CONSELHEIROS DE ADMINISTRAÇÃO E GESTORES: CYBERSECURITY É UM OBJETIVO OPERACIONAL OU ESTRATÉGICO?

Home > Blog > CONSELHEIROS DE ADMINISTRAÇÃO E GESTORES: CYBERSECURITY É UM OBJETIVO OPERACIONAL OU ESTRATÉGICO?

CONSELHEIROS DE ADMINISTRAÇÃO E GESTORES: CYBERSECURITY É UM OBJETIVO OPERACIONAL OU ESTRATÉGICO?

Os Conselheiros têm responsabilidades relevantes, em distintos níveis. Legais, regulamentares, estatutárias e mais, de supervisionar a Gestão na busca de criação, proteção, realização e crescimento do valor da empresa.

Para cumprir suas funções não é incomum os Conselheiros se reunirem pelo menos trimestralmente para companhias de capital aberto. Fora algumas poucas grandes empresas, onde o envolvimento do Conselheiro pode ser de uma maior frequência anual. E para empresas de capital não aberto, a situação pode ser um pouco pior. Inclusive porque a governança pode, em alguns casos, não ser adequadamente objetivada e estruturada para criar valor. Muitas vezes só existe a gestão, e quando há algum conselho consultivo ou de administração, são estruturas, muitas delas, ainda incipientes e de competências que poderiam ser muito melhor aproveitadas.

Nessas reuniões não tem sido um tema comum discutir os objetivos da cybersecurity (segurança cibernética). A razão imediata é que TI é uma área para apoiar as outras áreas e que cybersecurity é parte do TI. Logo, o nível é essencialmente operacional. E nesse contexto, o Conselho quando recebe, recebe alguma informação mais ou menos de follow-ups de alguma revisão de auditor independente, quando há auditor. E outras vezes, a Auditoria Interna, também obrigada a focar nas operações pela gestão, somente pode agir em objetivos e riscos de TI não muito alinhado aos objetivos estratégicos e muito menos ao cybersecurity.

Vale lembrar que a Auditoria Interna foca nas operações, como faz há anos, e é de grande utilidade para a empresa. Mas não é suficiente. Esse assunto será comentado em futuro artigo.

MAS QUAL O RISCO? 

Objetivos estratégicos relevantes, de aumentar as receitas e reduzir os custos e despesas, podem se realizar bem ou nem se realizarem por causa de riscos relevantes. Normalmente esses riscos podem ser de origens internas e externas. Veja que razões políticas, econômicas, sociais, ambientais, legais e cada vez mais os tecnológicos podem, diariamente, afetar e mesmo, obrigar, a revisão e mudanças em ações de componentes críticos e dos próprios objetivos.

O que assistimos diariamente?

Todo dia há notícias de que alguma novidade está em andamento ou já funcionando no mundo tecnológico. Mesmo filtrando os excessos de modismos que criam alguns monstros de incertezas e grandes perdas, sabemos que algum ramo específico de negócios é muito mais abalado pela dinâmica da tecnologia; mas, hoje em dia, todas as empresas são afetadas pelas complexidades e suas crias do lado negro da força. E o mundo, infelizmente, por algumas razões, principalmente políticas e sociais, cada vez é mais perverso gerando cada vez mais meliantes. E meliantes não só alcoólatras. Mas meliantes muito inteligentes, principalmente no manejo de cada vez mais novas tecnologias (pensam: dá mais dinheiro ser fazer o errado do que se subordinar a pessoas e horários pouco suportáveis!).

Assim, uma massa de hackers externos ataca a cada segundo todas as empresas (e pessoas) do mundo, pois todos estamos de alguma forma conectados ao mundo digital. E mesmo, pessoas ingênuas e mal treinadas das empresas facilitam a vida dos meliantes. Além de pessoas internas, de mal caráter, que também agem no mundo obscuro da tecnologia. E as perdas podem ser relevantes (neste momento que você está lendo este artigo, é bem provável que a sua empresa esteja sendo atacada!).

MAS QUANTO É ESSE RISCO?

Mas os riscos acima são relevantes? Em quanto?

Normalmente o que vejo nos “mapas de riscos” das empresas, que os riscos de TI ou de cybersecurity têm impacto de “perdas financeiras e de reputação”. E a dupla de perda financeira e de reputação está na maioria dos mapas de riscos, para vários outros “riscos”. Como as pessoas ainda pensam riscos de forma isolada, só podem pensar em perdas “qualitativas relevantes” E com os sempre presentes símbolos (círculos, triângulos, etc.) vermelhos!

Por isso que temos insistido nos últimos anos de que riscos sozinhos ou apenas mapas de riscos podem agregar algo meio nebuloso na cabeça de cada um, em termos de avaliações para tomadas de decisões.

Para que facilitem uma avaliação mais adequada e menos subjetiva, seria muito recomendável começar a identificar, avaliar e agir sobre os riscos desde que relacionados com um objetivo estratégico, que depois se desdobra em objetivos operacionais.

O cálculo de um valor mais objetivo depende de variáveis financeiras e não financeiras da empresa e dos responsáveis de cada empresa. E também de algumas melhores ou piores práticas de gestão de controles dos riscos sobre os objetivos estratégicos e operacionais alinhados.

Por exemplo, um ponto do acima, é avaliar o risco residual target e o real.

E a conclusão, sempre será, valerá mais prevenir do que remediar. Evidente que ações de detecção e de correção serão também aplicáveis em distintas proporções.

COMO? 

Uma ação recomendada, entre outras, é ter a participação de dois especialistas: em gestão de controles dos riscos sobre os objetivos estratégicos e operacionais alinhados e em gestão de riscos de tecnologia.

Um dos tópicos que seria parte integrante de ações preventivas seria o foco na cultura organizacional da empresa. A cultura organizacional da empresa é modelada pelos integrantes da alta gestão e/ou conselho de administração.

Para relembrar um conceito, entre vários, ver livro – Riscos Estratégicos & Desempenho – onde está mencionado: “De uma forma bem resumida a cultura organizacional pode incluir, em distintas forças e fraquezas, crenças, usos, costumes, valores éticos, regras de conduta, expectativas de propósitos, competências, relacionamentos, autonomias, incertezas, sonhos, empoderamentos e demais fatores internos e externos compartilhados que influenciam os comportamentos, atitudes, desejos, enfim, as ações ou inações decididas no dia a dia das pessoas na empresa. E se manifesta na forma de abordar, entender, planejar, identificar, avaliar, estabelecer, executar, influenciar, moldar, rever, decidir, melhorar o processo estratégico, a gestão dos componentes críticos e demais ações relevantes. E nesta dinâmica, a cultura organizacional influencia e é influenciada; molda e é moldada. Por ser uma das causas e efeitos críticos no processo de gestão estratégica, é função da gestão, supervisionada pelo conselho de administração, definir, moldar e conduzir a cultura organizacional. E um (a) líder fará a diferença entre empresas. Logo, se não trabalhar a cultura, não serão assegurados os meios para reforçar a liderança e a bem-aventurança das desejadas mudanças e garantir que a empresa avança. ”

Trabalhar a cultura, continuamente, apenas ajuda, mas precisa estar acompanhada de demais ingredientes de uma gestão de riscos como temos acima definido.

Em resumo, a segurança da cibernética é, e cada vez mais será, um objetivo estratégico que deve ser gerenciado e monitorado diariamente. Liguem-se.

Nas dúvida, nos contate.