Conselhos corporativos: não subestime seu papel na supervisão de segurança de dados

Para as empresas no meio de uma pandemia global, não existem “negócios como de costume”. A porcentagem de americanos que trabalham remotamente cresceu substancialmente, agora supostamente até 33% da força de trabalho dos EUA. Acompanhando essa mudança sísmica aumentou as ameaças à segurança aos dados, com uma análise relatando que mais de 36 bilhões de registros on -line foram expostos apenas na primeira metade de 2020. Os consumidores cujas vidas foram despertadas pelo roubo de identidade estão prestando muita atenção a como as empresas estão respondendo. Mas o Conselho de Administração corporativo típico está dando segurança aos dados a atenção que merece?

Além dos custos significativos para os consumidores, violações de dados, intrusões de rede e ameaças cibernéticas iminentes podem abrir uma empresa a custos financeiros substanciais, acertos de reputação e responsabilidade legal. A FTC continuou a desafiar a conduta supostamente enganosa ou injusta relacionada às práticas de segurança de dados das empresas. Alguns exemplos recentes incluem assentamentos com Skymed International, Tapplock e Zoom. Também estamos em processo de revisão de algumas regras de segurança de dados para o setor, incluindo a regra de notificação de violação da saúde e a regra de salvaguardas do Gramm-Leach-Bliley.

Nesse cenário, é essencial que os conselhos corporativos façam o possível para garantir que os dados do consumidor e dos funcionários estejam protegidos. A boa notícia é que, de acordo com um estudo recente, 60% dos diretores pesquisados ​​disseram que planejam melhorar seu papel de supervisão de segurança cibernética no próximo ano. Como seria uma corporação típica? A equipe da FTC possui cinco recomendações de senso comum para diretores de consciência.

Tornar a segurança dos dados uma prioridade.

Ao contrário da crença popular, a segurança dos dados começa com o Conselho de Administração, não o departamento de TI. Um conselho corporativo que prioriza a segurança dos dados pode definir o tom em toda a organização, incutindo uma cultura de segurança, estabelecendo fortes expectativas de segurança e quebrando silos internos para facilitar a colaboração técnica e estratégica. Embora não exista uma fórmula de tamanho único, aqui estão estratégias que algumas empresas implementaram para tornar a segurança uma prioridade.

  • Construa uma equipe de partes interessadas de toda a sua organização. Apesar de um estudo de 2018 que descobriu que 89% dos CEOs tratam a segurança cibernética como uma função de TI, a experiência sugere que o gerenciamento de riscos cibernéticos é uma questão de “negócios inteira”. Um programa de segurança de dados sólido deve incorporar as partes interessadas dos departamentos de negócios, jurídicos e de tecnologia em toda a empresa-executivos de alto nível e especialistas em operação. Obviamente, muitos comitês incluem os diretores de informação e o diretor de segurança da informação, mas outras empresas promovem sinergias práticas, incluindo também executivos que trazem uma perspectiva diferente para os problemas – por exemplo, o CEO, CFO ou consultor geral. Uma ampla e diversificada gama de vozes pode fornecer ao conselho informações cruzadas sobre riscos e soluções cibernéticas.
  • Estabeleça supervisão no nível do conselho. Alguns conselhos corporativos delegam suas tarefas de supervisão de risco cibernético a um comitê de auditoria. Outros têm um comitê de segurança cibernética independente no nível do conselho. Independentemente de como uma organização estrutura suas tarefas de supervisão de risco cibernético, o principal argumento é que os riscos cibernéticos devem ser uma prioridade na sala de diretoria. A supervisão no nível do conselho ajuda a garantir que as ameaças, defesas e respostas de segurança cibernética tenham a atenção daqueles nos escalões superiores e obtenham os recursos necessários para fazer o trabalho corretamente.
  • Segure briefings regulares de segurança. Quando se trata de segurança, os membros do conselho precisam saber, mas a pesquisa sugere que muitos deles estão fora do loop. Uma pesquisa de 2012 constatou que menos de 40% dos conselhos corporativos recebiam relatórios regularmente sobre riscos de privacidade e segurança e 26% raramente ou nunca obtiveram essas informações. Segundo outro estudo, apenas 12% dos conselhos freqüentemente recebiam briefings de ameaças cibernéticas. Uma pesquisa com empresas públicas realizadas seis anos depois em 2018 não sugeriu muito progresso. Apenas 37% dos membros do conselho disseram que se sentiam “confiantes” ou “muito confiantes” de que sua empresa estava adequadamente garantida contra o Cyberattack. Obviamente, a segurança cibernética não é uma proposta única. É um processo dinâmico que exige que os membros do conselho sejam informados, engajados e atualizados. Os briefings regulares preparam os quadros para cumprir sua responsabilidade de supervisão, navegar no cenário de segurança e priorizar ameaças à empresa.

Entenda os riscos e desafios de segurança cibernética que sua empresa enfrenta.

Um forte programa de segurança de dados começa no topo. Embora possa não ser o papel do conselho gerenciar operações de segurança diárias, é seu trabalho definir prioridades e alocar os recursos necessários para garantir uma segurança eficaz. Os membros do conselho precisam conversar e caminhar. Eles devem demonstrar uma compreensão sofisticada dos desafios de segurança de dados que sua empresa enfrenta e agir de uma maneira que defina o tom para toda a organização.

Não confunda a conformidade legal com a segurança.

Em 2019, a FTC realizou uma série de audiências sobre proteção e tecnologia do consumidor no século XXI. Um tema comum era que a conformidade não se traduz necessariamente em boa segurança. As ameaças de segurança cibernética estão em constante e rapidamente evolução. Um forte programa de segurança de dados nunca deve ser reduzido a uma abordagem de “Verifique a caixa”, voltada para cumprir as obrigações e requisitos de conformidade. Em vez disso, os conselhos devem garantir que seus programas de segurança sejam adaptados às necessidades, prioridades, tecnologia e dados exclusivos de suas empresas. Os conselhos devem fazer perguntas difíceis sobre se suas políticas e procedimentos abordam efetivamente os riscos de segurança de sua empresa e se as práticas reais de segurança abordam efetivamente as ameaças que eles enfrentam. Essa conversa sem restrições pode incluir questões fundamentais como:

  • Que tipo de dados estamos mantendo e por quê? E onde estamos mantendo isso?
  • Nossas políticas e procedimentos são adequados para proteger nossos dados?
  • Nossas práticas de segurança reais estão de acordo com nossas políticas e nossas declarações voltadas para o público?
  • Nossos investimentos e despesas de segurança estão de acordo com nossos riscos e ameaças de segurança?

É mais do que apenas prevenção.

Um forte programa de segurança de dados garante que uma empresa esteja realizando precauções razoáveis ​​para proteger as informações pessoais de sua rede e os consumidores dos invasores. No entanto, nenhum programa de segurança de dados é perfeito e nenhum programa pode garantir que uma empresa seja protegida contra ataques ou violação de dados. Se nada mais, violações recentes demonstraram a importância de um forte programa de segurança de dados e um plano robusto de resposta a incidentes. Ao responder a um incidente de segurança, o tempo geralmente é da essência. A cada minuto em que os funcionários gastam tentando sinalizar os principais executivos e concentrar sua atenção no que aconteceu é o tempo retirado das tarefas críticas de aperfeiçoar os danos aos dados e implementar uma resposta apropriada. Por outro lado, um programa de segurança eficaz garante que, quando for apropriado, um incidente de segurança possa ser rapidamente elevado ao nível apropriado. Além disso, a construção de resiliência organizacional em seu programa de segurança pode ajudar sua empresa a sustentar operações enquanto responde a um incidente de segurança.

Aprenda com erros.

Se sua empresa teve a infelicidade de experimentar uma violação de dados, aproveite a oportunidade para aprender com o incidente e melhorar seu programa. As empresas geralmente exigem avaliações periódicas de terceiros independentes para estabelecer uma linha de base contra a qual o progresso futuro pode ser medido e-no caso de um incidente de segurança-para determinar como ocorreu uma violação. Obviamente, aprender com os erros de outras empresas pode ser igualmente valioso (e substancialmente menos doloroso). Certamente não faltam violações de dados e muitos provavelmente envolvem concorrentes ou outras partes em linhas semelhantes de negócios. Os conselhos devem aproveitar a oportunidade para entender os riscos de segurança cibernética relacionados à sua indústria e aprender com os erros de sua empresa, bem como os erros de outras pessoas.

O Centro de Negócios da FTC possui recursos de segurança de dados para empresas de qualquer tamanho e em qualquer setor.

Source link

Photo of Rui Manuel Oliveira

Rui Manuel Oliveira

Artigos Relacionados

O HMRC pode ver o quanto eu vendo no vinte e no eBay? Aviso de questões de especialistas fiscais

20 Agosto 2025

Os lucros da Honda de três meses são meio decretos porque o fabricante de carros Trump sentiu os efeitos das tarifas | Honda

6 Agosto 2025

As ações da Palantir aumentam após o relatório de 48 % de aumento da receita

6 Agosto 2025

A Índia bate a ameaça de Trump de tarifas sobre as compras de petróleo russo

6 Agosto 2025
Botão Voltar ao Topo