Artigo: Escopo do CISO se transforma para lidar com cenário de cibersegurança

O estudo “2023 EY Global Third-Party Risk Management Survey”, realizado pela EY em colaboração com a Oxford Economics, destaca que segurança digital é o domínio de risco mais citado nos relatórios de inventário de riscos das organizações, com 61% das empresas considerando esse aspecto. Estudos anteriores apontaram que 35% do valor de uma empresa é referente à sua reputação. Outras pesquisas indicam que companhias já perderam até 20% do valor das ações após ataques cibernéticos. 

Quando se olha para a cibersegurança, fica evidente que enfrentamos hoje um cenário muito mais complexo. A proliferação de regulamentações que endereçam a segurança cibernética amplia os potenciais impactos e a gestão do Chief Information Security Officer (CISO). 

Diante disso, o escopo do CISO vem se transformando e assumindo novos papéis nas organizações. Além de garantir que a empresa esteja de acordo com regulações vigentes, conforme sua área e país de atuação, o que pode incluir LGPD (Brasil), GDPR (União Europeia), EO 14028 (EUA) e a recente Cyber Trust Mark, entre outras, o CISO precisa se preocupar com o treinamento de funcionários em práticas seguras, análise de vulnerabilidades de parceiros, desenvolvimento de habilidades dentro da organização e resiliência da companhia e de terceiros. Aproximadamente 51% das organizações mantêm planos de resiliência integrados para terceiros, enquanto 45% realizam testes de cenários e planos de contingência, segundo a pesquisa da EY.

Para reduzir o risco de ataques, as empresas devem considerar os seguintes pontos:

1) Avaliação abrangente de riscos cibernéticos: As organizações devem realizar avaliações detalhadas dos riscos cibernéticos associados a seus terceiros, considerando aspectos como proteção de dados, privacidade e resiliência digital.

2) Estabelecimento de padrões mínimos de segurança: É fundamental definir requisitos mínimos de segurança cibernética para terceiros, alinhados com as melhores práticas do setor e regulamentações relevantes.

3) Monitoramento contínuo: Implementar processos de monitoramento contínuo da postura de segurança cibernética dos terceiros é essencial para identificar e mitigar riscos em tempo hábil. 

4) Capacitação e conscientização: Investir na capacitação e na conscientização dos terceiros sobre segurança cibernética pode ajudar a fortalecer a resiliência geral da cadeia de suprimentos.

5) Integração com outras áreas de risco ESG: A segurança cibernética deve ser considerada em conjunto com outros aspectos ESG, como governança de dados e proteção da privacidade.

*Esta é uma versão adaptada do artigo publicado inicialmente no The Shift.