terça-feira, 1 de julho de 2014

CEO na linha de frente contra os ciberataques

Artigo da McKinsey&Company mostra a importância do envolvimento dos executivos seniores na questão da defesa cibernética; cedo ou tarde, as consequências das ameaças digitais podem chegar ao alto escalão 

O alto escalão executivo de grandes companhias está diretamente relacionado aos incidentes de segurança, especialmente os que ganham os holofotes da mídia. “Cibersegurança é uma questão para o CEO (Chief Executive Officer)”, afirmou a McKinsey&Company em artigo recente dos consultores Tucker Bailey, James Kaplan e Chris Rezek. Para o bem e para o mal. E os exemplos estão aí.

Cinco meses após a sofisticada operação de hackers que vitimou 110 milhões de clientes da Target, o presidente da gigante do varejo, Greegg Steinhafel foi demitido. Antes dele, a CIO Beth Jacob havia assinado a sua renúncia ao cargo. “Ser vítima de um crime digital que afeta clientes nestas proporções é análogo a ser uma petrolífera e ter um navio vazando petróleo no mar”, compara o diretor de tecnologia da TechBiz Forense Digital, Renato Maia.

 Mas, a máxima do envolvimento do CEO ainda não faz parte da realidade de grandes corporações. O engajamento dos gerentes seniores varia dramaticamente de empresa para empresa, segundo pesquisa realizada pela McKinsey&Company (Risk and Responsibility in a Hyperconnected World). “Em algumas companhias, o CISO (Chief Information Security Officer) reúne-se como o CEO em intervalo de poucas semanas. Já em outras, o CISO nunca encontrou o CEO. Na verdade, o CISO reporta-se ao CTO (Chief Technology Officer), que por sua vez dirige-se ao CIO (Chief Information Officer), que depois reporta-se ao CFO (Chief Financial Officer)”, escreveram Bailey, Kaplan e Rezek.

Segundo o artigo, as companhias devem realizar progressos rápidos em direção à ‘ciberresiliência’ e somente a sustentação e o suporte dos principais executivos podem vencer os obstáculos estruturais e organizacionais que impedem a implementação eficaz de modelos de cibersegurança direcionados ao negócio e orientados ao gerenciamento de riscos. “Sabemos que esse processo é possível – em algumas companhias ele já está em andamento. Mas, deve ser adotado em larga escala caso as empresas queiram proteger os seus bens críticos e ao mesmo tempo inovar e crescer”, diz o documento.

O caminho, segundo a McKinsey 


No estudo da McKinsey&Company, foram entrevistados executivos de mais de 200 instituições, e 60 das 500 maiores companhias mundiais foram eleitas para uma análise profunda de suas práticas de gerenciamento de riscos de cibersegurança. O tempo e atenção dedicados pelos gerentes seniores foram considerados os únicos grandes indicadores de maturidade no gerenciamento dos riscos de cibersegurança – mais importantes do que o tamanho da companhia, o setor e os recursos por elas oferecidos.

Entre aquelas empresas que estão tendo progresso no desenvolvimento da chamada “resiliência cibernética”, a McKinsey identificou quatro ações em comum praticadas pelos gestores seniores: 

Engajamento ativo na tomada de decisões estratégicas. 

Como em outros tipos de risco aos negócios, CEOs e os demais membros do time sênior de gestores aliam-se aos gerentes de cibersegurança e conscientizam os demais colaboradores sobre os riscos de perda de propriedade intelectual, exposição de dados dos clientes e interrupção das operações da empresa. Realizam negociações específicas que envolvem redução de riscos e impacto operacional. 

Cibersegurança na pauta de todas as áreas da empresas. 

Gestores seniores de companhias líderes asseguram-se que gerentes de negócios levam em considerações a cibersegurança em decisões sobre produtos, clientes e localização. E que líderes funcionais responsabilizam-se em endereçar considerações sobre cibersegurança para as áreas de Recursos humanos e Aquisições. Além disso, garantem a divulgação das prioridades em cibersegurança na agenda de relacionamentos públicos da empresa.

Mudanças no comportamento dos usuários. 

Dado o amplo relacionamento dos gerentes seniores com dados sensíveis, eles possuem a chance de alterar e modelar o próprio comportamento para o próximo nível de gerentes. Isso pode começar com passos simples, como tornar-se mais sensato no encaminhamento de documentos do e-mail corporativo para o e-mail pessoal. Além disso, gestores seniores podem e devem alertar e reforçar políticas de proteção dos dados críticos aos empregados de linha de frente.

Garantia da governança efetiva e da produção de relatórios. 

Gerentes seniores precisam ter certeza que as políticas e controles fazem sentido do ponto de vista dos negócios. Se assim for, é importante respaldar o time de cibersegurança e ajuda-lo com reforços. Além disso, o gerente sênior precisa colocar em prática relatos efetivos e granulares sobre como a companhia está se desenvolvendo em marcos específicos de seu programa de cibersegurança.