Só nos últimos 12 meses temos visto uma enorme falha de segurança corporativa uma após outra. Por isso é hora de ter uma comissão de Segurança Cibernética nos Conselhos Corporativos. Grandes varejistas (Meta, Home Depot, Neiman Marcus, a Sony Pictures), sites de e-commerce (eBay), e instituições financeiras (JP Morgan) foram todos vítimas, dentre outros. Se tomados individualmente, violações de segurança digitais servem como um alerta para executivos e profissionais de segurança manterem a vigilância. No entanto, quando todas as grandes violações compartilharam a mesma estratégia, e isto é revelador! E é um sinal de que há algo muito mais fundamental vem sendo quebrado na segurança das empresas que deve ser abordado.

Publicidade
Publicidade

Há várias semelhanças importantes nesses ataques, todos sugerindo que as proteções de segurança de dados da sua empresa precisa de uma supervisão mais forte:

- Segurança dá o primeiro passo, mas perde o ciclo de vida de um ataque. Estruturas tradicionais de segurança on-line tentam detectar e bloquear cargas maliciosas (ou um pedaço de malware ou explorar a vulnerabilidade). Em um ataque moderno, o compromisso inicial é apenas um meio para um fim muito maior. A grande maioria das tecnologias de segurança não estão concebidas para ver o chamado "long- con"(termo usado para técnicas aplicadas para testar as táticas de golpistas) de um ataque.

Mesmo que a indústria de segurança continue a desenvolver métodos de detecção de problemas individuais de malware cada vez mais avançados, ainda há muito pouca capacidade de ver o ataque maior que se segue após isso.

Publicidade

- Há oportunidades infinitas para sistemas de segurança para falhar. Como a computação e #Negócios tem evoluído, as áreas "atacáveis" da empresa tornaram-se quase impossível para garantir. Os funcionários usam dispositivos móveis que estão rotineiramente fora dos firewalls corporativos. Aplicativos e dados corporativos são cada vez mais dentro e fora do perímetro. Segurança on-line tornou-se incrivelmente complicada, e diretores podem até não saber as distinções fundamentais entre os vários tipos e motivações de intrusões on-line.

Passo um para cada board é entender que é suposto estar oferecendo supervisão sobre esses riscos como parte de seu dever fiduciário. O conselho precisa assegurar que existem controles internos em vigor para proteger os ativos cibernéticos da corporação.

As apostas são altas. Um estudo descobriu que até 21 trilhões de dólares em ativos globais que podem estar em risco do cibercrime. O que é necessário é uma estrutura de administração sólida para monitoramento e gerenciamento do risco cibernético na empresa.

Publicidade

Para começar, eu recomendo fazer uma série de briefings do comitê assim a "segurança cibernética" é desmistificada e melhor compreendido. No entanto, dada a complexidade e os perigos envolvidos, acho que o tempo chegou para a criação de um comitê de tecnologia de segurança cibernética dedicada.

É fundamental que o conselho exija que a administração apresentar as suas políticas de segurança cibernética. Solicite que a gestão escrever as suas práticas e normas de segurança e seu protocolo para responder a uma violação de segurança. O conselho deve ser capaz de identificar o gerente responsável pelo título, e em que prazo eles estão a respondendo a uma intrusão. Em caso de uma quebra cibernética, a diretoria deve agendar uma atualização do comitê de segurança em qualquer avaliação forense.

A empresa pode ter de divulgar qualquer violação de dados em documentos apresentados aos órgãos reguladores, como a CVM , SEC, etc , se a infração foi material. O conselho da sua empresa pode se surpreender ao descobrir que um tribunal considera falta de divulgação de um ataque cibernético como uma "omissão material," de acordo com algumas interpretações da nova orientação SEC sobre a divulgação, e caso isso ocorra, as complicações e penas aplicáveis serão desastrosas. #Opinião