Para as empresas no meio de uma pandemia global, não existe “business as usual”. A percentagem de americanos que trabalham remotamente cresceu substancialmente, chegando agora a 33% da força de trabalho dos EUA. Acompanhando esta mudança sísmica, aumentaram as ameaças à segurança dos dados, com uma análise a reportar que mais de 36 mil milhões de registos online foram expostos só no primeiro semestre de 2020. Os consumidores cujas vidas foram afetadas pelo roubo de identidade estão prestando muita atenção à forma como as empresas estão reagindo. Mas será que o típico Conselho de Administração corporativo está dando à segurança dos dados a atenção que merece?
Além dos custos significativos para os consumidores, as violações de dados, as intrusões na rede e as ameaças cibernéticas iminentes podem expor uma empresa a custos financeiros substanciais, danos à reputação e responsabilidade legal. A FTC continuou a contestar condutas alegadamente enganosas ou injustas relacionadas com as práticas de segurança de dados das empresas. Alguns exemplos recentes incluem acordos com SkyMed International, Tapplock e Zoom. Também estamos no processo de revisão de algumas regras de segurança de dados para a indústria, incluindo a Regra de Notificação de Violação de Saúde e a Regra de Salvaguardas Gramm-Leach-Bliley.
Neste contexto, é essencial que os conselhos de administração das empresas façam o que puderem para garantir que os dados dos consumidores e dos funcionários sejam protegidos. A boa notícia é que, de acordo com um estudo recente, 60% dos diretores inquiridos afirmaram que planeiam melhorar o seu papel de supervisão da segurança cibernética durante o próximo ano. Como seria isso para uma empresa típica? A equipe da FTC tem cinco recomendações de bom senso para diretores conscienciosos.
Faça da segurança dos dados uma prioridade.
Ao contrário da crença popular, a segurança dos dados começa com o Conselho de Administração e não com o Departamento de TI. Um conselho corporativo que prioriza a segurança dos dados pode definir o tom em toda a organização, incutindo uma cultura de segurança, estabelecendo fortes expectativas de segurança e eliminando silos internos para facilitar a colaboração técnica e estratégica. Embora não exista uma fórmula única para todos, aqui estão estratégias que algumas empresas implementaram para tornar a segurança uma prioridade.
- Construa uma equipe de partes interessadas de toda a sua organização. Apesar de um estudo de 2018 ter concluído que 89% dos CEO tratam a segurança cibernética como uma função de TI, a experiência sugere que a gestão do risco cibernético é uma questão de “todo o negócio”. Um programa sólido de segurança de dados deve incorporar as partes interessadas dos departamentos comercial, jurídico e de tecnologia de toda a empresa – tanto executivos de alto nível como especialistas operacionais. É claro que muitos comités incluem os Diretores de Informação e o Diretor de Segurança da Informação, mas outras empresas promovem sinergias práticas ao incluir também executivos que trazem uma perspetiva diferente para as questões – por exemplo, o CEO, o CFO ou o Conselho Geral. Uma ampla e diversificada gama de vozes pode fornecer ao conselho informações transversais sobre riscos e soluções cibernéticas.
- Estabelecer supervisão em nível de conselho. Alguns conselhos de administração delegam as suas funções de supervisão do risco cibernético a um comité de auditoria. Outros têm um comitê independente de segurança cibernética no nível do conselho. Independentemente da forma como uma organização estrutura as suas funções de supervisão dos riscos cibernéticos, a principal conclusão é que os riscos cibernéticos devem ser uma prioridade na sala de reuniões. A supervisão a nível do conselho ajuda a garantir que as ameaças, defesas e respostas à cibersegurança recebam a atenção dos escalões superiores e obtenham os recursos necessários para fazer o trabalho corretamente.
- Realize briefings de segurança regulares. Quando se trata de segurança, os membros do conselho precisam estar informados, mas pesquisas sugerem que muitos deles estão por fora. Um inquérito de 2012 concluiu que menos de 40% dos conselhos de administração recebiam regularmente relatórios sobre riscos de privacidade e segurança e 26% raramente ou nunca recebiam essas informações. De acordo com outro estudo, apenas 12% dos conselhos recebiam frequentemente instruções sobre ameaças cibernéticas. Uma pesquisa com empresas públicas realizada seis anos depois, em 2018, não sugeriu muito progresso. Apenas 37% dos membros do conselho afirmaram sentir-se “confiantes” ou “muito confiantes” de que a sua empresa estava devidamente protegida contra ataques cibernéticos. É claro que a segurança cibernética não é uma proposta única. É um processo dinâmico que exige que os membros do conselho estejam informados, engajados e atualizados. Briefings regulares preparam os conselhos para cumprirem suas responsabilidades de supervisão, navegarem pelo cenário de segurança e priorizarem ameaças à empresa.
Entenda os riscos e desafios de segurança cibernética que sua empresa enfrenta.
Um programa forte de segurança de dados começa no topo. Embora possa não ser função do conselho gerir as operações de segurança quotidianas, é sua função definir prioridades e alocar os recursos necessários para garantir uma segurança eficaz. Os membros do conselho precisam falar o que falar e fazer o mesmo. Eles devem demonstrar uma compreensão sofisticada dos desafios de segurança de dados que sua empresa enfrenta e agir de uma forma que dê o tom para toda a organização.
Não confunda conformidade legal com segurança.
Em 2019, a FTC realizou uma série de audiências sobre proteção do consumidor e tecnologia no século XXI. Um tema comum era que a conformidade não se traduz necessariamente em boa segurança. As ameaças à segurança cibernética estão em constante e rápida evolução. Um programa forte de segurança de dados nunca deve ser reduzido a uma abordagem de “marcar a caixa” voltada para o cumprimento de obrigações e requisitos de conformidade. Em vez disso, os conselhos devem garantir que os seus programas de segurança são adaptados às necessidades, prioridades, tecnologia e dados exclusivos das suas empresas. Os conselhos devem fazer perguntas difíceis sobre se as suas políticas e procedimentos abordam eficazmente os riscos de segurança da sua empresa e se as práticas reais de segurança abordam eficazmente as ameaças que enfrentam. Essa conversa irrestrita pode incluir questões fundamentais como:
- Que tipo de dados mantemos e por quê? E onde estamos guardando isso?
- Nossas políticas e procedimentos são adequados para proteger nossos dados?
- Nossas práticas reais de segurança estão alinhadas com nossas políticas e nossas declarações públicas?
- Os nossos investimentos e despesas em segurança estão alinhados com os nossos riscos e ameaças à segurança?
É mais do que apenas prevenção.
Um forte programa de segurança de dados garante que uma empresa tome precauções razoáveis para proteger a sua rede e as informações pessoais dos consumidores contra intrusos. No entanto, nenhum programa de segurança de dados é perfeito e nenhum programa pode garantir que uma empresa estará protegida contra ataques ou violação de dados. No mínimo, as violações recentes demonstraram a importância de um programa forte de segurança de dados e um plano robusto de resposta a incidentes. Ao responder a um incidente de segurança, o tempo é muitas vezes essencial. Cada minuto que os funcionários gastam tentando alertar os principais executivos e concentrar sua atenção no que aconteceu é tempo perdido nas tarefas críticas de estancar os danos aos dados e implementar uma resposta apropriada. Em contrapartida, um programa de segurança eficaz garante que, quando for apropriado, um incidente de segurança possa ser rapidamente elevado ao nível apropriado. Além disso, construir resiliência organizacional em seu programa de segurança pode ajudar sua empresa a sustentar as operações enquanto responde a um incidente de segurança.
Aprenda com os erros.
Se sua empresa teve a infelicidade de sofrer uma violação de dados, aproveite a oportunidade para aprender com o incidente e melhorar seu programa. As empresas muitas vezes exigem avaliações periódicas independentes de terceiros para estabelecer uma linha de base contra a qual o progresso futuro possa ser medido e – no caso de um incidente de segurança – para determinar como ocorreu uma violação. É claro que aprender com os erros de outras empresas pode ser igualmente valioso (e substancialmente menos doloroso). Certamente não faltam violações de dados e muitas provavelmente envolvem concorrentes ou outras partes em linhas de negócios semelhantes. Os conselhos devem aproveitar a oportunidade para compreender os riscos de segurança cibernética relacionados com a sua indústria e aprender com os erros da sua própria empresa, bem como com os erros dos outros.
O FTC Business Center dispõe de recursos de segurança de dados para empresas de qualquer porte e de qualquer setor.