Com o avanço dos ataques de hackers contra as empresas, o tema da cibersegurança está ganhando espaço nas reuniões da alta gestão das empresas. No entanto, fica a dúvida: quem efetivamente está discutindo os rumos da companhia sobre o tema da segurança cibernética?
Infelizmente, o gestor de segurança da Informação não possui um lugar espaço cativo (ou mesmo temporário) tanto no board executivo das empresas quanto nos Conselhos de Administração, ocasião em que as principais deliberações e decisões estratégicas são tomadas. O caminho até ao conselho, porém os primeiros passos começaram a ser dados nos últimos anos.
Comitê de assessoramento: o primeiro passo
De acordo com relatório recente, 73% das organizações entrevistadas planejam criar ou possuem um Comitê de Assessoramento ao Conselho de Administração dedicado à Cibersegurança. Ainda que o profissional de cibersegurança não faça parte do conselho, a existência de um comitê técnico que assessora a alta cúpula representa um avanço importante.
Nos últimos anos, com a digitalização das empresas, os ataques cibernéticos cresceram em volume e sofisticação, gerando prejuízos financeiros, reputacionais e perda de clientes. Para se ter uma ideia, o custo anual dos crimes cibernéticos deve crescer 40% e deve atingir mais de US$ 11,5 trilhões até o fim de 2023. É devido a esses ataques que a cibersegurança se tornou um pilar crítico para a continuidade de negócio, já que uma empresa pode até deixar de existir após ser atacada.
O papel do advisor
“O papel do conselheiro é agregar valor à empresa e garantir a perpetuidade do negócio”, explica Nycholas Szucko, conselheiro de Cibersegurança e Tecnologia do Movimento Inovação Digital (MID). “Nos Estados Unidos, até já existe uma diretriz em que ao menos um dos conselheiros precisa ter conhecimentos em cibersegurança para garantir que os investimentos na área sejam feitos corretamente”, afirma Szucko, referindo-se a recente medida da US Securities and Exchange Comission dos EUA, que passou a exigir conhecimento estratégico em segurança cibernética a diretores dos conselhos das empresas norte-americanas. Empresas como FedEx, Hasbro, PNC e UPS seriam alguns exemplos.
Essa medida faz sentido. Em 2022, por exemplo, os ataques cibernéticos encabeçaram a lista dos maiores riscos para uma organização pelo segundo ano consecutivo, segundo um levantamento feito por uma seguradora.
Ser um advisor é garantir que o conselheiro faça as perguntas certas, entenda o comportamento do mercado, saiba os impactos dos ataques cibernéticos para o negócio, mostre os perigos para a empresa, além, claro, de apontar os caminhos da prevenção e saber responder aos ataques promovido por hackers. Para isso, é fundamental que esses profissionais se qualifiquem e traduzam a linguagem técnica para um discurso de fácil compreensão.
Sem “tecniquês”
“Os CISOs têm que se preparar cada vez mais para uma linguagem de risco, de continuidade de negócio e cenários de exposição. Quando esse tipo de linguajar é usado dentro de uma reunião do board, a empatia é quase instantânea e a conversa fica mais fácil. A partir daí, você começa a gerar essa confiança para ganhar espaço e chegar nesse momento de ter um CISO na cadeira fixa de um Conselho”, explica Nycholas.
Apesar da escalada do tema nas organizações, Nycholas ainda não visualiza, na atual geração de gestores em cibersegurança, uma pessoa capaz de ocupar um assento fixo no Conselho de Administração, principalmente aqui no Brasil. Ele acredita que, “um profissional de ciber tende a ser um advisor desse conselheiro, com presença no Comitê de Risco ou no Comitê de Cibersegurança”.
Além disso, Nycholas acredita que o conselheiro tradicional tende a proteger o espaço conquistado. Além disso, o perfil de ocupante da cadeira do Conselho está muito associado a um ex-CEO, ex-CFO, ex-COO.
“Em mercados mais maduros, a cadeira pode ter um carimbo de cibersegurança, mas no Brasil existe a mentalidade de que esse profissional seja alguém de finanças ou que fez sucesso em outras empresas. Ainda não caiu a ficha para alguns que a cibersegurança é um desafio para o negócio”, justifica. “No entanto, no momento que isso acontecer, e quando o mercado estiver mais maduro, penso que o profissional de segurança da informação terá uma cadeira adicional, e não irá substituir um espaço já ocupada”.
Como chegar lá?
É importante que os interessados em ocupar essa posição comecem a se desenvolver o mais rápido possível. A boa notícia é que já existem cursos disponíveis.
Segundo Nycholas, esses programas normalmente ensinam sobre ritos, discorre sobre o funcionamento dos calendário dos temas durante o ano, aborda a aprovação de orçamentos, discute sobre as discussões estratégicas, entre outros temas. Além disso, os cursos proporcionam uma ótima rede de relacionamentos, sendo uma boa oportunidade para pleitear uma chance junto aos demais conselheiros.
“De repente, você pode virar o advisor de um empresa de um colega de curso, o que aconteceu comigo”, conta Nycholas. Outra dica, segundo ele, é tentar ser conselheiro de ONGs para exercitar esse rito, adquirir experiência. “E depois pode tentar ser um advisor de revendas, integradores, de empresas que desenvolvem tecnologias. Assim você vai se solidificando nessa jornada até um dia ter experiência para fazer parte do Conselho de uma empresa mais tradicional de mercado”, aconselha.
“O dia que os profissionais de segurança ocuparem uma cadeira fixa nos Conselhos será um momento de celebração, porque vamos entender que cibersegurança virou um tema super relevante e está, de fato, na agenda de todas as empresas”, finaliza.