologias, a realização de treinamentos regulares para os funcionários e a contratação de profissionais especializados em segurança cibernética. Uma estratégia bem financiada é essencial para antecipar e responder com eficácia a ameaças.
5. Destaque o valor comercial da segurança cibernética
Segurança cibernética não é apenas uma questão técnica — é também um fator estratégico para a geração de valor. Proteger os sistemas e dados da empresa fortalece a confiança de clientes e parceiros, além de permitir a adoção segura de novas tecnologias e a expansão para novos mercados. O conselho deve comunicar claramente o valor comercial de uma abordagem robusta de segurança cibernética para garantir o apoio da alta liderança e de todas as partes interessadas.
6. Garanta um gerenciamento de riscos eficaz
O risco cibernético deve ser tratado como parte integrante da estrutura de gerenciamento de riscos da empresa. Conselhos de administração precisam revisar periodicamente as avaliações de risco, identificar vulnerabilidades e assegurar que existam controles eficazes para proteger os processos e as cadeias de suprimento. Além disso, é fundamental que o conselho avalie se a empresa tem capacidade para detectar e responder rapidamente a um incidente cibernético.
7. Prepare-se para incidentes cibernéticos
Um plano de resposta a incidentes bem definido é essencial para minimizar os danos em caso de uma violação. Conselhos de administração devem garantir que a diretoria e a equipe de segurança saibam exatamente como agir em um cenário de crise. Isso inclui definir papéis e responsabilidades claras, testar regularmente o plano de resposta e ajustar os procedimentos com base em novas ameaças e experiências anteriores.
8. Estabeleça uma comunicação contínua com o CISO
O Chief Information Security Officer (CISO) é um recurso estratégico para o conselho de administração. Manter um diálogo regular com o CISO e com outros líderes de segurança cibernética permite que o conselho esteja sempre informado sobre o cenário de ameaças, a eficácia das medidas de segurança adotadas e os
investimentos necessários para reforçar a proteção. Essa comunicação constante fortalece a capacidade de resposta da empresa e assegura que a estratégia de segurança cibernética esteja alinhada aos objetivos de negócios.
Resumo
Conselhos de administração têm um papel fundamental na construção de uma estratégia robusta de segurança cibernética. Ao compreender os riscos, investir em tecnologia e treinamento, e garantir um plano de resposta eficaz, as empresas estarão mais preparadas para enfrentar o cenário de ameaças em constante evolução. A integração da segurança cibernética à estratégia de negócios não apenas protege os ativos da empresa, mas também fortalece sua posição competitiva e a confiança de clientes e parceiros.