Aviso Site sobre uso de Cookies:

A proteção dos dados pessoais é importante para o IIA Brasil. Usamos cookies para analisar o tráfego do site e assim melhorar os nossos serviços. A continuação do uso do nosso site, sem alterar as configurações do seu navegador, confirma a sua aceitação desses cookies.
Para mais informação, consulte a nossa política de cookies.


CONCORDO, continuar...

HOME > Notícias > Seis perguntas que os conselhos (e a auditoria interna) devem fazer sobre a segurança cibernética

Seis perguntas que os conselhos (e a auditoria interna) devem fazer sobre a segurança cibernética

Seis perguntas que os conselhos (e a auditoria interna) devem fazer sobre a segurança cibernética
17/08/2021



Por mais de uma década, os riscos cibernéticos estiveram no topo ou quase no topo de todos os riscos enfrentados por organizações em todo o mundo. Muitas vezes, as violações da segurança cibernética de proporções devastadoras causaram estragos operacional, financeiro e de reputação para as organizações, muitas vezes destruindo valor e pegando a administração, conselhos e auditores internos de surpresa total.

Nos dias de hoje, como alguém pode ser surpreendido por um ataque cibernético está além da minha compreensão. Ainda assim, de acordo com a pesquisa do IIA, os membros do conselho corporativo costumam manter um nível equivocado de confiança na eficácia do gerenciamento de riscos de segurança cibernética. Pela minha experiência, os auditores internos muitas vezes não ajudam muito porque lutam com recursos adequados e falta de experiência para avaliar a eficácia desse risco crítico.

Para equipar melhor conselhos e auditores internos para avaliar a eficácia do gerenciamento de risco de segurança cibernética, o IIA e a EY recentemente formaram uma parceria na publicação de um artigo informativo e oportuno: The Risky Six: Questões-chave para expor lacunas na compreensão do conselho sobre resiliência cibernética organizacional (PDF ) O documento é o produto de uma colaboração entre os profissionais do IIA e da EY, e foi o último projeto em que tive o privilégio de trabalhar antes de deixar o cargo de CEO do IIA no final de março. Como observei no relatório:

“A importância de o conselho ter uma visão clara da resiliência cibernética da organização não pode ser exagerada. O conselho supervisiona o gerenciamento de risco e não consigo pensar em um risco mais urgente e abrangente do que a segurança cibernética. A supervisão adequada exige que os membros do conselho façam as perguntas certas no momento certo e busquem garantia independente da auditoria interna de que esse risco está sendo gerenciado de maneira adequada.”

No artigo, observamos que o ano passado produziu uma série de "fenômenos surpreendentes". Observamos na introdução do artigo:

“Os estressores imprevistos da pandemia global COVID-19 e um modelo de trabalho doméstico forçado (WFH) expuseram vulnerabilidades de segurança cibernética em organizações em todo o mundo, bem como o excesso de confiança do conselho e da administração na resiliência cibernética de suas empresas. Como isso pode acontecer em uma época de grande sensibilidade à segurança cibernética, quando os conselhos tornaram a batalha contra os ataques cibernéticos uma prioridade máxima?

A pandemia não criou vulnerabilidades; simplesmente trouxe à luz os existentes. Pode-se argumentar que a falha não está nos conselhos ou na liderança executiva apenas, mas no fato de que toda organização enfrenta uma miríade de riscos em constante evolução. No entanto, uma coisa é certa: a tarefa de se tornar e permanecer cibernético resiliente é quase impossível se os conselhos não tiverem uma compreensão clara dos pontos fortes e fracos da segurança cibernética de suas organizações.”

A razão pela qual o “Risky Six” deve ler o material para membros do conselho e auditores internos é que ele apresenta seis questões críticas que vão ao cerne da gestão eficaz do risco cibernético. Os membros do conselho (e auditores internos) são incentivados a perguntar se suas organizações “podem fornecer respostas a todas as seis com profundidade e compreensão”. Se a resposta a qualquer uma das perguntas for "não", o artigo "se aprofunda" em cada pergunta e explica como ser capaz de responder a cada uma delas na afirmativa pode ajudar a preencher lacunas na compreensão da verdadeira resiliência cibernética de nossa organização.

As seis perguntas são:

  1. A sua organização realizou uma recente avaliação de risco cibernético em toda a empresa?
  2. A sua organização implementou um programa de governança de dados além da classificação básica?
  3. Os riscos cibernéticos e as respostas foram incorporados de forma distinta em seu programa de gerenciamento de crises?
  4. A sua organização realizou uma avaliação recente de risco cibernético de terceiros e / ou joint venture?
  5. A segurança cibernética está incluída no plano de auditoria e / ou a auditoria interna está sendo aproveitada como uma ferramenta para ajudar sua organização a gerenciar o risco cibernético?
  6. A eficácia dos controles cibernéticos é medida e relatada de maneira consistente e significativa?

As lições mais valiosas de “Risky Six” não são simplesmente as perguntas. O conteúdo mais informativo contém informações detalhadas, tendências de pesquisas e pontos de treinamento que acompanham cada pergunta. Exorto todos os meus leitores a baixar uma cópia deste artigo, resumi-lo e compartilhá-lo com colegas e membros do conselho que, sem dúvida, se beneficiarão com o conhecimento que ele contém.

 

 

© 2021 Richard F Chambers and Associates, LLC. Used with permission.

Autor  Richard F. Chambers, Texto publicado em 11 de Abril de 2021 , no site oficial do Richard Charmbers.

Receba nossa newsletter