Como o conselho administrativo das empresas deve proceder para reforçar sua segurança diante dos riscos cibernéticos?

As pessoas que trabalham no setor de segurança cibernética acreditam que há dois tipos de companhias: “as que foram hackeadas e as que não sabem que foram hackeadas”.  Cada vez mais companhias estão sofrendo violações de dados, e as consequências dessas violações podem ser significativas. Nos Estados Unidos, essas violações já são seguidas de processos, incluindo ações coletivas contra os conselheiros e diretores da companhia pela suposta violação do dever fiduciário. Isso sem contar as próprias consequências para o negócio das companhias, já que uma violação de dados pode levar à queda expressiva do preço da ação. Finalmente, as empresas que sofreram violações de dados geralmente têm um custo incalculável, mas muito real, em termos de reputação.  Esse custo pode ser muito superior ao valor pago em acordos judiciais e ações regulatórias.

Os custos da violação de dados podem ser exponencialmente maiores quando houver a percepção de que o conselho não tomou as medidas necessárias para fiscalizar adequadamente a segurança da companhia. Tendo em vista os custos associados às violações de dados e o fato de que hoje nenhuma empresa está imune a isso, é essencial que o conselho se certifique de que está monitorando os riscos cibernéticos de forma apropriada. Isso pode ser uma tarefa assustadora, especialmente para os conselheiros que não tem formação em tecnologia. Por isso criamos esse guia, com 10 perguntas que o Conselho deve fazer para ajudar no monitoramento dos riscos cibernéticos:

• Liderança: A companhia atribuiu claramente a responsabilidade pela preparação da organização em relação à segurança cibernética a um profissional sênior que conta com o suporte da administração?
• Orçamento e Equipe: A administração já pensou seriamente sobre a alocação de orçamento e pessoal para garantir a gestão adequada de riscos cibernéticos?
• Programa de Segurança Cibernética Amplo e Formalizado por Escrito: A administração elaborou um programa amplo e formal de segurança cibernética e privacidade de dados composto de políticas e procedimentos razoáveis e adequados?
• Treinamento e educação dos funcionários: A administração instituiu programas de treinamento eficazes que ensinem os funcionários a lidar com dados sensíveis e protegê-los?
• Prestadores de serviço: A administração tomou medidas para mitigar os riscos de segurança cibernética associados à terceirização de funções de negócios?
• Conformidade legal e regulatória: A administração acredita ter um sistema eficaz em vigor para acompanhar a evolução das leis e regulamentos federais, estaduais e internacionais sobre a segurança de dados aplicáveis às suas operações e garantir o seu cumprimento?
• Seguro: A administração pensou seriamente em contratar seguro contra riscos cibernéticos?
• Detecção: A administração instalou tecnologias adequadas não só para evitar o download de software malicioso, mas também para detectar tentativas de violação e alertar a organização?
• Plano amplo e formal de resposta a violações: A administração tem um plano amplo e formal de respostas a violações em vigor?
• Informações não digitais e dispositivos físicos: Quais medidas a administração toma para proteger informações sensíveis não digitais?

Ao fazer as perguntas descritas acima – e quaisquer outras perguntas relevantes aos fatos e circunstâncias da empresa – e exercer o bom julgamento, os conselheiros podem monitorar os riscos cibernéticos que afetam a empresa, assim como o seu plano para mitigar e responder a esses riscos. Como essas informações podem mudar com o tempo, o conselho deve refazer essas perguntas pelo menos uma vez ao ano. Além disso, recomendamos que a empresa verifique se há padrões aplicáveis ao setor da companhia e quais são as práticas de mercado dos seus pares. Esse estudo é importante para garantir que o programa de segurança seja adequadamente robusto.

O Portal do Conselho Meetx da Nasdaq Corporate Solutions foi feito para fornecer aos conselhos e equipes de liderança de entidades públicas, privadas e sem fins lucrativos maior gestão de governança em toda a organização.  Desenvolvido com foco em segurança, nosso software eficiente e fácil de usar ajuda empresas a simplificar o compartilhamento de informações críticas por meio da internet ou aplicativos para tablets e a tornar as reuniões mais produtivas.

CONTATO:

Amanda Munhoz

amanda.munhoz@mzgroup.com

Baseado no artigo que fora publicado pela Nasdaq, “Ten Questions Every Board Should Ask in Overseeing Cyber Risks”.