Cibersegurança: a responsabilidade que a Gestão de Topo não pode adiar

A capacidade de uma organização enfrentar e superar ataques cibernéticos é hoje um fator que determina o seu sucesso e sustentabilidade a longo prazo. Esta evolução exige que a gestão de topo compreenda a importância da cibersegurança e, mais do que isso, faça dela uma prioridade nas suas decisões estratégicas.

O modo como as organizações abordam a cibersegurança é, mais do que nunca, um fator de diferenciação no mercado e, em breve, acredito que marcará a diferença entre as empresas bem-sucedidas e sustentáveis a longo prazo e aquelas que não terão essa capacidade.

Resiliência e Confiança: construir hoje as bases do amanhã

Imagine o caso de uma empresa que sofra um ataque de ransomware. Os prejuízos financeiros e operacionais são inegáveis, mas os danos à reputação, que levou anos a ser construída e consolidada, podem ser irreparáveis. Além disso, a confiança dos stakeholders — clientes, parceiros e investidores — ficará invariavelmente maculada, podendo não ser possível recuperá-la.

Num mercado pautado pela concorrência, onde as segundas oportunidades não são garantidas, a confiança é uma peça-chave no crescimento sustentável de qualquer empresa. As organizações que se mantêm resilientes no campo da cibersegurança mostram que são capazes de proteger os seus dados críticos e de garantir a continuidade de operações e serviços, mesmo perante adversidades.

No entanto, a resiliência cibernética vai muito além da capacidade de resposta a incidentes. As empresas devem garantir a construção de um ambiente seguro, que permita desenvolver a sua operação com confiança, num espaço digital marcado por ameaças complexas e em constante evolução.

Due Care e Due Diligence: para além do jargão técnico

Para que a cibersegurança se torne, efetivamente, uma prioridade na organização, é necessário que a gestão de topo assuma uma postura de due care e due diligence. Como? Implementando sistemas robustos de monitorização e análise do risco, indo além de ações superficiais e do jargão técnico.

Enquanto CISO, há três áreas-chave onde recomendo aos gestores de topo que ajam para cumprir com o dever de cuidado e diligência.

• Indicadores de risco: em primeiro lugar, há que entender o cenário de ameaças enfrentado e os elementos que tornam a organização mais ou menos vulnerável. Indicadores como a frequência e a gravidade dos incidentes de segurança permitem uma visão concreta do ambiente de risco. Em paralelo, devem ser analisadas as vulnerabilidades que podem existir nos sistemas e infraestrutura e, por fim, é importante que se conheça o tempo de resposta e de recuperação — quanto mais rápido a equipa conseguir identificar e mitigar um incidente, menor será o impacto na operação.
• Indicadores de conformidade: a conformidade com normas e regulamentos de proteção de dados, como o RGPD, DL65/2021, DORA, NIS2, e standards de cibersegurança, como ISO 27001 e NIST, são sinais claros de que a organização tem um compromisso com boas-práticas de segurança. Não se trata apenas de evitar sanções, mas de demonstrar a clientes e ao mercado em geral que a empresa adota medidas de proteção coerentes e reconhecidas por especialistas técnicos como eficazes. Auditorias e avaliações de conformidade são fundamentais para assegurar que os processos estão atualizados e em linha com as exigências regulamentares.
• Indicadores de maturidade: medir o progresso da implementação de controles, como sistemas de deteção de intrusões, firewalls e criptografia, é um passo necessário para identificar pontos de melhoria. E, quando falamos de maturidade, não podemos deixar de fora o erro humano. A formação e a consciencialização continuadas são como um cinto de segurança; quanto mais preparada e capacitada estiver a equipa, menor é a chance de um erro humano resultar numa violação de dados.

Cibersegurança e Resiliência: um caminho a percorrer

Queiramos ou não, num cenário onde as ameaças digitais estão em constante evolução, a cibersegurança tornou-se um fator-chave para garantir a continuidade e a resiliência das operações.

A minha recomendação enquanto CISO é clara: a cibersegurança não pode ser vista apenas como uma responsabilidade técnica, mas sim como uma alavanca estratégica que deve ser colocada no centro das discussões da gestão de topo. Com a monitorização de indicadores bem definidos e com um compromisso com o due care e due diligence, é possível criar uma postura de segurança sólida e construir um futuro resiliente para o negócio.

Os custos com a cibersegurança devem ser encarados como um investimento estratégico, capaz de proteger o património da empresa e assegurar a continuidade do negócio.

Num mercado competitivo, onde a confiança é um dos ativos mais valiosos, a segurança é um fator que define o sucesso e a longevidade dos negócios, não devendo ficar longe da esfera das equipas de liderança empresarial.