Risco

Segurança digital

Security concept: Locks on digital backgroundA segurança digital deixou de ser apenas um problema de TI. Há uma crescente expectativa de que Conselhos monitorem ativamente o risco cibernético em nível organizacional. Mais do que simplesmente rever o orçamento de TI anualmente, conselheiros precisam se conscientizar da complexidade em averiguar segurança digital e tentar se preparar ao máximo.

Ainda mais quando o custo anual do cibercrime para a economia global está estimado em mais de US$ 445 bilhões, segundo divulgado em 2014 pela NACD. Só no ano passado, pelo menos três mil empresas norte-americanas foram vítimas de alguma ação de hackers — a Sony Pictures, por exemplo, teve e-mails do alto escalão da empresa e filmes inéditos divulgados na internet, provocando danos morais e não apenas financeiros.

Outro escândalo envolvendo violação de dados de clientes (quebra de sigilo) foi a Target, em que o CEO e CIO renunciaram e o Conselho foi processado por violação do dever fiduciário. Além disso, membros dos comitês de auditoria e responsabilidade corporativa sofreram diligências, pois, segundo documentos, “esses comitês deviam ter conhecimento e, mais especificamente, ter monitorado a possibilidade de roubo de informações confidenciais”.

Por essas e outras, a segurança digital tornou-se um risco crítico que deve estar no topo de qualquer plano de gestão de riscos corporativos. E para ajudar a rever práticas e riscos mais imediatos, seguem perguntas elaboradas pela Akin Gump Strauss Hauer & Feld que Conselhos deveriam fazer:

Governança. O Conselho estabeleceu um comitê de revisão de questões cibernéticas e determinou linhas claras de comunicação e responsabilidade para problemas de segurança digital?

Avaliação de ativos críticos. A empresa identificou quais são seus ativos de maior risco cibernético (por exemplo: IP, informações pessoais, segredos comerciais, controles mecânicos em equipamentos, etc.)? Há recursos suficientes alocados para proteger esses ativos?

Avaliação da ameaça. Qual é o relatório (diário/semanal/mensal) de ameaça para a empresa? Quais são os gaps atuais e como estão sendo resolvidos?

Nível de preparo para responder a incidentes. A empresa tem um plano de resposta a incidentes e esse plano tem sido testado nos últimos seis meses? No caso de violação, a empresa estabeleceu contratos, por meio de advogados externos, com investigadores forenses para facilitar uma resposta rápida e proteção do privilégio legal?

Treinamento de colaboradores. Que tipo de treinamento é oferecido aos colaboradores para ajudá-los a identificar áreas com risco potencial de ameaça cibernética?

Gestão de terceiros. Quais são as práticas da empresa quanto a terceiros? Quais são os procedimentos para a emissão de credenciais? O direito de acesso é limitado e os backdoors para pontos de entrada de dados-chave são restritos? A empresa realiza verificações legais cibernéticas para empresas que adquire? Os contratos de terceiros contêm as devidas notificações quanto a violação de dados, direitos de auditoria, indenizações e outras disposições?

Seguros. Será que a empresa tem seguro-cibernético específico, com limites e coberturas suficientes?

Divulgação do risco. A empresa atualiza suas divulgações de riscos cibernéticos em documentos ou outras declarações aos investidores para manifestar incidentes-chave e riscos específicos?

Advertisements