Os líderes empresariais e empreendedores trazem frequentemente uma atitude positiva que pode fazer avançar a nova empresa, inspirar os outros e atrair a atenção dos clientes. No entanto, estes poderosos instintos criativos conduzem frequentemente a atalhos no pensamento estratégico e a seis equívocos comuns, apontados num artigo da McKinsey.
Crença errada: Como estamos a testar um novo conceito, não precisamos de “extras” como a cibersegurança ou a gestão de riscos. Definitivamente, não precisamos de nos preocupar com a privacidade dos dados, uma vez que ainda não temos clientes.
A realidade: Se uma equipa executiva decidiu formar uma NewCo em torno de um conceito de negócio, então o conceito está provavelmente suficientemente maduro para justificar o investimento em recursos, incluindo talento, tecnologia e processos. Estes são activos valiosos que são susceptíveis a ciberataques.
Crença errada: Se estabelecermos processos e/ou medidas de cibersegurança, o nosso lançamento será atrasado e perderemos a nossa vantagem. E as outras empresas em fase de arranque não se preocupam com a cibersegurança, porque é que nós havemos de o fazer?
A realidade: Acrescentar a gestão de riscos e a cibersegurança irá consumir tempo, mas não uma quantidade de tempo impossível de gerir. De facto, o esforço exigido no início evitará o retrabalho no final. Por outro lado, as novas empresas que se apressam a lançar sem uma reflexão estruturada sobre os riscos podem enfrentar problemas mais significativos.
Crença errada: Gastar em gestão de riscos e cibersegurança não é uma garantia de protecção, pelo que não vale a pena atribuir recursos a estas áreas.
A realidade: Existe frequentemente um desfasamento entre as despesas e a maturidade cibernética das grandes empresas, mas no início existe um nível básico de gestão de riscos e cibersegurança de que todas as empresas necessitam. Os princípios básicos não são difíceis de implementar, mas requerem experiência e conhecimentos especializados. E quanto mais tempo não forem abordados no ciclo de vida de desenvolvimento do produto, mais difícil e mais caro se torna incorporá-los no produto.
Crença errada: Os nossos técnicos de produto têm tudo sob controlo. Compreendem a nossa proposta e a forma como os maus actores a podem ameaçar. O nosso director de tecnologia diz que conhece os controlos cibernéticos, por isso estou descansado.
A realidade: Os líderes e os membros das equipas de produtos têm diferentes níveis de conhecimento, por exemplo, em relação às mais recentes normas de encriptação de dados ou às soluções de monitorização dos centros de operações de segurança. A cibersegurança é uma disciplina vasta que requer conhecimentos especializados; mesmo os profissionais mais experientes procuram opiniões e consultas de outros quando inovam em novos produtos e serviços.
Crença errada: Somos pequenos e insignificantes, mas a nossa empresa-mãe é um gigante. Tenho a certeza de que está a par da nossa gestão de riscos e cibersegurança.
A realidade: Frequentemente, as equipas de segurança da empresa-mãe não têm capacidade para proteger a NewCo. Tal pode dever-se a incompatibilidades entre as pilhas de tecnologia (por exemplo, a empresa-mãe ainda não mudou para a nuvem). Os recursos de segurança da empresa-mãe já estão normalmente sobrecarregados, o que significa que não pode prestar muita atenção à NewCo quando é necessário tomar decisões.
Crença errada: Já temos uma ferramenta, pela qual pagámos muito dinheiro, por isso, tenho a certeza de que estamos, pelo menos, cobertos para os principais riscos.
A realidade: Uma ferramenta por si só nunca é suficiente. É necessária uma combinação de processos, pessoas e tecnologia. Além disso, pode comprar a melhor ferramenta do mercado, mas será que a sua utilidade reflecte as suas necessidades? Depois de investir, muitas empresas novas não têm capacidade para aproveitar mais de 80 por cento da solução.
