A cibersegurança emergiu como um dos maiores desafios enfrentados pelas organizações em um mundo cada vez mais digitalizado. Com ameaças cibernéticas em constante evolução, desde ataques de ransomware até violações de dados em larga escala, a proteção dos ativos digitais tornou-se uma prioridade crucial para empresas de todos os setores. No entanto, apesar da crescente conscientização sobre os riscos cibernéticos, um dado alarmante persiste: apenas cerca de 5% dos conselhos de administração em todo o mundo contam com a presença de especialistas em cibersegurança. Esta estatística levanta questões importantes sobre as abordagens atuais das empresas em relação à proteção de seus sistemas e dados, bem como sobre a eficácia das estratégias de governança corporativa na era digital. Nesta análise, exploraremos as possíveis razões por trás dessa lacuna significativa, os desafios que as empresas enfrentam ao tentar garantir a expertise em cibersegurança em seus conselhos de administração e as implicações dessa falta de representação especializada para a segurança digital e o sucesso empresarial.
Conforme matéria publicada pela CISO Advisor apenas cerca de 5% dos conselhos de administração possuem especialistas em cibersegurança.
Apenas 5% das empresas possuem um especialista em segurança cibernética com assento no conselho de administração, apesar de inúmeros estudos comprovarem existir uma forte correlação entre uma robusta proteção dos sistemas e um desempenho financeiro significativamente superior, segundo um novo relatório da Diligent e Bitsight.
Será por que alguns conselhos de administração podem não entender completamente a importância da cibersegurança ou podem subestimar as ameaças cibernéticas, o que os leva a não considerar necessário ter um especialista em cibersegurança no conselho? Muitos membros dos conselhos de administração vêm de formações empresariais ou financeiras, em vez de terem experiência técnica em tecnologia ou segurança cibernética. Isso pode resultar em uma falta de compreensão sobre as complexidades e os riscos associados à cibersegurança.
Os países onde as empresas tinham maior probabilidade de ter comitês de risco especializados foram a Austrália (90%), Reino Unido (48%), Canadá (45%) e França (38%). Isso tem forte correlação com a classificação média geral de segurança por país, com o Canadá, EUA, Austrália, Reino Unido e França constituindo os cinco primeiros entre os sete países analisados.
Encontrar especialistas em cibersegurança qualificados e experientes para servir em conselhos de administração pode ser um desafio. Existem poucos profissionais com o conjunto de habilidades necessárias que também possuem experiência em governança corporativa e compreensão dos negócios. Contratar especialistas em cibersegurança para fazer parte do conselho de administração pode ser caro, especialmente se a empresa for de pequeno ou médio porte.
“Essas descobertas mostram que a segurança cibernética não é apenas um problema de TI — é um risco empresarial que tem impacto material no desempenho de curto prazo e na saúde de longo prazo de uma empresa, e que a administração e o conselho precisam estar atualizados”.
Alguns conselhos podem hesitar em alocar recursos significativos para esse fim. Em alguns casos, os membros do conselho podem não se sentir diretamente responsáveis pela cibersegurança da organização. Eles podem acreditar que a responsabilidade recai inteiramente sobre os especialistas em tecnologia e TI, em vez de ser uma preocupação de todo o conselho.
Os membros do conselho podem ter uma visão mais tradicional dos riscos empresariais, priorizando questões financeiras e operacionais sobre cibersegurança.
Esta realidade é ainda mais premente considerando os requisitos estabelecidos pela Lei Geral de Proteção de Dados (LGPD) no Brasil, que entrou em vigor em setembro de 2020. A LGPD estabelece responsabilidades claras para as empresas em relação à segurança da informação, exigindo medidas robustas para proteger os dados pessoais dos cidadãos. A falta de especialistas em cibersegurança nos conselhos de administração pode impactar a conformidade com a LGPD e destacar a necessidade urgente de uma abordagem mais proativa para garantir a segurança digital e a proteção dos dados em organizações brasileiras.
Para abordar esse problema, sem dúvida, é fundamental educar os conselhos de administração sobre a importância estratégica da cibersegurança, bem como encontrar maneiras de recrutar e reter talentos especializados em cibersegurança para servir nesses órgãos de governança. A conscientização sobre os impactos financeiros, reputacionais e regulatórios de violações de segurança cibernética também pode ajudar a destacar a importância de ter expertise em cibersegurança nos conselhos de administração.