Os conselhos de administração estão deixando a desejar em matéria de segurança cibernética

Atualmente, a maioria dos conselhos de administração está convencida da necessidade de investir em segurança cibernética. Eles compreendem que um incidente cibernético grave é uma situação onerosa e prejudicial à marca, capaz de devastar as operações, minar a confiança do consumidor e até mesmo suscitar preocupações existenciais. No entanto, à medida que os conselhos se tornam mais focados na segurança cibernética, será que, paradoxalmente, estão se tornando menos eficazes em sua gestão? Ano após ano, a situação da segurança cibernética continua a piorar. Por exemplo, o relatório de criminalidade do FBI de 2024, publicado na primavera passada, revelou que as perdas decorrentes de crimes cibernéticos aumentaram 33% em comparação com o ano anterior. Com base em nosso extenso programa de pesquisa voltado para conselhos administrativos, incluindo entrevistas aprofundadas com mais de 75 conselheiros e executivos que atuam diretamente com os conselhos, estamos preocupados com o fato de que, apesar de os conselhos darem maior ênfase ao risco cibernético, sua capacidade de mitigá-lo melhorou apenas marginalmente. Em nossas observações sobre a governança cibernética dos conselhos, há três fatores proeminentes que impulsionam esse problema: 1) há uma falta de conhecimento especializado em segurança cibernética; 2) as discussões no nível do conselho sobre IA ignoram a segurança; e 3) os conselhos confundem conformidade regulatória com segurança. Esses problemas não são insuperáveis. Mas, enquanto persistirem, os conselhos administrativos estarão a caminhar para o desastre. Aqui está o que os conselheiros precisam de compreender sobre o seu papel na orientação dos esforços de cibersegurança e o que precisam de fazer de forma diferente. A falta de conhecimentos especializados em segurança cibernética Muitos conselhos administrativos reconhecem que carecem de conhecimentos especializados em segurança cibernética. Um estudo recente constatou que, entre 239 membros de conselhos que atuam em comitês de segurança cibernética em 62 empresas, qualificações formais na área eram incomuns: apenas um diretor possuía formação acadêmica formal em segurança cibernética. Cinco haviam concluído treinamentos ou obtido certificações em segurança cibernética, e apenas 16 contribuíram com alguma experiência prática relevante na área. Claramente, a maioria dos comitês de segurança cibernética em nível de conselho administrativo continua desprovida de conhecimentos especializados em segurança cibernética. Com base em nossas conversas com conselheiros, está surgindo uma estratégia comum para melhorar a governança cibernética dos conselhos: a incorporação de conselheiros com competência em segurança cibernética. À primeira vista, isso faz sentido. Em vez de tentar aprimorar as habilidades do conselho para torná-lo mais versado em questões cibernéticas, simplesmente incorporar um ou dois conselheiros que já possuam conhecimento na área parece ser uma solução alcançável. Como sugerem os números acima, a maioria dos conselhos não vai além de discutir o assunto. No entanto, mesmo quando os conselhos administrativos conseguem recrutar diretores com conhecimento em segurança cibernética, os benefícios podem ser limitados pelo ritmo acelerado das mudanças no cenário cibernético. Refletindo sobre a dificuldade dos conselhos administrativos em se manterem atualizados em relação à segurança cibernética, um diretor com quem conversamos observou: Não temos muitos especialistas em tecnologia que fazem parte de conselhos de administração. Eu faço parte de vários conselhos. Sou o especialista em tecnologia e segurança cibernética em todos esses conselhos. Não estou criticando meus colegas de trabalho nem os outros membros dos conselhos. São pessoas incríveis. Mas essas áreas, IA e segurança cibernética, estão evoluindo muito rapidamente. Tenho dificuldade em acompanhar tudo isso. E eu conheço a tecnologia e moro no Vale do Silício. O que os conselhos de administração deveriam fazer: Na realidade, o fato de não terem sido nomeados mais conselheiros com experiência em segurança cibernética pode não ser um descuido. De acordo com nossas entrevistas, corrigir esse ponto fraco no âmbito do Conselho administrativo constitui um desperdício de tempo e esforço. Em vez de aumentar o número de conselheiros com experiência em segurança cibernética, os conselhos deveriam concentrar suas responsabilidades nessa área na seleção e supervisão de executivos eficazes na área de segurança cibernética. Em vez de se esforçarem para se tornarem especialistas técnicos, os conselheiros devem concentrar-se em desenvolver sua capacidade de identificar, avaliar e recrutar líderes competentes em segurança cibernética e, em seguida, exercer uma governança eficaz sobre esses líderes. Muitos conselheiros são convidados a integrar conselhos administrativos devido à sua experiência executiva bem-sucedida, e essa expertise pode ser aproveitada e reorientada para avaliar se os líderes de segurança cibernética são eficazes ou ineficazes. Uma maneira de realizar tal avaliação é observar o desempenho executivo nesse contexto. Por exemplo, embora os incidentes cibernéticos possam ser prejudiciais e disruptivos, eles também oferecem uma oportunidade inestimável para que os conselhos de administração observem como os executivos reagem sob pressão. Se a liderança em segurança cibernética não estiver à altura durante tais crises e sua capacidade de se comunicar efetivamente com o conselho for fraca, isso deve levar o conselho a considerar mudanças na liderança. Na ausência de uma violação real, os conselhos podem avaliar de forma semelhante a capacidade da liderança por meio de exercícios simulados de incidentes cibernéticos ou simulações de emergência cibernética. Para adotar efetivamente essa abordagem redefinida, os conselheiros devem reavaliar a forma como interagem com os principais executivos em relação à segurança cibernética. Em primeiro lugar, devem avaliar a clareza, a relevância e a acessibilidade dos relatórios de segurança. Em segundo lugar, devem obter a confirmação de que os esforços e a cultura cibernética da organização estão focados na resiliência e na continuidade dos negócios, em vez de se limitarem à implementação e ao teste de controles técnicos. Em terceiro lugar, devem considerar a frequência de suas interações sobre segurança cibernética, garantindo que as discussões sejam regulares e estratégicas — e não meramente reativas a incidentes ou motivadas por manchetes alarmantes. Além disso, os conselhos devem recorrer a consultores externos para reforçar sua capacidade de proporcionar uma governança cibernética adequada, sem que eles próprios se tornem especialistas no assunto. A IA é tanto uma oportunidade quanto um risco Embora a inteligência artificial seja um ponto central de discussão em praticamente todas as salas de diretoria, essas conversas costumam ter uma visão limitada à estratégia e praticamente ignoram a segurança. Essa visão estreita em relação à estratégia é compreensível. Os conselhos de administração buscam na IA gerar disrupção no setor, ganhos em eficiência operacional e a esperança de desenvolver produtos e serviços inovadores. No entanto, esse foco estratégico é o canto da sereia tecnológica dos nossos dias, atraindo os diretores para águas perigosas. A IA está revolucionando a segurança cibernética da mesma forma que está revolucionando os negócios: agentes mal-intencionados podem agora utilizá-la para agilizar a geração de malware — código malicioso capaz de atacar o seu sistema — e aumentar a escala e a velocidade dos ataques cibernéticos por meio da automação. Além disso, a IA pode ser usada para criar e-mails de phishing assustadoramente convincentes (por exemplo, spear phishing apoiado por IA), bem como imagens, áudio e vídeo para ataques direcionados personalizados, o que pode levar a perdas de milhões de dólares. Os conselhos de administração devem estar tão alarmados com essas ameaças à segurança cibernética impulsionadas pela IA quanto estão entusiasmados com as oportunidades de negócios que a IA oferece. O que os conselhos de administração devem fazer: Os conselhos administrativos devem tratar a IA tanto como uma oportunidade estratégica quanto como um risco à segurança cibernética e à governança. Na prática, isso significa garantir uma supervisão estruturada das ameaças impulsionadas pela IA, das implicações éticas e das vulnerabilidades operacionais, em vez de se concentrar exclusivamente em seu potencial comercial. Embora as capacidades positivas da IA frequentemente chamem a atenção dos diretores, eles também devem considerar como a IA altera o panorama de riscos da organização — particularmente como ela pode fortalecer os ciberataques, introduzir novas vulnerabilidades e criar desafios éticos e operacionais. (No entanto, esses esforços devem estar alinhados com os princípios descritos na seção anterior, com os conselhos de administração exercendo a supervisão adequada sobre os executivos que atuam nesse contexto). Mais especificamente, os conselhos de administração podem fazer perguntas como: Estamos priorizando a integração da IA porque ela gera valor real ou porque todos os outros estão fazendo isso? Estamos fazendo concessões desnecessárias entre a adoção da IA e os riscos da IA? Como nossos processos centrais estão mudando devido à IA e quais são as implicações caso esses processos gerem disrupção como resultado? Os comitês de governança e ética podem desempenhar um papel central, garantindo que os riscos da IA sejam considerados desde o início do projeto e da implantação das ferramentas de IA e, posteriormente, integrados aos comitês do conselho que tratam dos impactos tecnológicos, financeiros, humanos e comerciais. Como a IA já está sendo integrada em diversos contextos organizacionais, os conselhos de administração não devem adiar o início de suas discussões sobre o assunto. Em vez disso, devem empenhar-se desde já em exercer uma supervisão significativa — compreendendo as capacidades da IA, definindo objetivos estratégicos e comprometendo-se com a implantação de medidas de segurança adequadas — que acompanhe os esforços estratégicos que impulsionam a integração da IA. Conformidade não é segurança A proliferação de regulamentações de segurança cibernética levou muitos conselhos de administração a acreditar que conformidade é sinônimo de segurança. É fácil compreender como isso ocorre. As discussões do conselho sobre regulamentações de segurança cibernética exigem muito tempo, pois frequentemente se perdem nos detalhes de painéis de controle, preenchimento de formulários e verificação da regularidade das certificações de conformidade. No entanto, considerando a atenção que essas tarefas exigem do conselho, constatamos que a relação entre as regulamentações cibernéticas e as práticas recomendadas de segurança cibernética é, na melhor das hipóteses, tênue. Na realidade, as organizações com dimensão suficiente para possuir um conselho de administração geralmente obtêm um valor marginal — se é que obtêm algum — das regulamentações de segurança cibernética. Nossas investigações sugerem que os órgãos reguladores muitas vezes não estão bem posicionados para definir as práticas recomendadas de segurança cibernética, e que os processos burocráticos inerentes criam atrasos entre a elaboração e a implementação das regulamentações. Como a maioria das organizações com conselho de administração dispõe de recursos suficientes para contratar os melhores profissionais da área de segurança cibernética, as regulamentações às quais estão sujeitas são frequentemente irrelevantes e inoportunas. Quando os conselhos de administração precisavam ser convencidos da importância da segurança cibernética, as regulamentações desempenharam um papel fundamental para persuadi-los a aprovar investimentos nessa área; no entanto, quase todos os conselhos já superaram essa fase. Ao abordar esse tema, um especialista nos disse que as regulamentações raramente acrescentam mais do que a ameaça já existente de prejuízos econômicos ou de reputação decorrentes de um incidente cibernético: Acho que o governo tem dificuldade, neste contexto, em superar a mentalidade de “ir para a batalha e atirar nos feridos” [ou seja, punir empresas que sofreram um incidente cibernético]. … E se considerar que atirar nos feridos é um exercício útil para elevar o moral, isso já diz tudo o que precisa saber sobre as regulamentações de segurança cibernética. O que os conselhos de administração devem fazer: Os conselhos de administração devem encarar a segurança cibernética menos como uma questão regulatória orientada pela conformidade e mais como uma questão de resiliência operacional e competitiva, na qual os incentivos de mercado e a responsabilidade organizacional geram resultados de segurança mais sólidos do que as regras impostas pelo governo. Essa dinâmica se assemelha mais à segurança aérea do que à regulamentação tradicional, em que as organizações são motivadas a melhorar porque as consequências de uma falha — tais como interrupção operacional, prejuízo financeiro e danos à reputação — são imediatas e graves. Consequentemente, os conselhos de administração devem dar ênfase aos incentivos internos, à prestação de contas e à disciplina operacional, tratando a segurança cibernética como um componente essencial da resiliência e da competitividade a longo prazo. Para garantir que os conselhos estejam alinhados com essa nova perspectiva, devem considerar questões como: Em que medida os elementos cibernéticos estão integrados no desenvolvimento de nossos produtos e serviços? O conselho está abordando a segurança cibernética de maneira proativa ou reativa? Como uma melhor segurança cibernética pode melhorar a experiência do cliente e a reputação da marca? Além disso, o conselho de administração precisa compreender que os riscos de segurança cibernética muitas vezes ultrapassam os limites de uma única organização, uma vez que podem existir vulnerabilidades em sistemas e setores interconectados, com consequências dramáticas. Como a supervisão de riscos é uma das funções mais importantes do conselho de administração, esses riscos devem ser cuidadosamente analisados. Para lidar com os riscos extraorganizacionais, os conselhos de administração devem garantir que os executivos tratem essa categoria como uma prioridade estratégica. Devem investigar ativamente para identificar parceiros de alto risco, confirmar que as ameaças externas estejam plenamente integradas aos planos de continuidade de negócios e verificar se existem redundâncias adequadas para as funções críticas. Igualmente importante, os conselhos de administração devem incentivar os parceiros a adotarem uma postura mais avançada — deixando de ver a conformidade como sinônimo de segurança e passando a reconhecê-la como um fator impulsionador da resiliência e da vantagem competitiva. . . . É encorajador que cada vez mais conselhos administrativos percebam que têm um papel importante a desempenhar na supervisão das responsabilidades fiduciárias e de gestão de riscos relacionadas à segurança cibernética. No entanto, muitos ainda não compreendem exatamente como desempenhar essa função da maneira mais eficaz. Os conselheiros precisam levar em consideração as três principais lacunas mencionadas acima e refletir sobre como poderiam resolvê-las. Em resposta, os conselhos de administração devem reconhecer que sua alavanca mais eficaz não consiste em tentar incorporar conhecimentos técnicos ao nível do conselho nem em confiar em treinamentos que rapidamente se tornam obsoletos num ambiente de ameaças impulsionado pela IA. Em vez disso, devem concentrar-se em contar com uma liderança em cibersegurança da mais alta qualidade e em capacitá-la para maximizar seu impacto. Ao tratar a conformidade regulatória como um requisito básico — em vez de um substituto para práticas sólidas de segurança cibernética —, os conselhos podem trabalhar com a administração para fortalecer a postura de segurança da organização por razões estratégicas sólidas, como proteger a marca ou possibilitar a diferenciação de produtos. Com essas mudanças, os conselhos de administração podem colaborar de forma mais produtiva com os executivos para garantir que as estratégias de negócios baseadas em IA não criem pontos cegos na identificação e resposta a um cenário de ameaças impulsionado pela IA e que evolui com a mesma rapidez. Agradecimento: A pesquisa relatada neste artigo foi apoiada, em parte, por recursos dos membros do consórcio Cybersecurity at MIT Sloan (CAMS).

Os conselhos de administração estão deixando a desejar em matéria de segurança cibernética

Resumo.

Partner Center