AMEAÇA VIRTUAL

Combate a risco cibernético exige novas funções nas empresas

Associações de gestão de riscos e auditoria interna recomendam grupo para coordenar ações e executar políticas de prevenção e reação

06/07/2017 – 06:39
Atualizado em 10/08/2017 – 13:15
PC e celular

Empresas cada vez mais conectadas enfrentam um aumento do risco. (Foto: Divulgação/Delta Risk)

As empresas devem criar um Grupo de Governança de Riscos Cibernéticos para lidar com um volume crescente de ameaças originadas pela digitalização de seus negócios.

Esta é uma das recomendações feitas pela FERMA e pela ECIIA, federações europeias de gestão de riscos e auditoria interna, em um novo relatório sobre a gestão de riscos de cibernéticos.

O relatório é dirigido às empresas europeias, mas pode muito bem servir às brasileiras como um guia para a mitigação de um risco cuja amplitude ficou bastante evidente em eventos recentes como o ataque WannaCry.

Além disso, regras internacionais como o Regulamento Europeu de Proteção de Dados (GDPR, na sigla em inglês), que também afeta multinacionais que têm negócios na União Europeia, tendem a tornar ainda maior a exposição das empresas aos riscos cibernéticos.

De acordo com o relatório das duas associações, cuja versão em inglês pode ser descarregada aqui, a adequada proteção contra tais riscos exigirá a criação de novas funções de controle e prevenção no interior das empresas.

Se sua companhia ainda não tem um CISO ou DPO, é bem possível que no futuro ela se sinta instada a implementar tais funções. As siglas se referem aos nomes em inglês do Executivo-chefe de Segurança da Informação (Chief Information Security Officer) e do Executivo de Proteção de Dados (Data Protection Officer), respectivamente.

Todo mundo ligado

A necessidade de criar novas estruturas dentro da organização se justifica, de acordo com a FERMA e a ECIIA, pelo fato de que toda a empresa precisa estar envolvida no combate aos riscos  cibernéticos.

Isso significa que o tema deve ganhar relevância nas chamadas três linhas de defesa da empresa, ou seja, as unidades de negócio (primeira linha), as funções de gestão de risco, compliance e controle financeiro (segunda) e a auditoria interna (terceira).

Para que essa abordagem ganhe força, porém, é necessário que o conselho da empresa compre a ideia e a promova e monitore através dos comitês de Riscos e de Auditoria.

Mas a execução e coordenação das atividades de prevenção e combate aos riscos cibernéticos exigem também a criação de um Grupo de Governança de Riscos Cibernéticos, que, na proposta das duas entidades, deve estar subordinado ao Comitê de Riscos.

Este grupo deve estar composto por representantes de departamentos como informática, finanças, comunicações, recursos humanos e jurídico, além de incluir também as novas figuras do CISO e DPO.

Para liderar este grupo, o profissional mais indicado é o gestor de riscos, uma vez que esta função já pressupõe uma visão global dos riscos enfrentados pelos diversos setores da empresa, argumentam os autores.

DPO e CISO

O papel deste novo órgão deve ser o de avaliar as exposições da empresa aos riscos cibernéticos e definir as estratégias para sua mitigação e para reagir a eventuais incidentes.

Isso implica também propor à alta direção políticas de investimento em segurança cibernética e a contratação de apólices de seguro cibernético para transferir o risco, quando possível.

“A decisão de criar um Grupo de Governança dos Riscos Cibernéticos para administrar a gestão de riscos cibernéticos enviaria uma poderosa mensagem positiva aos stakeholders externos a respeito da governança do risco ‘cyber’ na organização”, argumentam os autores do relatório.

O documento também propõe uma definição para as duas novas funções de liderança que, na opinião das duas entidades, devem ganhar força na organização.

“O DPO é responsável por todos os temas ligados à proteção de dados”, define o relatório. “A função cobre desde a provisão de informação e assessoria à organização até o monitoramento do compliance (às regras de proteção de dados) e a atuação como um ponto de contato com as autoridades de proteção de dados.”

Os autores lembram que a figura do DPO vai ser obrigatória a partir de maio de 2018 para as empresas que atuam na União Europeia e cujas atividades implicam o monitoramento regular e sistemático, e em grande escala, dos dados de terceiros.

Para o CISO, a definição oferecida é a seguinte:

“O CISO exerce um papel-chave na gestão eficiente e efetiva dos riscos cibernéticos através da seleção de planos de mitigação propostos pelas diferentes funções em acordo com (o departamento de) sistemas de informática, a fim de assegurar que eles estão em linha com a política de segurança informática implementada pela organização.”