Segurança cibernética para conselhos de administração: preferências de risco versus políticas sólidas Os conselhos corporativos devem priorizar a segurança de suas comunicações, uma vez que os ataques cibernéticos estão cada vez mais frequentes e sofisticados. Com o objetivo de esclarecer o que deve ou não ser comunicado ou baixado pela Internet, com quem trocar informações e, o mais importante, como fazer isso, os conselhos devem incorporar às suas diretrizes estratégias e regulamentos relacionados à segurança cibernética. Os membros do conselho devem dar o exemplo seguindo os regulamentos durante treinamentos e auditorias. Em 2017, os riscos à segurança cibernética já não são novidade para os conselhos de administração. Já se sabe que esquecer smartphones de trabalho em algum lugar representa enorme ameaça às organizações, assim como trocar e-mails, armazenar dados na própria empresa e acreditar que senha significa segurança.1 Em outubro de 2016, por conta de um vazamento de e-email e de uma apresentação do conselho corporativo da Salesforce, uma lista de prováveis aquisições da empresa foi compartilhada com o mundo.2 Em março de 2017, as autoridades prenderam um lituano pelo roubo de mais de USD 100 milhões de empresas de tecnologia dos EUA. Seu modus operandi: ele enviava comunicações eletrônicas que pareciam mensagens por meio de uma conhecida empresa chinesa.3 1"Ameaça cibernética e a segurança do conselho: três equívocos que prejudicam a segurança da sala de reuniões" 2 http://www.businessinsider.com/leaked-salesforce-email-adobe-acquisition-list-2016-10 Segurança cibernética para conselhos de administração: preferências de risco versus políticas sólidas Legisladores e órgãos fiscalizadores iniciaram uma reação às intensas ameaças. O estado de Nova York, por exemplo, passou a exigir que todas as empresas de serviços financeiros que atuam no estado (e todas as empresas que mantêm negócios com o governo estadual) tenham planos de segurança cibernética, aprovados pelo conselho, que abranjam de trilhas de auditoria a acesso a dados do cliente.4 E recentes processos judiciais envolvendo a Target e a Wyndham Worldwide determinam que o fato de não haver uma política de controle adequada de proteção de dados está relacionado a uma possível violação da responsabilidade fiduciária dos membros do conselho de administração.5 Como resultado, os membros do conselho têm dedicado cada vez mais atenção à segurança corporativa. No entanto, a crescente conscientização ainda não se reflete nas comunicações dos próprios membros do conselho. De acordo com uma pesquisa de opinião realizada em 2017 pela NYSE Governance Services, 92% dos mais de 380 membros de conselho entrevistados expressaram preferência pelo e-mail pessoal. Aproximadamente 60% admitiram que enviam comunicações do conselho pelas suas contas de e-mail pessoais com regularidade, incluindo Google, Yahoo e Hotmail. Aumentando ainda mais as vulnerabilidades à segurança, 22% responderam que rotineiramente armazenam material do conselho em dispositivos pessoais ou externos. Apesar do nível de conscientização cada vez maior, bem como de iniciativas de educação corporativa, os conselhos ainda se esforçam para estar atualizados sobre questões de risco e segurança cibernética, tanto na empresa quanto em suas próprias atividades. Em uma pesquisa de opinião de 2017, realizada pela Harvard Business School e pela WomenCorporateDirectors Foundation, apenas 24% dos membros de conselhos responderam que classificam a segurança cibernética de suas próprias atividades "acima da média ou excelente".6 Como os conselhos podem começar a corrigir esses desníveis? Um bom lugar para começar são os estatutos e as políticas de governança de suas empresas. COMUNICAÇÕES SEGURAS COMO PARTE DA GOVERNANÇA DO CONSELHO As políticas e os estatutos dos conselhos de administração são bastante abrangentes: comportamentos financeiros, aceitação de presentes, confidencialidades e divulgações. Em geral, essas políticas incluem regras para comunicações, que vão desde especificar o conteúdo que pode ser compartilhado entre os membros do conselho (por exemplo, nenhuma solicitação comercial ou pesquisa de opinião) até a maneira de se comunicar com a mídia e o público. 3 https://www.theguardian.com/technology/2017/mar/22/phishing-scam-us-tech-companiestricked-100-million-lithuanian-man 4 http://fortune.com/2017/03/01/cyber-regulations-new-york 5 https://iapp.org/news/a/cybersecurity-in-the-boardroom-the-new-reality-for-directors/ 6 https://hbr.org/2017/02/why-boards-arent-dealing-with-cyberthreats 7 https://www.governor.ny.gov/sites/governor.ny.gov/files/atoms/files/Cybersecurity_ Requirements_Financial_Services_23NYCRR500.pdf 8 http://fortune.com/2017/01/18/google-gmail-scam-phishing/ 9 http://www.bizjournals.com/seattle/news/2017/02/28/boeing-discloses-36-000-employeedata-breach.html No mundo atual, com riscos e consequências alarmantes, a segurança cibernética deve fazer parte dessas diretrizes. Os regulamentos do estado de Nova York recomendam que as políticas abranjam acesso e privacidade dos dados, gerenciamento de identidade, monitoramento de sistemas e de rede, continuidade dos negócios, entre outros aspectos.7 O que você deve considerar para sua própria política na próxima reunião do comitê de auditoria, de governança ou do conselho de administração? Com base em nossa experiência com milhares de conselhos corporativos no mundo inteiro, a Diligent recomenda: RECEBIMENTO E ENVIO DE MENSAGENS Membros do conselho, diretor jurídico, executivos seniores — quem deveria enviar e receber comunicações do conselho e quem não deveria? Especifique isso nos mínimos detalhes em suas diretrizes e estabeleça políticas para enviar e receber anexos, reter e arquivar mensagens e limpar remotamente as comunicações de um dispositivo perdido ou roubado. O próximo passo é apoiar a adoção de tecnologias, como o Diligent Messenger, que ajuda a impedir envios equivocados, por exemplo, o preenchimento automático de um endereço de e-mail errado no campo de destinatários. Dado o aumento de e-mails de phishing em ataques cibernéticos, as diretrizes também precisam proibir explicitamente respostas de partes não autorizadas. Nem mesmo os aplicativos de mensagens para conselhos mais seguros são 100% invioláveis para enfrentar as técnicas de hacking cada vez mais sofisticadas. O hacker lituano que enganou empresas de tecnologia para enviar-lhe USD 100 milhões é apenas um exemplo. Outra estratégia de ataque recente faz com que as vítimas abram um e-mail que sequestra o "endereço de envio" de um contato confiável. Nesse caso, o destinatário é redirecionado para uma tela de logon do Gmail falsa (mas convincente). Aqui, os invasores capturam informações de nome e senha para acessar a caixa de entrada de e-mail do destinatário.8 Por último, defina exatamente o que significa a expressão "comunicações do conselho oficiais". As atas, por exemplo, constituem informações confidenciais mais óbvias, mas e as agendas e convites de reunião ou os e-mails individuais entre os membros do conselho? Deixe tudo isso bem claro em sua política de comunicação segura. PARA LIDAR COM ANEXOS Ao enviar uma planilha para a esposa a fim de obter ajuda com problemas de formatação, um funcionário da Boeing também colocou em risco nomes, datas de nascimento e números do seguro social de 36.000 funcionários.9 Além de determinar o que pode ou não ser feito no envio de mensagens, sua política de comunicação precisa incluir a transmissão de arquivos eletrônicos. Arquivos relacionados a atividades do conselho nunca devem ser enviados por métodos não seguros ou não criptografados. Além disso, devem ser enviados apenas para usuários autorizados. Descreva nos mínimos detalhes exatamente quem são esses usuários autorizados. Segurança cibernética para conselhos de administração: preferências de risco versus políticas sólidas Sua política também deve especificar os tipos de arquivo que os membros do conselho podem baixar e explicitar aqueles que não podem. No clima atual, com grande circulação de phishing, malware, freeware e shareware suspeitos, "o que parece um download de trabalho inocente pode facilmente introduzir um vírus em sua rede e expor dados comerciais confidenciais", relatam especialistas em segurança cibernética da Sentek Global para a revista Entrepreneur.10 Sua equipe de segurança cibernética interna ou terceirizada deve estar apta a oferecer orientação sobre esses pontos. PARA ARQUIVAMENTO E RETENÇÃO DE COMUNICAÇÕES Salvar atas ou documentos relacionados a fusões e aquisições no disco rígido de um laptop ou manter um arquivo de e-mails robusto durante vários anos pode poupar o tempo de um ocupado membro do conselho em trânsito. No entanto, essa prática coloca o seu conselho em uma situação de risco significativa caso os dispositivos sejam perdidos ou roubados, ou uma caixa de entrada de e-mails seja comprometida por e-mails mal-intencionados. Na política de seu conselho, especifique o tipo de material que os membros do conselho podem baixar da Internet, além dos smartphones, tablets, computadores e programas de software específicos que eles podem usar. Hoje, com dispositivos pessoais e caixas de entrada sujeitos à descoberta eletrônica (e um membro do conselho sob risco de intimação pessoal em caso de litígio corporativo), os regulamentos das comunicações do conselho precisam abranger todos os aspectos relevantes. Como esses dispositivos devem ser protegidos? Serão estabelecidos períodos para que os membros do conselho sejam obrigados a excluir arquivos ou e-mails? Essa parte de sua política também deve fornecer orientações, caso as coisas deem errado. No caso da Boeing, a empresa realizou uma investigação forense de ambos os dispositivos para garantir que todas as cópias conhecidas da planilha tinham sido destruídas. Em seguida, foi enviada uma carta de notificação às partes afetadas (com uma oferta de dois anos de monitoramento gratuito), além de treinamento dos funcionários sobre o tratamento de informações pessoais. A quem os incidentes devem ser relatados? Que meios devem ser usados para “limpar” dados e dispositivos — e como você poderá demonstrar a eficácia dessas medidas? Sua equipe de segurança cibernética interna ou terceirizada deve estar apta a orientá-lo em relação a detalhes técnicos específicos, como armazenamento seguro, criptografia de dados, autenticação de identidade e controle de acesso de administrador. PARA INCENTIVO À ADOÇÃO O primeiro passo é a implementação das regras corretas, o que pode ser realizado em sua próxima reunião do comitê ou do 10 https://www.entrepreneur.com/article/272847 11 http://www.insurancejournal.com/news/international/2017/01/11/438549.htm 12 https://corpgov.law.harvard.edu/2017/02/15/risk-management-and-the-board-of- conselho. Depois disso, fazer com que elas funcionem será um processo contínuo. Para aumentar suas chances de sucesso, tenha uma solução de tecnologia pronta para implantação e que se adapte às suas diretrizes. A Diligent recomenda um sistema de mensagens seguro, controlado e de loop fechado que se integre a um sistema existente e seguro de portal para conselhos. Procure por criptografia de dados e autenticação multifator (reforçando as senhas com um método secundário para confirmar a identidade) em todos os dispositivos. "Deixar de usar o e-mail pessoal pode ser um sacrifício, mas que pode ser compensado com muitos ganhos: segurança cibernética, mitigação do risco cibernético e redução da responsabilidade pessoal", afirma Dottie Schindlinger, evangelista de tecnologia de governança da Diligent. Para ajudar a evitar a tentação de soluções alternativas, ofereça aos membros do conselho uma solução tecnológica que seja simples e livre de estresse. Ela deve: ⊲⊲ Ter uma configuração intuitiva — simples como baixar um aplicativo em vez de exigir vários passos desconhecidos. ⊲⊲ Ser fácil de usar. ⊲⊲ Sincronizar os smartphones, tablets e laptops dos membros do conselho para que eles possam acessar as informações onde quer que estejam. Seja qual for a solução escolhida, o uso regular e correto será a chave para seu sucesso. Dedique tempo ao treinamento prático dos membros do conselho na nova tecnologia. (Na pesquisa de opinião feita pela NYSE entre os membros de conselhos de empresas de capital aberto, apenas 9% dos entrevistados relataram que eram obrigados a fazer o mesmo treinamento em segurança cibernética que os funcionários). Reforce a adoção por meio de atualizações periódicas, além de auditoria e verificação envolvendo os principais executivos de segurança da informação, conformidade e TI. Diante de tantas expectativas negativas (o spearphishing deve tornar-se mais direcionado e avançado, a sabotagem dos dados já é uma ameaça real e os ataques ao estado-nação e à Internet das coisas que complicam tudo)11, a segurança cibernética contínua deve ser prioridade para as empresas. Enquanto isso, tornam-se cada vez mais graves as consequências competitivas e relacionadas à reputação de não adotar medidas firmes. De acordo com Matteo Tonello, do The Conference Board, processos deficientes de gestão de risco e controle, bem como políticas falhas de segurança de TI, "são vistos cada vez mais como meros sintomas de uma cultura de risco insatisfatória ou deficiente”12. É imprescindível ter muito cuidado com a segurança cibernética, e esse cuidado deve começar dentro da empresa. Dadas as crescentes ameaças e riscos no ambiente corporativo atual, bem como o crescente papel dos conselhos na supervisão da segurança cibernética, os membros do conselho não podem ficar de braços cruzados e devem garantir que suas próprias comunicações sigam as práticas recomendadas. Incluir a necessidade de segurança na troca de mensagens nas suas diretrizes e políticas de comunicação já é um começo. Aproveitando todo o potencial da informação de maneira segura. A Diligent ajuda as principais organizações do mundo a usar o poder da informação e da colaboração com segurança, proporcionando aos seus conselhos e equipes de gerenciamento recursos para tomar as melhores decisões. Mais de 4.700 clientes, em mais de 70 países, contam com a Diligent para ter acesso imediato às suas informações mais urgentes e confidenciais, apoiados por ferramentas de análise, discussão e colaboração com os principais tomadores de decisão. O Diligent Boards agiliza e simplifica como o material do conselho é produzido e distribuído via iPad e dispositivos e navegadores do Windows. O Diligent Boards também oferece vantagens práticas a líderes no mundo inteiro, como cortar custos de produção, dar suporte a metas de sustentabilidade e economizar tempo de TI e de tarefas administrativas. Junte-se aos líderes. Seja Diligent. Diligent é uma marca comercial da Diligent Corporation, registrada no United States Patent and Trademark Office. “Diligent Boards”, “Diligent D&O”, “Diligent Evaluations”, “Diligent Messenger” e o logotipo da Diligent são marcas comerciais da Diligent Corporation. As marcas comerciais de terceiros pertencem aos respectivos proprietários. Todos os direitos reservados. © 2017 Diligent Corporation. Para obter mais informações ou solicitar uma demonstração, entre em contato hoje mesmo: Tel: 0800-591-9013 E-mail: [email protected] Visite: www.diligent.com WP0029_PTB