Uncategorized

Quatro maneiras de evitar ser o próximo alvo de um hacker

A segurança cibernética é um tópico caro a todas as empresas. Você provavelmente ouviu o alerta de quando um ataque contra a Target custou à empresa USD 236 milhões em despesas relacionadas à violação, além de danos graves à reputação. O diretor geral (CEO) e o diretor de tecnologia da informação (CIO) perderam o emprego logo após o episódio. O Institutional Shareholder Services, por sua vez, recomendou que os investidores votassem contra sete membros do conselho, por sua incapacidade de proteger a empresa. Mas ficar à frente do problema não é fácil — os invasores mudam suas táticas tão rápido quanto as empresas implementam novas medidas de segurança.

Apesar dos enormes riscos e desafios, é possível adotar medidas para assegurar-se de que a sua empresa está realmente se protegendo. Com base na experiência da Diligent de auxiliar conselhos de administração ao redor do mundo, recomendamos um conjunto de práticas básicas para afastar os hackers de seus sistemas:

Defina a segurança cibernética como uma prioridade na agenda… Não basta colocá-la na agenda do conselho. Este tópico merece mais atenção. Um estudo da NYSE constatou que a segurança cibernética faz parte da agenda da maioria dos conselhos de administração. Mais de 80% dos entrevistados contam que discutem assuntos relacionados à segurança cibernética em cada reunião ou na maioria das reuniões. Porém, quando se trata de introduzir novas soluções tecnológicas, a mesma pesquisa constatou que ameaças à segurança estão relegadas a segundo plano entre as preocupações dos diretores — atrás da receita potencial, da diferenciação competitiva e dos custos de desenvolvimento. A segurança cibernética não precisa ser o primeiro item na agenda de todas as reuniões. No entanto, se estiver sempre no final da lista, não terá o destaque que merece.

…Mas não se perca em detalhes. Promover a importância da segurança cibernética na agenda não significa que você, como membro do conselho, deve aprofundar-se em detalhes técnicos. Em vez disso, uma ou duas vezes por ano, peça ao CIO ou ao diretor de segurança da informação (CISO) para atualizá-lo sobre as maiores ameaças enfrentadas pela empresa, os processos implantados para detectá-las e gerenciá-las, bem como os planos de resposta a crises. Pressione a equipe de segurança da informação a realizar uma estratégia “pre-mortem”, para avaliar o que teria acontecido se um ataque sofrido por outra empresa tivesse acontecido com a sua. Verifique se a equipe está atenta a todos e a tudo no que se refere à tecnologia, de fornecedores a aplicativos, à procura de pontos fracos que representem brechas para a violação de sua empresa. Obtenha informações também de outros líderes funcionais. Solicite um relatório sobre as possíveis ameaças à segurança dos dados do departamento, se e como os dados estão protegidos e como a equipe de segurança da informação responderia a um ataque.

Coloque as pessoas trabalhando para você… Lembre-se de que elas são o seu maior fator de risco. É natural que se opte pela maneira mais fácil de lidar com documentos e dados. Por exemplo, se alguém quiser trabalhar em uma planilha no computador de casa, poderá enviá-la para uma conta do Gmail não segura, se esta for a forma mais fácil de fazê-lo. Para que a natureza humana trabalhe a seu favor, simplifique e facilite os procedimentos para as pessoas fazerem a coisa certa. Isso significa implementar processos e tecnologias que, além de seguros, também sejam fáceis de usar.

…E lidere pelo exemplo. Por meio de práticas altamente seguras, você pode ajudar a colocar todos da organização no mesmo caminho. Para liderar através do exemplo, o conselho de administração deve manter o material do conselho seguro e protegido. Você estará em uma posição muito melhor para exigir novas proteções e práticas de governança quando fizer a coisa certa! Para uma estrutura de avaliação da segurança do conselho, veja “Segurança cibernética e o papel evolutivo dos conselhos: da supervisão ao exemplo”.

Como membro do conselho, você é obrigado a pensar sobre a segurança cibernética, mas não pode fazer isso sozinho. Se você seguir as etapas descritas aqui, já é meio caminho andado, mas será necessário trabalhar com seu CIO/CISO e com toda a equipe de gerenciamento para estabelecer de fato uma cultura de vigilância cibernética na organização.

1. Fonte: “How much has Target’s data breach cost the retailer?”, Internet Retailer, 5 de agosto de 2014.
2. Fonte: “Cybersecurity in the Boardroom”, NYSE Governance Services and Veracode, 2015,

BLOGS EM DESTAQUE