A International Bar Association (IBA), associação que reúne advogados internacionais, ordens de advogados e sociedades de advogados, divulgou recentemente o primeiro relatório do tipo para orientar executivos seniores e conselhos de administração na adopção das melhores práticas para proteger a organização de riscos cibernéticos.
O relatório, intitulado “Perspectivas globais sobre protecção contra riscos cibernéticos: melhores práticas de governança para executivos seniores e conselhos de administração”, é um documento extenso elaborado com o intuito de fornecer aos líderes empresariais uma visão sobre os principais elementos para o desenvolvimento de um forte programa de gestão de riscos cibernéticos.
Luke Dembosky, copresidente da Força-Tarefa Presidencial sobre Segurança Cibernética da IBA e sócio da Debevoise & Plimpton, EUA, ressaltou que “é mais importante do que nunca que os executivos seniores e conselhos de administração se envolvam directamente para garantir que as suas organizações gerem os riscos cibernéticos de forma eficaz” .
“O tempo em que se deixava essa enorme responsabilidade para as equipas de TI ou de conformidade à privacidade ficou para trás, pois esses são claramente riscos de toda a empresa. Esperamos que esse relatório seja um guia útil para a variedade de questões envolvidas e as medidas práticas que os líderes corporativos podem adoptar para realizar uma supervisão cibernética eficaz.”
Os copresidentes da Força-Tarefa Presidencial da IBA sobre segurança cibernética, Søren Skibsted e Luke Dembosky, observam que, embora o risco cibernético esteja a evoluir rapidamente e seja global, os órgãos reguladores têm lutado para acompanhar o ritmo.
“A realidade é que, nos poucos lugares em que existem, os regulamentos de segurança cibernética variam consideravelmente em termos de requisitos, nível de detalhe do método de supervisão e aplicação. Os documentos de orientação geralmente são fragmentados e específicos para um sector ou país, e não há uma abordagem globalizada ou um conjunto de princípios para a governança dos riscos de segurança cibernética”, acrescentaram.
“Como resultado, falta uma visão geral estruturada das melhores práticas através das quais os conselhos e a alta administração possam analisar a segurança cibernética e a conformidade.”
O relatório é a tentativa da IBA de preencher essa lacuna e se baseia em relatórios de dez jurisdições — Austrália, Brasil, Dinamarca, Alemanha, Índia, Israel, Singapura, Uganda, Reino Unido e Estados Unidos.
Estas são algumas das melhores práticas de análise da segurança cibernética e conformidade definidas pela IBA:
• Compreensão do perfil de risco cibernético da organização, através de briefings internos e externos, associação a organizações de compartilhamento de inteligência de ameaças e manutenção de um registo de riscos
• Compreender quais activos de informação proteger, incluindo aqueles mantidos por terceiros. As avaliações devem ser executadas novamente após grandes mudanças nos negócios e na tecnologia; uma estrutura de governança de dados é essencial
• Compreensão dos requisitos regulatórios significativos para garantir o futuro e optimizar os investimentos em segurança. Perícia jurídica especializada pode precisar ser procurada
• Determinar a tolerância ao risco da organização, de acordo com as expectativas do cliente e do órgão regulador, risco reputacional e cenário competitivo
• Entender quais padrões de segurança a organização está a usar e reavaliar se são apropriados periodicamente
• Garantir que decisões de risco correctas sejam tomadas para proteger os principais activos, baseando-se em aconselhamento técnico sénior
• Realização de avaliações de risco periódicas lideradas por especialistas externos e comparadas com concorrentes
• Compreender quem é o dono da segurança cibernética e o papel que o pessoal jurídico e de conformidade desempenha
• Garantir que o conselho e a alta administração tenham experiência suficiente em segurança cibernética
• Investir recursos suficientes na gestão de risco cibernético
• Compreensão e revisão regular de testes de segurança e programas de treinamento
• Garantir que a alta administração e o conselho recebam actualizações regulares e que as linhas de relatórios de risco cibernético sejam claras
• Rever, entender e testar os planos de resposta a incidentes e quaisquer mudanças na postura de risco causadas pela evolução dos negócios
• Supervisionar a resposta a eventos “significativos”
