Na \u00faltima semana estive no evento Tenchi Day 2023, que reuniu membros de conselhos, l\u00edderes de neg\u00f3cios e profissionais respons\u00e1veis por cyber seguran\u00e7a de diversas organiza\u00e7\u00f5es. O debate entre os distintos grupos foi muito interessante, embora o assunto em comum fosse cyber seguran\u00e7a e seus impactos em diferentes \u00e1reas das empresas. O que vi \u00e9 que o entendimento entre as \u00e1reas t\u00e9cnica e financeira\/neg\u00f3cio \u00e9 completamente distinto, o que \u00e9 extremamente preocupante.<\/p>\n
Apesar do tema ter ganhado mais aten\u00e7\u00e3o da alta gest\u00e3o diante dos incidentes que t\u00eam ocorrido com diversas empresas brasileiras, pelo aumento do escrut\u00ednio regulat\u00f3rio com o surgimento de leis e regula\u00e7\u00f5es, como a LGPD, ANEEL, GDPR e, mais recentemente, de empresas com exposi\u00e7\u00e3o ao mercado de capitais americano, o assunto traz responsabilidade ao conselho na supervis\u00e3o do risco cibern\u00e9tico, incluindo a materialidade de suas perdas.<\/p>\n
Hoje, todas as empresas, independentemente do ramo que atuam, possuem a depend\u00eancia de algum tipo tecnologia. No entanto, os investimentos voltados ao gerenciamento deste crescente risco ainda s\u00e3o vistos como um custo e n\u00e3o como necessidade e at\u00e9 mesmo investimento. Quando o incidente ocorre, a responsabilidade fica associada ao profissional de TI.<\/p>\n
Um dos painelistas citou que, em uma determinada empresa em que atuou como conselheiro, comentou que certa vez havia conversado com o CISO a respeito da seguran\u00e7a da empresa, e se esse poderia garantir que a empresa n\u00e3o seria atacada, j\u00e1 que havia alocado recursos e feito testes de tentativa de invas\u00e3o – conhecidos como Pentest no mundo de tecnologia \u2013 o que prontamente ele afirmou que sim.<\/p>\n
Dias depois, a empresa foi v\u00edtima de um incidente, com paraliza\u00e7\u00e3o de atividades e consequ\u00eancias severas ao neg\u00f3cio. O membro do conselho disse, ent\u00e3o, ter se sentindo tra\u00eddo pelo CISO e que n\u00e3o entendia como isso poderia ter acontecido. A verdade \u00e9 que profissionais n\u00e3o t\u00e9cnicos em TI ainda t\u00eam dificuldade de entender que n\u00e3o existe bala de prata em cyber seguran\u00e7a \u2013 o cen\u00e1rio cibern\u00e9tico est\u00e1 em constante mudan\u00e7a e, por mais que uma empresa invista em seguran\u00e7a de TI, ela nunca estar\u00e1 100% segura. Como se trata de um risco de natureza evolutiva e permanente, este precisa ser tratado e monitorado, j\u00e1 que novas vulnerabilidades, conhecidas como Zero Day, surgem todos os dias; ali\u00e1s, estima-se que mais de 1.500 delas s\u00e3o lan\u00e7adas a cada m\u00eas!<\/p>\n
Apesar de v\u00edtima, errou tamb\u00e9m o CISO, talvez por receio de que o conselheiro n\u00e3o visse valor nos investimentos feitos na \u00e1rea \u2013 a alta gest\u00e3o est\u00e1 sempre preocupada com o retorno de investimento \u2013 ent\u00e3o, como justificar algo que n\u00e3o pode ser visto e, muitas vezes, at\u00e9 mensurado, como \u00e9 o caso de cyber seguran\u00e7a? Eu acredito que essa seja a realidade de diversos profissionais da \u00e1rea, que t\u00eam receio em dar voz sobre qual \u00e9 o status atual de maturidade de sua organiza\u00e7\u00e3o. Muitas vezes, isso se d\u00e1 por n\u00e3o saberem traduzir em linguagem simples e objetiva o que precisam; outros at\u00e9 sabem e t\u00eam \u00f3timas inten\u00e7\u00f5es e preocupa\u00e7\u00f5es, mas por restri\u00e7\u00e3o or\u00e7ament\u00e1ria ou at\u00e9 mesmo de apoio na ado\u00e7\u00e3o de melhores pr\u00e1ticas, acabam n\u00e3o conseguindo fazer o que \u00e9 necess\u00e1rio para compor um n\u00edvel de maturidade m\u00ednima, nos padr\u00f5es de governan\u00e7a reconhecidos.<\/p>\n
Vejo em minhas tratativas di\u00e1rias o quanto empresas, mesmo de grande atua\u00e7\u00e3o, carecem de maturidade diante dos padr\u00f5es requeridos e buscam o Seguro como uma tentativa de transferir essa responsabilidade – o que, de fato, nenhum segurador ir\u00e1 assumir sem que certos crit\u00e9rios sejam implementados.<\/p>\n
Se faz muito necess\u00e1rio que o risco de cyber seja visto como algo da responsabilidade de todos, j\u00e1 que a frequ\u00eancia de perda \u00e9 muito maior para um evento cibern\u00e9tico do que para os perigos tradicionais, como um inc\u00eandio, quebra de m\u00e1quinas e outros riscos em que s\u00e3o feitos investimentos e at\u00e9 mesmo seguro.<\/p>\n
Em cyber n\u00e3o deve ser diferente, precisamos nos aproximar com um mesmo objetivo coletivo para a organiza\u00e7\u00e3o, que \u00e9 proteger os ativos, sejam eles f\u00edsicos ou digitais, falar uma linguagem comum para promover o entendimento entre ambas as partes e, como disse um dos panelistas do lado dos CISO\u00b4s \u2013 n\u00e3o \u00e9 sobre n\u00f3s ou eles, \u00e9 sobre algo que vai afetar a todos, inclusive o ganho financeiro, a reputa\u00e7\u00e3o e, possivelmente, at\u00e9 mesmo a competividade. E \u00e9 aqui que a sua empresa precisa ver os custos de seguran\u00e7a cibern\u00e9tica como um investimento e n\u00e3o um gasto.<\/p>\n
Mix de Marketing<\/strong><\/p>\n Por Marta Helena Schuh \u00e9 Diretora de Cyber Insurance na Howden Brasil, bacharel em Business pela University of Arts London e especialista em Cyber Security.<\/strong><\/p>\n","protected":false},"excerpt":{"rendered":" Na \u00faltima semana estive no evento Tenchi Day 2023, que reuniu membros de conselhos, l\u00edderes de neg\u00f3cios e profissionais respons\u00e1veis por cyber seguran\u00e7a de diversas organiza\u00e7\u00f5es. O debate entre os distintos grupos foi muito interessante, embora o assunto em comum fosse cyber seguran\u00e7a e seus impactos em diferentes \u00e1reas das empresas. O que vi \u00e9 […]<\/p>\n","protected":false},"author":2,"featured_media":43761,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":[],"categories":[203],"tags":[8152,8150,984,8151],"jetpack_featured_media_url":"https:\/\/insurancecorp.com.br\/pt\/wp-content\/uploads\/2023\/06\/1-43.jpg","yoast_head":"\n