Antes da pandemia, o CISO e a equipe de cibersegurança eram frequentemente vistos como os "nerds" do corredor, que sempre diziam "não". Mesmo após a pandemia, embora haja um reconhecimento de que a cibersegurança pode atuar como um facilitador para os negócios, persiste uma falta de compreensão, especialmente entre os membros da diretoria, sobre como estabelecer uma postura sólida em cibersegurança e como isso realmente beneficia a organização.
A Comissão de Valores Mobiliários dos Estados Unidos (SEC) estabeleceu uma regulamentação que exige que as empresas divulguem se seu conselho de administração possui um membro especializado em cibersegurança. Essa mudança pode transformar a dinâmica para os CISOs que buscam aprovação de orçamento ou propõem alterações operacionais na empresa em função de questões de cibersegurança.
Quase todas as empresas dependem da tecnologia, seja para fazer pedidos de suprimentos on-line, realizar operações bancárias ou enviar e-mails. A cibersegurança é essencial não apenas para aquelas que operam online ou mantêm comunicações digitais importantes com os clientes, mas para todas as organizações. Compreender o risco cibernético, independentemente de sua magnitude, é - e continuará sendo - fundamental para o sucesso das empresas no mercado atual.
Essa necessidade de compreensão se torna ainda mais evidente ao considerarmos os avanços em tecnologias como a IA, seja pela adoção interna por uma empresa ou pela utilização de serviços que incorporam alguma forma de IA. Mesmo o uso de uma ferramenta de IA generativa na empresa apresenta riscos: por exemplo, um funcionário pode, sem querer, vazar informações confidenciais ao carregar texto em um motor de IA generativa e solicitar o aprimoramento da linguagem.
A IA será, sem dúvida, uma ferramenta estratégica para muitas organizações. Adoção de políticas sobre o uso ético, proteção dos dados utilizados para treinar o modelo e manutenção atualizada das ferramentas empregadas são apenas algumas das práticas que as empresas devem levar em consideração.
É provável que haja regulamentações em torno da IA, e a cibersegurança será um aspecto que trará seus próprios requisitos. Isso se soma às diversas normas que as empresas devem seguir do ponto de vista cibernético. A Lei Geral de Proteção de Dados (LGPD) - no Brasil, a Regulamento Geral de Proteção de Dados - na União Europeia, a conformidade com a normativa PCI, as diretrizes da SEC para divulgação de incidentes cibernéticos. Existem muitas regulamentações que precisam ser cumpridas e das quais é necessário prestar contas para garantir que uma empresa mantenha sua conformidade. No centro de muitas dessas regulamentações está a cibersegurança, o que torna as operações das equipes de cibersegurança ainda mais complexas.
Para minimizar o risco, a cibersegurança deve ser integrada à infraestrutura digital da empresa com base no princípio de "segurança desde a concepção". Isso pode envolver a adoção de um framework de cibersegurança, como o do National Institute of Standards and Technology (NIST), que estabelece políticas e métricas claras para garantir que a empresa:
- cumpra a normativa;
- siga um marco de cibersegurança aprovado;
- disponha das políticas necessárias para reduzir o risco cibernético;
- esteja preparada para enfrentar qualquer incidente de cibersegurança.
Para as pequenas empresas, pode parecer desnecessário documentar e criar políticas sobre o que já é conhecido, quem tem a autoridade para tomar decisões e o que fazer em situações hipotéticas. No entanto, estabelecer uma postura de governança dentro da empresa é fundamental para garantir sua longevidade e se torna um requisito essencial para o crescimento: é importante começar da maneira que se deseja continuar.
Sob a perspectiva da cibersegurança, este pode ser o momento em que a terceirização se torna a melhor solução, uma vez que as competências são frequentemente limitadas e difíceis de manter. Provedores de serviços gerenciados que podem implementar a cibersegurança de maneira operacional e auxiliar na governança necessária podem ser uma opção viável, e muitos deles oferecem acesso a soluções avançadas, como os serviços gerenciados de detecção e resposta (MDR).
Como tudo isso se relaciona com os seguros contra riscos cibernéticos? As seguradoras estão cada vez mais exigindo que as empresas adotem medidas sólidas de cibersegurança. Uma empresa que possui processos formais e documentados provavelmente obterá prêmios de seguro mais baixos e gastará menos tempo cumprindo os requisitos exigidos pelas seguradoras.
Embora os custos iniciais possam ser mais altos, as empresas com uma proteção digital mais robusta economizarão em suas apólices de seguro e evitarão os elevados custos de recuperação de possíveis ciberataques que poderiam enfrentar sem um seguro cibernético.
Obtenha mais informações sobre como o seguro contra riscos cibernéticos, combinado com soluções avançadas de cibersegurança, pode melhorar suas chances de sobrevivência se, ou quando, ocorrer um ciberataque. Baixe nosso whitepaper gratuito: Prevent. Protect. Insure.