Os
Conselhos de Administração estão mais envolvidos do que nunca em discussões e
estratégias sobre a segurança cibernética de suas empresas e as soluções
necessárias para evitar que ela esteja na próxima grande manchete.
As
perguntas que estão fazendo não são mais tão simples quanto “estamos seguros?”,
mas vão no sentido de “estamos fazendo tudo o que podemos para minimizar ou
transferir riscos?”, e “o que faremos no caso de uma violação?”
Os
Conselhos também querem saber se existem indicadores de desempenho que medem a postura
de segurança da empresa, se a empresa está em conformidade com as
regulamentações mais recentes e se possuem os controles de segurança para
demonstrar essa conformidade.
Essa
mudança radical também significa que os Conselhos têm novas opções: eles
atuariam como agentes de mudança para a segurança cibernética? Eles tomariam as
rédeas como tomadores de decisão? A segurança de TI é tão vital para os
negócios que deveria ter representação direta no próprio Conselho, como um
diretor de Segurança?
Muitos
conselhos deram os primeiros passos, por exemplo, exigindo briefings
trimestrais de segurança cibernética – alguns sendo apresentados diretamente
pelo CISO ou vice-presidente de gerenciamento de riscos – em vez de depender de
atualizações ocasionais ou para fins específicos. No entanto, quando se trata
de representação real do Conselho, a maioria das empresas se encaixa em uma das
seguintes crenças:
·
"Não
precisamos de um especialista em cyber em nosso Conselho. Temos um CISO/ CIO e
isso é o suficiente."
·
“A
segurança cibernética é um problema de gerenciamento de riscos, de modo que o
ciberespaço pertence à Diretoria como um item da agenda de relatórios
esporádicos”.
·
"Definitivamente,
precisamos de um especialista em domínio cibernético que nos represente, mas
não sabemos como essa pessoa deve ser e/ou não sabemos onde a encontrar e
recrutar."
Para
muitas empresas, as duas primeiras afirmações podem ser perfeitamente
apropriadas, por enquanto. Na verdade, a maioria dos Conselhos de administração
está optando por agir como agentes de mudança, mas apenas pela transferência de
risco – recomendando ou exigindo seguros de segurança cibernética para sua
organização.
Mas
outras empresas mudaram a chave. A Sally Beauty Holdings, a Huntington
Bancshares e outras empresas adicionaram ao Conselho especificamente membros
com ampla experiência cibernética. O que mudou para impulsionar essa escolha?
Todas as Diretorias deveriam considerar fazer o mesmo?
A
resposta é sim e não, simultaneamente. Mas, se você acha que é um sim para sua
empresa ou está em dúvida, aqui está uma estrutura que cria uma estratégia de
recrutamento e ajuda a fazer uma escolha mais fundamentada:
Perfis
de candidatos
Em
primeiro lugar, o candidato tem de ser um membro de Conselho em plena ação. Idealmente,
os candidatos já teriam atuado em Conselhos de empresas similares, teriam
atuado em um ou mais Comitês (preferencialmente de Risco ou Auditoria) e seriam
eficazes no mesmo conjunto de funções do Conselho que outros membros. O membro
precisará ter todas as habilidades interpessoais do Conselho que apoiam e
definem a liderança: ética, integridade, gerenciamento de crises e muito mais.
Idealmente,
qualquer candidato deve ser obrigado a ter não apenas experiência técnica e de
segurança cibernética, mas também experiência nos campos financeiro,
operacional e executivo (preferivelmente C-Suite).
Em
segundo lugar, certifique-se de que o membro do Conselho seja um complemento e
tenha afinidade cultural com os executivos responsáveis pela execução da
segurança cibernética (CIO, CISO, gerente de Risco). A última coisa que você
quer fazer é contratar um diretor que crie conflitos ou envie a mensagem errada
para os outros executivos. Assegure-se de que os limites definidos para o
membro do Conselho sejam adequados para evitar conflitos.
Além
disso, seu conhecimento de domínio de segurança cibernética deve ser específico
para os tipos de risco que causariam os maiores danos a uma organização.
Portanto a Diretoria e a equipe executiva precisam realizar algumas diligências
técnicas e análises profundas sobre qual tipo de risco cibernético é mais
importante para sua organização:
•
Danos
à reputação a partir de um vazamento maciço de dados dos clientes.
•
Perda
de milhões de dólares em tempo de inatividade.
•
Perda
de valor para o acionista e perda de confiança do cliente.
•
Perda de propriedade
intelectual.
•
Todas
as alternativas anteriores.
Com
base no tipo de risco cibernético mais crítico para a sua organização, você
pode começar a determinar de qual tipo de especialista cibernético você
precisa. Você necessita de alguém que possa ser um proxy para o CISO? Alguém
que tenha que estar em Brasília o tempo todo e que saiba sobre política? Um
guru de Centros de Operação de Segurança e Ferramentas de Empacotamento
Avançada que tenha defendido contra-ataques de nações? Ou você precisa de um
especialista em RH de treinamento cibernético que aumente a força de trabalho
em conscientização de segurança?
A
tabela abaixo é um exemplo de como você pode atender às suas necessidades com o
perfil de candidato ideal:
|
Perfil 1: Super CISO
|
Perfil 2: Redutor de Riscos
|
Perfil 3: Especialista em Regulatório e
Legislação
|
|
Características desejadas:
• atuações
múltiplas como CSO/CISO;
•
experiência prévia em Conselho;
•
especialista em continuidade de negócios;
•
focado em resposta a incidentes.
|
Características desejadas:
• transferência
de risco cibernético;
• especialista
em privacidade de dados;
• diminuição de
brechas;
• experiência
jurídica.
|
Características desejadas:
• especialista
em Legislação Cibernética;
• Conformidade/Regulação;
• influenciador
da indústria;
• experiência
com RelGov.
|
Como
procurar o candidato certo
Existem
várias maneiras pelas quais sua empresa pode buscar o candidato certo para o
que ela exige.
•
Empresas tradicionais de busca de Conselhos. Muitos dos grandes
recrutadores têm uma prática de busca de Conselhos, mas eu pessoalmente
recomendo os atiradores de elite que não fazem nada além disso.
•
Organizações profissionais e organismos de certificação. Associações
nacionais têm excelente capacidade de colocação e são grandes proponentes do
cyber na sala de reuniões.
•
Influenciadores da indústria. Algumas das
principais personalidades do universo da segurança cibernética têm uma agenda
recheada de executivos experientes e diretores de Conselho que podem se mostrar
bons candidatos.
Conclusão
Comece
sua busca de longo prazo para esse membro do Conselho agora, pois pode levar
muitos meses para encontrar o candidato com as qualidades adequadas, afinidade
cultural e, claro, disponibilidade para ocupar o lugar. Você pode ter certeza
de que terá que passar um pente fino no mercado para selecionar os principais
candidatos, uma vez que as habilidades de pré-requisito são escassas.
Enquanto
isso, uma pequena lista de atividades:
•
Certifique-se
de que você tenha um consenso para a nova contratação com a Diretoria e a
equipe executiva. Não faça suposições!
•
Crie
um cronograma realista com funções e responsabilidades específicas para os
membros do Conselho, executivos e consultores externos, conforme necessário –
uma pesquisa no Conselho pode levar até 12 meses ou mais, então esteja
preparado!
•
Determine
com antecedência se você precisa de um recrutador especializado para ajudar –
quanto mais cedo esse consultor estiver envolvido, melhor.
•
Faça
a auditoria de necessidades internas e o perfil de risco para identificar o
tipo de candidato ideal – certifique-se de incluir o maior número possível de
interessados, incluindo funcionários do Departamento Jurídico, o CISO, o CSO, o
VP de RH, funcionários de Compliance etc.
•
Analise
sites como o LinkedIn e faça uma lista de candidatos (não necessariamente
concorrentes reais) para ajustar o perfil.
Tom
Bennett - empreendedor, CEO, investidor e membro do Conselho com mais de 35
anos de sucesso abrangendo softwares, segurança, energia e aeroespaço e defesa.
Atualmente, ele atua nos Conselhos de três empresas de tecnologia e,
anteriormente, atuou nos Conselhos de Administração da Cylance e da
Cybersponse.
