Os CEOs e seus conselhos agora devem possuir segurança cibernética. Os CEOs precisam estabelecer a cultura certa para se proteger contra o risco cibernético. Os conselhos precisam estabelecer o ciberespaço como um risco financeiro comercial relevante e entender melhor o potencial de seu impacto material nos negócios.
A Securities and Exchange Commission (SEC) dos Estados Unidos propôs novas regras sobre gerenciamento de risco cibernético, estratégia, governança e divulgação de incidentes. A divulgação pública da experiência do diretor em práticas de segurança cibernética e supervisão de riscos entrará em vigor em breve. Uma infinidade de dados indica que a maioria dos conselhos não está pronta para atender a esses novos padrões.
Novos relatórios cibernéticos exigirão um foco mais profundo nos negócios materiais, impactos operacionais e financeiros. De acordo com a Cybersecurity Ventures , os danos do cibercrime devem chegar a US$ 8 trilhões este ano. Como resultado, os conselhos precisarão abordar substancialmente os investimentos cibernéticos e os riscos de interrupção dos negócios, custos de remediação, perda de receita, litígios, erosão da competitividade e valor de longo prazo para os acionistas.
Novos relatórios cibernéticos exigirão um foco mais profundo nos negócios materiais, impactos operacionais e financeiros. De acordo com a Cybersecurity Ventures , os danos do cibercrime devem chegar a US$ 8 trilhões este ano. Como resultado, os conselhos precisarão abordar substancialmente os investimentos cibernéticos e os riscos de interrupção dos negócios, custos de remediação, perda de receita, litígios, erosão da competitividade e valor de longo prazo para os acionistas.
Os relatórios de risco cibernético e o planejamento de resiliência de negócios devem agora se tornar um componente-chave da governança eficaz do conselho. Embora seja possível adicionar um especialista cibernético ou especialista em tecnologia ao seu conselho, ter uma voz independente agora, fornecer suporte sob demanda para expandir a experiência cibernética de seu conselho é inteligente e oportuno.
Aqui estão algumas das muitas maneiras de expandir efetivamente o conhecimento e a propriedade de sua diretoria em segurança cibernética. Certifique-se de entender as novas expectativas da SEC e da comunidade de investidores e qual suporte de supervisão regulatória é necessário. Certifique-se de que seu conselho entenda as últimas tendências e fatores de risco cibernético, bem como suas responsabilidades como membro do conselho. Considere encontrar especialistas para apoiar seu conselho no exercício de suas responsabilidades de supervisão de riscos cibernéticos. Certifique-se de que seu conselho esteja se preparando para fazer perguntas adequadas à administração em termos de estratégia de negócios, planejamento financeiro e alocações de capital na área cibernética. Revise os materiais e apresentações fornecidos ao conselho para garantir que os documentos corretos estejam em vigor. Certifique-se de que a segurança na tecnologia se torne um fator-chave, além de custo, capacidade, desempenho e velocidade de lançamento no mercado.
Não se esqueça de que a comunicação eficaz é a base dos resultados positivos nos negócios. O CEO desempenha um papel importante na criação da cultura organizacional que abordará adequadamente o risco cibernético. Desenvolver uma linguagem comum para discutir as questões complexas do risco cibernético é essencial para alcançar a resiliência dos negócios. Isso requer a simplificação de discussões técnicas confusas carregadas com termos de segurança diferenciados em uma análise de exposição financeira compreensível que esclarece o potencial de como os ataques cibernéticos colocam as organizações em risco financeiro a curto e longo prazo. Pessoas e processos devem garantir que sua cultura entenda o risco cibernético.
De acordo com o NCC, Centro Nacional de Segurança Cibernética, 2023 verá o fenômeno da Grande Renúncia, no qual os Diretores de Segurança da Informação (CISO) renunciam. O estresse no trabalho e o impacto no equilíbrio entre vida pessoal e profissional levaram a uma estatística que mostra que entre 32% e 44% dos CISOs estavam considerando ou abertos a deixar seus empregos. O aumento da responsabilidade, o potencial para a imprensa pública negativa e as frequentes mudanças nos regulamentos e nas expectativas do cliente estão exigindo um tempo significativo dentro e fora do trabalho para gerenciar com eficácia. Ocultar informações sobre violações, com o ex-oficial de segurança do Uber sendo condenado, coloca os CISOs na berlinda. O seguro de responsabilidade normalmente só agora cobre diretores e diretores corporativos nomeados, o que adiciona pressões e tensões adicionais.
No mínimo, os conselhos precisam fazer perguntas de gerenciamento que incluem: Qual é a nossa exposição financeira potencial a ameaças cibernéticas? Quais ameaças cibernéticas têm maior probabilidade de causar um grande impacto financeiro em nossos negócios? Quanta exposição financeira estamos dispostos a aceitar em nossa empresa e ecossistema de fornecedores digitais? Como podemos alinhar nosso orçamento, implementar controles, desenvolver estratégias e otimizar a transferência de riscos para lidar com nossa exposição ao risco cibernético? E nossas iniciativas digitais estão sendo desenvolvidas de forma ciberresiliente?
Olhando para a próxima década, a Protiviti definiu vários dos 10 principais riscos globais até 2031 para incluir o seguinte: As tecnologias digitais adotadas podem exigir esforços significativos e frequentes para aprimorar e requalificar os funcionários; Mudanças no ambiente de trabalho geral, como mudanças para um ambiente híbrido e mercados de trabalho em evolução com mudanças na natureza do trabalho, podem levar a desafios para sustentar a cultura organizacional e as operações. Tudo isso leva ao aumento dos riscos estratégicos e operacionais e a um cenário de risco disruptivo que veio para ficar e requer atenção do conselho e do CEO.
A segurança cibernética na área da saúde tornou-se uma prioridade nacional, de acordo com Gail R. Wilensky, PhD, membro sênior do Projeto HOPE, ex-administradora da Health Care Financing Administration, agora CMS, e ex-presidente da Medicare Payment Advisory Commission. Os ataques atingiram uma alta prevalência, causando atrasos em procedimentos e exames, com o potencial de afetar negativamente a saúde do paciente, incluindo o aumento das taxas de mortalidade do paciente.
Os hacks em registros hospitalares estão aumentando e os dados médicos agora estão vulneráveis. Um incidente de ransomware mais recente que afetou as informações de saúde de aproximadamente 624.000 pacientes interrompeu as operações da CommonSpirit por pelo menos um mês no outono passado, custando à organização US$ 150 milhões em receita perdida, remediação e outras despesas até agora. Essa rede, que opera 138 hospitais em 21 estados, afirmou que a proposta de ação coletiva movida sobre o ataque pode afetar sua condição financeira e operações como um todo. Proteger e proteger sua organização, seja ela de assistência médica ou não, agora está se tornando extremamente importante. Investir pesadamente em proteção de segurança cibernética e aumentar a experiência cibernética do conselho agora não é mais uma escolha, é um imperativo.
Infelizmente, 90% dos conselhos hoje não estão preparados para os novos regulamentos cibernéticos da SEC. A maioria dos conselhos não está preparada para atender plenamente aos próximos requisitos de divulgação de riscos cibernéticos da SEC e muitos ainda não têm a capacidade de contextualizar as ameaças cibernéticas às exposições comerciais, operacionais e financeiras, incluindo a erosão do valor do acionista. Conseguir uma equipe para criar a cultura necessária de administração responsável, combinada com suporte interno, reforço da supervisão do conselho, análise estratégica independente de governança cibernética e orientação regulatória oportuna ajudará a proteger sua organização contra grandes interrupções financeiras e operacionais.
Obtenha o melhor da Forbes em sua caixa de entrada com as informações mais recentes de especialistas em todo o mundo.
Fonte leia mais: https://www.forbes.com/sites/stuartrlevine/2023/03/20/cybersecurity-is-no-longer-an-issue-reserved-strictly-for-cios-and-cisos/amp/
