Nos últimos doze anos, mais ou menos, a segurança cibernética deixou de ser uma preocupação misteriosa de TI, que deve ser deixada para os CSOs e CISOs, e se tornou uma prioridade máxima dos conselhos de administração e dos executivos. No entanto, o progresso tem sido dolorosamente lento para esse problema que todos concordam que está evoluindo a uma velocidade vertiginosa.

Relatórios de grandes ciberataques são rotineiros atualmente e nenhum setor ou indústria está imune a essa ameaça. De fato, a Privacy Rights Clearinghouse documentou mais de 8.600 violações de dados desde 2005, incluindo 831 em 2017. O grupo, localizado no Center for Public Interest Law, da Universidade de San Diego, admite que não detecta todos os ataques cibernéticos bem-sucedidos. Ainda assim, estima que mais de 11 bilhões de registros tenham sido violados desde que começaram a monitorar.

Mesmo assim, devo admitir que me sinto incomodado toda vez que leio sobre ataques cibernéticos que poderiam ter sido evitados. Demasiadas vezes, hacks bem-sucedidos envolvem falhas humanas, não tecnológicas. Isso é especialmente preocupante quando consideramos que a segurança cibernética está no topo, ou quase no topo, de todas as pesquisas sobre riscos com a administração e conselhos.

Estou começando a me perguntar se a enormidade da cibersegurança está alimentando a inação dentro de algumas organizações. Eu me pergunto se as empresas estão simplesmente jogando a toalha e aceitando o que acreditam ser "inevitável". Apesar de saberem que as violações de dados podem causar danos financeiros e reputacionais inacreditáveis, as organizações não tomam todas as medidas razoáveis para se protegerem. Pior, uma visão derrotista ou fatalista sobre a eventualidade de ser hackeado pode estar contribuindo para controles fracos ou ineficazes.

Duas pesquisas recentes servem de exemplos adicionais de nossas lutas com a cibersegurança. Uma pesquisa feita por Spencer Stuart, das empresas S&P 500, revelou que, embora os conselhos tenham contratado, no ano passado, o maior número de novos diretores (397) desde 2004, apenas 19% deles tinham experiência em tecnologia ou telecomunicações. Isso sugere que, embora haja uma crescente conscientização sobre a importância de ter diretores com conhecimento de TI e cibersegurança, essa percepção não se traduziu em ações maiores.

Um novo relatório da empresa de serviços de segurança da informação IOActive identificou vulnerabilidades de cibersegurança em quase todas as 40 principais plataformas online de negociação de ações que foram investigadas. As vulnerabilidades variaram em gravidade, desde o armazenamento de senhas não criptografadas, até a promoção de recursos suscetíveis a malware.

Isso reflete um desafio contínuo, porque a cibersegurança não está integrada em todas as áreas da organização. Tenho certeza de que nenhuma dessas plataformas de negociação de ações quis se tornar alvo, mas, frequentemente, a preferência pela conveniência ou por interações amigáveis com o cliente vem com o custo da maior vulnerabilidade cibernética.

Se a administração estiver aceitando os riscos de cibersegurança, os auditores internos não podem se dar ao luxo de fazer o mesmo. Não devemos apenas garantir que tenhamos o talento certo em nossa equipe para auditar os processos e controles de TI, mas também devemos estar cientes de como a cibersegurança é vista em toda a organização. Em suma, parte do escopo da auditoria interna deve ser avaliar a cultura cibernética da organização e ajudar a construir uma cultura ciber-esclarecida.

O talento foi uma das quatro chaves para transformar a auditoria interna que mencionei em um artigo no começo do ano. Em suma, a auditoria interna deve redefinir os talentos, especialmente no que diz respeito à auditoria de TI.

Trecho do artigo:

O caminho a seguir, em relação ao talento, pode ser o mais desafiador. Por exemplo, os CAEs relatam grandes desafios no recrutamento de profissionais com habilidades de análise e mineração de dados/privacidade cibernética. Ainda assim, há medidas claras que podemos tomar para garantir que tenhamos as pessoas certas à disposição para atender às demandas dos stakeholders, inovar e atuar com agilidade.

[O North American Pulse of Internal Audit] identifica seis chaves que apoiam a contratação das pessoas certas, incluindo o desenvolvimento de uma estratégia de talentos, a busca por candidatos com diferentes históricos e a inclusão de treinamentos e desenvolvimento com foco no futuro. Mas uma das mais importantes é garantir que o escopo da auditoria interna motive as competências dos funcionários. Frequentemente, o trabalho feito pelas funções de auditoria interna é ditado pelas habilidades que elas têm à disposição na equipe. Esta é uma prática perigosa, que trabalha contra a inovação e a agilidade.

O papel da auditoria interna na construção de uma cultura ciber-esclarecida demanda ter o talento certo na equipe. Assim como as funções de auditoria interna podem fazer verificações da cultura em cada trabalho que realizam, também podem avaliar como a cultura contribui para os sucessos e fracassos da cibersegurança.

A auditoria interna deve trabalhar com os CSOs e CISOs para identificar os pontos fracos dos controles e das práticas de cibersegurança da organização. É especialmente importante que a relação entre a auditoria interna e os líderes de TI seja saudável e cooperativa. Afinal, eles estão trabalhando pelo mesmo objetivo, o da cibersegurança eficaz.

Em todos os casos, a auditoria interna deve oferecer ao conselho uma avaliação direta e objetiva sobre como a cibersegurança é conduzida dentro da organização e se a cultura da organização a apoia ou se trabalha contra ela. E, tão importante quanto isso, devemos garantir que a organização esteja preparada para reagir se/quando houver violações de cibersegurança.

Eu gostaria de saber o que você tem feito para avaliar a cultura de cibersegurança em sua organização.

Divulgação:

Richard F. Chambers, presidente e CEO do Global Institute of Internal Auditors, escreve um blog semanal para o InternalAuditor.org sobre questões e tendências relevantes para a profissão de auditoria interna.

Tradução: IIA Brasil

Revisão Técnica da Tradução: Antônio Edson Maciel dos Santos, CCSA.