Combate a risco cibernético exige novas funções nas empresas
- 1312 Visualizações
- Rodrigo Amaral
- 6 de julho de 2017
- Sem categoria
Associações de gestão de riscos e auditoria interna recomendam grupo para coordenar ações e executar políticas de prevenção e reação
Risco cibernético: as empresas devem criar um Grupo de Governança de Riscos Cibernéticos para lidar com um volume crescente de ameaças originadas pela digitalização de seus negócios.
Esta é uma das recomendações feitas pela FERMA e pela ECIIA. São as federações europeias de gestão de riscos e auditoria interna. A recomendação integra um novo relatório sobre a gestão de risco de cibernético.
O relatório é dirigido às empresas europeias. Porém, pode muito bem servir às brasileiras como um guia para a mitigação de um risco cuja amplitude ficou bastante evidente em eventos recentes. Por exemplo, como o ataque WannaCry.
Além disso, regras internacionais como o Regulamento Europeu de Proteção de Dados (GDPR, na sigla em inglês), que também afeta multinacionais que têm negócios na União Europeia, tendem a tornar ainda maior a exposição das empresas aos riscos cibernéticos.
De acordo com o relatório das duas associações, a adequada proteção contra tais riscos exigirá a criação de novas funções de controle e prevenção no interior das empresas. A versão em inglês do relatório pode ser descarregada aqui,
Assim, se sua companhia ainda não tem um CISO ou DPO, é bem possível que no futuro ela se sinta instada a implementar tais funções. As siglas se referem aos nomes em inglês do Executivo-chefe de Segurança da Informação (Chief Information Security Officer) e do Executivo de Proteção de Dados (Data Protection Officer), respectivamente.
Todo mundo ligado
Dessa forma, a necessidade de criar novas estruturas dentro da organização se justifica. Principalmente, de acordo com a FERMA e a ECIIA, pelo fato de que toda a empresa precisa estar envolvida no combate aos riscos cibernéticos.
Isso significa que o tema deve ganhar relevância nas chamadas três linhas de defesa da empresa. Ou seja, as unidades de negócio (primeira linha). As funções de gestão de risco, compliance e controle financeiro (segunda). E finalmente a auditoria interna (terceira).
Porém, para que essa abordagem ganhe força, é necessário que o conselho da empresa compre a ideia. Da mesma maneira, a promova e a monitore através dos comitês de Riscos e de Auditoria.
Mas a execução e coordenação das atividades de prevenção e combate aos riscos cibernéticos exigem também a criação de um Grupo de Governança de Riscos Cibernéticos. O que, na proposta das duas entidades, deve estar subordinado ao Comitê de Riscos.
Este grupo deve estar composto por representantes de departamentos como informática, finanças, comunicações, recursos humanos e jurídico,. Além de incluir também as novas figuras do CISO e DPO.
Contudo, para liderar este grupo, o profissional mais indicado é o gestor de riscos. Uma vez que esta função já pressupõe uma visão global dos riscos enfrentados pelos diversos setores da empresa, argumentam os autores.
DPO e CISO
O papel deste novo órgão deve ser o de avaliar as exposições da empresa aos riscos cibernéticos. Assim como definir as estratégias para sua mitigação e para reagir a eventuais incidentes.
Isso implica também propor à alta direção políticas de investimento em segurança cibernética. Também a contratação de apólices de seguro cibernético para transferir o risco, quando possível.
“A decisão de criar um Grupo de Governança dos Riscos Cibernéticos para administrar a gestão de riscos cibernéticos enviaria uma poderosa mensagem positiva aos stakeholders externos a respeito da governança do risco ‘cyber’ na organização”, argumentam os autores do relatório.
Igualmente, o documento também propõe uma definição para as duas novas funções de liderança. O que, na opinião das duas entidades, devem ganhar força na organização.
“O DPO é responsável por todos os temas ligados à proteção de dados”, define o relatório. “A função cobre desde a provisão de informação e assessoria à organização até o monitoramento do compliance (às regras de proteção de dados). Assim como a atuação como um ponto de contato com as autoridades de proteção de dados.”
Os autores lembram que a figura do DPO vai ser obrigatória a partir de maio de 2018. Isso para as empresas que atuam na União Europeia e cujas atividades implicam o monitoramento regular e sistemático, e em grande escala, dos dados de terceiros.
Dessa forma, para o CISO, a definição oferecida é a seguinte:
“O CISO exerce um papel-chave na gestão eficiente e efetiva dos riscos cibernéticos através da seleção de planos de mitigação propostos pelas diferentes funções em acordo com (o departamento de) sistemas de informática. Isso a fim de assegurar que eles estão em linha com a política de segurança informática implementada pela organização.”
- Brasil 97
- Compliance 66
- Gestão de Risco 200
- Legislação 17
- Mercado 247
- Mundo 102
- Opinião 25
- Resseguro 105
- Riscos emergentes 10
- Seguro 198