As Empresas Estão Se Rendendo aos Riscos de Cibersegurança?
05/08/2019
A mais recente violação cibernética está conscientizando sobre as vulnerabilidades nos serviços na nuvem, ameaças internas e riscos de terceiros, refletindo o quanto os riscos de cibersegurança podem ser complexos e interligados. Cabe a todas as organizações ter entendimento profundo dos riscos cibernéticos em toda a empresa, incluindo o entendimento de suas culturas virtuais.
Neste artigo de 2018, revisito a importância do relacionamento da auditoria interna com os líderes de TI e o valor da compreensão da cibercultura.
Por volta dos últimos doze anos, a cibersegurança deixou de ser uma preocupação misteriosa de TI relegada à responsabilidade dos chief security officers (CSOs) e dos chief information security officers (CISOs), para se tornar prioridade máxima dos conselhos e da alta administração. No entanto, o progresso tem sido dolorosamente lento para um problema que todos concordam que está evoluindo a uma velocidade vertiginosa.
Relatos de ciberataques de destaque são agora rotineiros e nenhum setor ou indústria está imune à essa ameaça. Inclusive, a Privacy Rights Clearinghouse documentou mais de 8.600 violações de dados desde 2005, incluindo 831 em 2017. O grupo, localizado no Centro de Interesse Público do Direito (Center for Public Interest Law) da Escola de Direito da Universidade de San Diego, admite que não captura todos os ciberataques bem-sucedidos. Ainda assim, estima que mais de 11 bilhões de registros tenham sido violados desde o início do acompanhamento.
Mesmo assim, devo admitir que fico consternado toda vez que leio sobre ciberataques que poderiam ter sido evitados. Frequentemente, invasões de sucesso envolvem falhas humanas, não falhas tecnológicas. Isso é especialmente perturbador quando se considera que a cibersegurança está no topo, ou quase no topo, de todas as pesquisas feitas sobre riscos com a administração e o conselho.
Estou começando a me perguntar se a enormidade da cibersegurança está alimentando a inação dentro de algumas organizações. Eu me questiono se as empresas estão simplesmente jogando a toalha e aceitando o que eles acreditam ser “inevitáveis”. Apesar de saber que as violações de dados podem causar danos financeiros e reputacionais incríveis, as organizações não tomam todas as medidas razoáveis para se proteger. Pior, uma visão derrotista ou fatalista sobre a eventualidade de ser invadido pode estar contribuindo para controles fracos ou ineficazes.
Duas pesquisas recentes dão mais exemplos de nossas dificuldades com a cibersegurança. Uma pesquisa feita pela Spencer Stuart com as empresas S&P 500 revelou que, embora os conselhos em 2017 tenham contratado o maior número de novos diretores (397) desde 2004, apenas 19% deles tinham experiência de tecnologia ou telecomunicações. Isso sugere que, embora haja uma crescente conscientização sobre a importância de ter diretores com conhecimentos de TI e cibersegurança, essa conscientização não se traduziu em maiores ações.
Outro relatório, da empresa de serviços de segurança da informação IOActive, identificou vulnerabilidades de cibersegurança em quase todas as 40 principais plataformas on-line de negociação de ações que investigou. As vulnerabilidades variaram em gravidade, desde o armazenamento de senhas não criptografadas, até a promoção de recursos suscetíveis a malware.
Isso reflete o contínuo desafio de cibersegurança não integrada em todas as áreas da organização. Estou certo de que nenhuma dessas plataformas de negociação de ações procurou se tornar um alvo, mas, muitas vezes, a busca por conveniência ou interações mais simples com o cliente têm o custo de uma vulnerabilidade maior cibersegurança.
Se a administração está cedendo diante dos riscos de cibersegurança, os auditores internos não podem se dar ao luxo de se juntar a ela. Não devemos apenas garantir o talento certo em nossa equipe para auditar processos e controles de TI, mas também devemos estar cientes de como a cibersegurança é vista em toda a organização. Em suma, parte do escopo da auditoria interna deve ser avaliar a cultura cibersegurança da organização e ajudar a construir uma cultura que tenha maior perspicácia em cibersegurança.
O talento estava entre os quatro pontos chave para transformar a auditoria interna sobre as quais escrevi em um artigo anterior em 2017. Em suma, a auditoria interna deve redefinir talento, especialmente no que diz respeito à auditoria de TI.
Um trecho desse artigo do blog:
O caminho à frente no que tange à talento pode ser o mais desafiador. Por exemplo, os CAEs reportam desafios significativos quanto ao recrutamento de pessoal com conhecimento e experiência em cibersegurança, privacidade de dados e habilidades de análise e mineração de dados. Ainda assim, há medidas claras que podemos tomar para garantir que tenhamos as pessoas certas para atender às demandas dos stakeholders, inovar e atuar com agilidade.
[O North American Pulse of Internal Audit] identifica seis pontos chave que apoiam a manutenção das pessoas certas, inclu o desenvolvimento de uma estratégia de talentos, a busca por candidatos com diferentes experiências e formação e a inclusão de treinamento e desenvolvimento voltados para o futuro. Um dos pontos chave mais importantes é garantir que o escopo da auditoria interna impulsione a busca por competências para equipe. Frequentemente, o trabalho que as funções de auditoria interna assumem é ditado pelas competências que existem na equipe. Essa é uma prática perigosa, que funciona contra a inovação e a agilidade.
O papel da auditoria interna na construção de uma cultura perspicaz de cibersegurança anda de mãos dadas com a existência dos talentos certos na equipe. Assim como as funções de auditoria interna podem fazer verificações de cultura a cada trabalho que realizam, também podem avaliar como a cultura contribui para os sucessos e falhas da cibersegurança.
A auditoria interna deve trabalhar com CSOs e CISOs para identificar pontos fracos nos controles e práticas de cibersegurança da organização. É especialmente importante que a relação entre a auditoria interna e os líderes de TI seja saudável e colaborativa. Afinal, eles estão trabalhando pelo mesmo objetivo por uma cibersegurança eficaz.
Em todas as circunstâncias, a auditoria interna deve fornecer ao conselho uma avaliação direta e objetiva de como a cibersegurança é realizada dentro da organização e se a cultura da organização apoia ou trabalha contra ela. Da mesma forma, devemos avaliar o nível de prontidão da organização para responder se/quando os incidentes de cibersegurança ocorrerem.
Gostaria de saber o que você está fazendo para avaliar a cultura de cibersegurança de sua organização. Como sempre, aguardo seus comentários.
Divulgação:
Richard F. Chambers, presidente e CEO do Global Institute of Internal Auditors, escreve artigos semanais para o blog da InternalAuditor.org sobre assuntos e tendências relevantes para a profissão de auditoria interna.
Tradução: IIA Brasil
Revisão Técnica da Tradução: Walkyria A. Augusto, CIA, CRMA, CCSA.