Pesquisa da NightDragon e a Diligent, de setembro deste ano, mostra que 88% das empresas que compõem o índice S&P 500 atualmente não possuem executivo com experiência especializada em segurança cibernética em seu conselho de administração, e 57% não têm pessoal com especialização semelhante em outras áreas.
Outra pesquisa, realizada no mesmo período no Brasil pela Abrasca e a The Security Design Lab, revela que, das 109 companhias de capital aberto entrevistadas, 42% não têm um executivo responsável pela segurança da informação e 46% delas não possuem um comitê de segurança para identificar, avaliar e monitorar o riscos cibernéticos.
Hoje, com os desafios diários de ataques cibernéticos patrocinados por Estados-nação, grupos de hackers e organizações criminosas, incidentes como vazamentos de dados em larga escala, ransomware e espionagem digital, é imprescindível ter alguém no conselho que seja especializado em cibersegurança e uma comitê para exercer um papel central na melhoria da postura de segurança cibernética, destaca o advogado Washington Fonseca, vice-presidente para as Américas da rede BGI Global e sócio da área empresarial e internacional do escritório Fonseca Moreti Advogados.
Ele ressalta que entre os grandes players no mundo focados na questão de segurança cibernética, os Estados Unidos, por meio das agências governamentais, têm um amplo e sólido trabalho focado no desenvolvimento de mecanismos de cibersegurança.
Veja isso
Estudo revela que CISOs se reportam cada vez mais aos CEOs
Alinhamento entre conselhos e CISOs cresce, mas com entraves
No Brasil, segundo ele, falta cultura para o desenvolvimento desse tipo de defesa que é tão importante. “O Laboratório Fleury, por exemplo, sofreu três tentativas de ataques cibernéticos às suas bases de dados, sendo duas delas bem-sucedidas, com sequestro de dados. O laboratório foi vítima de extorsão de hackers russos, tendo sido exigido resgate reaver suas informações”, lembra Fonseca.
“Observamos que as empresas brasileiras não têm tido muito cuidado e precaução com o desenvolvimento desse tipo de segurança. As grandes corporações multinacionais atuam de maneira global e, obviamente, têm trazido essa proteção para suas filiais, mas para as empresas locais, isso não é muito efetivo ainda”, completa.
“Quando se fala na Lei Geral de Proteção de Dados [LGPD], estamos nos referindo a uma lei genérica, mais ampla, que cuida da proteção de dados pessoais, mas não trata especificamente da prevenção de ataques hackers. Sem sombra de dúvida, a presença de um executivo com experiência em cibersegurança na alta direção da empresa, atuando exclusivamente no planejamento da segurança digital, é imprescindível para evitar situações como a do Fleury”, conclui o advogado.