baixe agora

Propaganda
Segurança cibernética para
conselhos de administração:
preferências de risco versus políticas sólidas
Os conselhos corporativos devem priorizar a segurança de suas
comunicações, uma vez que os ataques cibernéticos estão cada
vez mais frequentes e sofisticados. Com o objetivo de esclarecer
o que deve ou não ser comunicado ou baixado pela Internet, com
quem trocar informações e, o mais importante, como fazer isso,
os conselhos devem incorporar às suas diretrizes estratégias e
regulamentos relacionados à segurança cibernética. Os membros
do conselho devem dar o exemplo seguindo os regulamentos
durante treinamentos e auditorias.
Em 2017, os riscos à segurança cibernética já não são novidade para os conselhos de administração.
Já se sabe que esquecer smartphones de trabalho em algum lugar representa enorme ameaça às
organizações, assim como trocar e-mails, armazenar dados na própria empresa e acreditar que senha
significa segurança.1
Em outubro de 2016, por conta de um vazamento de e-email e de uma apresentação do conselho
corporativo da Salesforce, uma lista de prováveis aquisições da empresa foi compartilhada com
o mundo.2 Em março de 2017, as autoridades prenderam um lituano pelo roubo de mais de USD
100 milhões de empresas de tecnologia dos EUA. Seu modus operandi: ele enviava comunicações
eletrônicas que pareciam mensagens por meio de uma conhecida empresa chinesa.3
1"Ameaça cibernética e a segurança do conselho: três equívocos que prejudicam a segurança da sala de reuniões"
2 http://www.businessinsider.com/leaked-salesforce-email-adobe-acquisition-list-2016-10
Segurança cibernética para conselhos de administração: preferências de risco versus políticas sólidas
Legisladores e órgãos fiscalizadores iniciaram uma reação às
intensas ameaças. O estado de Nova York, por exemplo, passou a
exigir que todas as empresas de serviços financeiros que atuam no
estado (e todas as empresas que mantêm negócios com o governo
estadual) tenham planos de segurança cibernética, aprovados pelo
conselho, que abranjam de trilhas de auditoria a acesso a dados
do cliente.4 E recentes processos judiciais envolvendo a Target
e a Wyndham Worldwide determinam que o fato de não haver
uma política de controle adequada de proteção de dados está
relacionado a uma possível violação da responsabilidade fiduciária
dos membros do conselho de administração.5
Como resultado, os membros do conselho têm dedicado cada vez
mais atenção à segurança corporativa. No entanto, a crescente
conscientização ainda não se reflete nas comunicações dos
próprios membros do conselho. De acordo com uma pesquisa de
opinião realizada em 2017 pela NYSE Governance Services, 92%
dos mais de 380 membros de conselho entrevistados expressaram
preferência pelo e-mail pessoal. Aproximadamente 60% admitiram
que enviam comunicações do conselho pelas suas contas de e-mail
pessoais com regularidade, incluindo Google, Yahoo e Hotmail.
Aumentando ainda mais as vulnerabilidades à segurança, 22%
responderam que rotineiramente armazenam material do conselho
em dispositivos pessoais ou externos.
Apesar do nível de conscientização cada vez maior, bem como de
iniciativas de educação corporativa, os conselhos ainda se esforçam
para estar atualizados sobre questões de risco e segurança cibernética,
tanto na empresa quanto em suas próprias atividades. Em uma pesquisa
de opinião de 2017, realizada pela Harvard Business School e pela
WomenCorporateDirectors Foundation, apenas 24% dos membros de
conselhos responderam que classificam a segurança cibernética de
suas próprias atividades "acima da média ou excelente".6
Como os conselhos podem começar a corrigir esses desníveis?
Um bom lugar para começar são os estatutos e as políticas de
governança de suas empresas.
COMUNICAÇÕES SEGURAS COMO PARTE DA
GOVERNANÇA DO CONSELHO
As políticas e os estatutos dos conselhos de administração são
bastante abrangentes: comportamentos financeiros, aceitação
de presentes, confidencialidades e divulgações. Em geral, essas
políticas incluem regras para comunicações, que vão desde
especificar o conteúdo que pode ser compartilhado entre os
membros do conselho (por exemplo, nenhuma solicitação comercial
ou pesquisa de opinião) até a maneira de se comunicar com a mídia
e o público.
3 https://www.theguardian.com/technology/2017/mar/22/phishing-scam-us-tech-companiestricked-100-million-lithuanian-man
4 http://fortune.com/2017/03/01/cyber-regulations-new-york
5 https://iapp.org/news/a/cybersecurity-in-the-boardroom-the-new-reality-for-directors/
6 https://hbr.org/2017/02/why-boards-arent-dealing-with-cyberthreats
7 https://www.governor.ny.gov/sites/governor.ny.gov/files/atoms/files/Cybersecurity_
Requirements_Financial_Services_23NYCRR500.pdf
8 http://fortune.com/2017/01/18/google-gmail-scam-phishing/
9 http://www.bizjournals.com/seattle/news/2017/02/28/boeing-discloses-36-000-employeedata-breach.html
No mundo atual, com riscos e consequências alarmantes, a
segurança cibernética deve fazer parte dessas diretrizes. Os
regulamentos do estado de Nova York recomendam que as políticas
abranjam acesso e privacidade dos dados, gerenciamento de
identidade, monitoramento de sistemas e de rede, continuidade
dos negócios, entre outros aspectos.7
O que você deve considerar para sua própria política na próxima
reunião do comitê de auditoria, de governança ou do conselho de
administração? Com base em nossa experiência com milhares de
conselhos corporativos no mundo inteiro, a Diligent recomenda:
RECEBIMENTO E ENVIO DE MENSAGENS
Membros do conselho, diretor jurídico, executivos seniores — quem
deveria enviar e receber comunicações do conselho e quem não
deveria? Especifique isso nos mínimos detalhes em suas diretrizes
e estabeleça políticas para enviar e receber anexos, reter e
arquivar mensagens e limpar remotamente as comunicações de um
dispositivo perdido ou roubado. O próximo passo é apoiar a adoção
de tecnologias, como o Diligent Messenger, que ajuda a impedir
envios equivocados, por exemplo, o preenchimento automático de
um endereço de e-mail errado no campo de destinatários.
Dado o aumento de e-mails de phishing em ataques cibernéticos,
as diretrizes também precisam proibir explicitamente respostas de
partes não autorizadas. Nem mesmo os aplicativos de mensagens
para conselhos mais seguros são 100% invioláveis para enfrentar
as técnicas de hacking cada vez mais sofisticadas.
O hacker lituano que enganou empresas de tecnologia para enviar-lhe
USD 100 milhões é apenas um exemplo. Outra estratégia de ataque
recente faz com que as vítimas abram um e-mail que sequestra
o "endereço de envio" de um contato confiável. Nesse caso, o
destinatário é redirecionado para uma tela de logon do Gmail falsa
(mas convincente). Aqui, os invasores capturam informações de nome
e senha para acessar a caixa de entrada de e-mail do destinatário.8
Por último, defina exatamente o que significa a expressão
"comunicações do conselho oficiais". As atas, por exemplo,
constituem informações confidenciais mais óbvias, mas e as
agendas e convites de reunião ou os e-mails individuais entre os
membros do conselho? Deixe tudo isso bem claro em sua política
de comunicação segura.
PARA LIDAR COM ANEXOS
Ao enviar uma planilha para a esposa a fim de obter ajuda com
problemas de formatação, um funcionário da Boeing também
colocou em risco nomes, datas de nascimento e números do seguro
social de 36.000 funcionários.9
Além de determinar o que pode ou não ser feito no envio
de mensagens, sua política de comunicação precisa incluir a
transmissão de arquivos eletrônicos. Arquivos relacionados a
atividades do conselho nunca devem ser enviados por métodos
não seguros ou não criptografados. Além disso, devem ser enviados
apenas para usuários autorizados. Descreva nos mínimos detalhes
exatamente quem são esses usuários autorizados.
Segurança cibernética para conselhos de administração: preferências de risco versus políticas sólidas
Sua política também deve especificar os tipos de arquivo que
os membros do conselho podem baixar e explicitar aqueles que
não podem. No clima atual, com grande circulação de phishing,
malware, freeware e shareware suspeitos, "o que parece um
download de trabalho inocente pode facilmente introduzir um vírus
em sua rede e expor dados comerciais confidenciais", relatam
especialistas em segurança cibernética da Sentek Global para a
revista Entrepreneur.10 Sua equipe de segurança cibernética interna
ou terceirizada deve estar apta a oferecer orientação sobre esses
pontos.
PARA ARQUIVAMENTO E RETENÇÃO DE COMUNICAÇÕES
Salvar atas ou documentos relacionados a fusões e aquisições no
disco rígido de um laptop ou manter um arquivo de e-mails robusto
durante vários anos pode poupar o tempo de um ocupado membro
do conselho em trânsito. No entanto, essa prática coloca o seu
conselho em uma situação de risco significativa caso os dispositivos
sejam perdidos ou roubados, ou uma caixa de entrada de e-mails
seja comprometida por e-mails mal-intencionados.
Na política de seu conselho, especifique o tipo de material que
os membros do conselho podem baixar da Internet, além dos
smartphones, tablets, computadores e programas de software
específicos que eles podem usar. Hoje, com dispositivos pessoais e
caixas de entrada sujeitos à descoberta eletrônica (e um membro do
conselho sob risco de intimação pessoal em caso de litígio corporativo),
os regulamentos das comunicações do conselho precisam abranger
todos os aspectos relevantes. Como esses dispositivos devem ser
protegidos? Serão estabelecidos períodos para que os membros do
conselho sejam obrigados a excluir arquivos ou e-mails?
Essa parte de sua política também deve fornecer orientações, caso
as coisas deem errado. No caso da Boeing, a empresa realizou
uma investigação forense de ambos os dispositivos para garantir
que todas as cópias conhecidas da planilha tinham sido destruídas.
Em seguida, foi enviada uma carta de notificação às partes afetadas
(com uma oferta de dois anos de monitoramento gratuito), além de
treinamento dos funcionários sobre o tratamento de informações
pessoais.
A quem os incidentes devem ser relatados? Que meios devem ser
usados para “limpar” dados e dispositivos — e como você poderá
demonstrar a eficácia dessas medidas?
Sua equipe de segurança cibernética interna ou terceirizada deve
estar apta a orientá-lo em relação a detalhes técnicos específicos,
como armazenamento seguro, criptografia de dados, autenticação
de identidade e controle de acesso de administrador.
PARA INCENTIVO À ADOÇÃO
O primeiro passo é a implementação das regras corretas, o que
pode ser realizado em sua próxima reunião do comitê ou do
10 https://www.entrepreneur.com/article/272847
11 http://www.insurancejournal.com/news/international/2017/01/11/438549.htm
12 https://corpgov.law.harvard.edu/2017/02/15/risk-management-and-the-board-of-
conselho. Depois disso, fazer com que elas funcionem será um
processo contínuo.
Para aumentar suas chances de sucesso, tenha uma solução
de tecnologia pronta para implantação e que se adapte às suas
diretrizes. A Diligent recomenda um sistema de mensagens seguro,
controlado e de loop fechado que se integre a um sistema existente
e seguro de portal para conselhos. Procure por criptografia de dados
e autenticação multifator (reforçando as senhas com um método
secundário para confirmar a identidade) em todos os dispositivos.
"Deixar de usar o e-mail pessoal pode ser um sacrifício, mas que
pode ser compensado com muitos ganhos: segurança cibernética,
mitigação do risco cibernético e redução da responsabilidade
pessoal", afirma Dottie Schindlinger, evangelista de tecnologia de
governança da Diligent.
Para ajudar a evitar a tentação de soluções alternativas, ofereça aos
membros do conselho uma solução tecnológica que seja simples e
livre de estresse. Ela deve:
⊲⊲ Ter uma configuração intuitiva — simples como baixar um
aplicativo em vez de exigir vários passos desconhecidos.
⊲⊲ Ser fácil de usar.
⊲⊲ Sincronizar os smartphones, tablets e laptops dos membros do
conselho para que eles possam acessar as informações onde
quer que estejam.
Seja qual for a solução escolhida, o uso regular e correto será a
chave para seu sucesso. Dedique tempo ao treinamento prático dos
membros do conselho na nova tecnologia. (Na pesquisa de opinião
feita pela NYSE entre os membros de conselhos de empresas de
capital aberto, apenas 9% dos entrevistados relataram que eram
obrigados a fazer o mesmo treinamento em segurança cibernética
que os funcionários). Reforce a adoção por meio de atualizações
periódicas, além de auditoria e verificação envolvendo os principais
executivos de segurança da informação, conformidade e TI.
Diante de tantas expectativas negativas (o spearphishing deve
tornar-se mais direcionado e avançado, a sabotagem dos dados já
é uma ameaça real e os ataques ao estado-nação e à Internet das
coisas que complicam tudo)11, a segurança cibernética contínua deve
ser prioridade para as empresas. Enquanto isso, tornam-se cada
vez mais graves as consequências competitivas e relacionadas à
reputação de não adotar medidas firmes. De acordo com Matteo
Tonello, do The Conference Board, processos deficientes de gestão
de risco e controle, bem como políticas falhas de segurança de TI,
"são vistos cada vez mais como meros sintomas de uma cultura de
risco insatisfatória ou deficiente”12.
É imprescindível ter muito cuidado com a segurança cibernética,
e esse cuidado deve começar dentro da empresa. Dadas as
crescentes ameaças e riscos no ambiente corporativo atual, bem
como o crescente papel dos conselhos na supervisão da segurança
cibernética, os membros do conselho não podem ficar de braços
cruzados e devem garantir que suas próprias comunicações sigam
as práticas recomendadas. Incluir a necessidade de segurança na
troca de mensagens nas suas diretrizes e políticas de comunicação
já é um começo.
Aproveitando todo o potencial da informação de maneira
segura.
A Diligent ajuda as principais organizações do mundo a usar o poder da
informação e da colaboração com segurança, proporcionando aos seus
conselhos e equipes de gerenciamento recursos para tomar as melhores
decisões. Mais de 4.700 clientes, em mais de 70 países, contam com a
Diligent para ter acesso imediato às suas informações mais urgentes e
confidenciais, apoiados por ferramentas de análise, discussão e
colaboração com os principais tomadores de decisão. O Diligent Boards
agiliza e simplifica como o material do conselho é produzido e distribuído
via iPad e dispositivos e navegadores do Windows. O Diligent Boards
também oferece vantagens práticas a líderes no mundo inteiro, como
cortar custos de produção, dar suporte a metas de sustentabilidade e
economizar tempo de TI e de tarefas administrativas. Junte-se aos líderes.
Seja Diligent.
Diligent é uma marca comercial da Diligent Corporation, registrada no United States Patent and
Trademark Office. “Diligent Boards”, “Diligent D&O”, “Diligent Evaluations”, “Diligent Messenger” e
o logotipo da Diligent são marcas comerciais da Diligent Corporation. As marcas comerciais de
terceiros pertencem aos respectivos proprietários. Todos os direitos reservados.
© 2017 Diligent Corporation.
Para obter mais
informações ou solicitar
uma demonstração,
entre em contato hoje
mesmo:
Tel: 0800-591-9013
E-mail: [email protected]
Visite: www.diligent.com
WP0029_PTB
Download