Em tempos de transformação digital acelerada, segurança cibernética deixou de ser um tema restrito à área de TI. Falhas nessa frente representam riscos reais à reputação, à continuidade dos negócios e à confiança do mercado. Por isso, é importante e urgente que os conselhos de administração – muitos dos quais alheios à gravidade do tema, sem assumir a responsabilidade que lhes cabe – revejam seu papel estratégico na proteção digital, tornando-se guardiões nessa área.
O alerta e o caminho para uma mudança de visão sobre o tema estão no artigo Boards Need a More Active Approach to Cybersecurity (Conselhos precisam de uma abordagem mais ativa em cibersegurança), de Noah P. Barsky e Keri Pearlson, publicado pela Harvard Business Review. O texto, com base em uma pesquisa com 151 executivos, mostra que, para a maioria dos conselheiros, os investimentos em cibersegurança são adequados. Poucos têm conhecimento, de fato, dos riscos envolvidos ou atuam de forma proativa para mitigá-los.
Prevenir crises e construir resiliência
Tornar a governança de longo prazo parte central da atuação do conselho é essencial para prevenir crises cibernéticas evitáveis e construir resiliência digital em toda a organização, argumentam os autores. Cibersegurança não é custo, mas estratégia, sustentam, defendendo uma mudança de mentalidade a partir de uma reflexão sobre três erros comuns em relação ao tema:
1. Subestimar o custo da inação: Ataques cibernéticos podem paralisar operações por dias, afetar clientes, gerar multas e manchar reputações.
2. Ignorar a dívida técnica: Infraestrutura obsoleta, sistemas não atualizados e falta de manutenção criam vulnerabilidades silenciosas.
3. Evitar más notícias: Culturas que escondem quase-incidentes ou minimizam falhas inibem o aprendizado e a prevenção.
Os conselheiros que desejam evoluir de simples observadores para protagonistas da resiliência digital, sugerem os autores, devem seguir cinco passos, começando pela centralidade de stewardship – administração responsável.
• Colocar a mentalidade de stewardship no centro: Tratar a cibersegurança como responsabilidade do conselho. Isso muda o nível das perguntas feitas e a qualidade das decisões tomadas.
• Encorajar análises profundas sobre os riscos da inação: O que acontece se o sistema cair por 24 horas? E por uma semana? Essas perguntas devem pautar o debate no conselho.
• Fazer diligência devida para reduzir a dívida técnica: Identificar gargalos, antecipar vulnerabilidades e tratar riscos ocultos como se estivesse avaliando uma aquisição estratégica.
• Enxergar o investimento em cibersegurança como vantagem competitiva: Mais do que evitar perdas, proteger sistemas pode gerar valor: confiança do consumidor, reputação sólida e diferenciação no mercado.
• Transformar atualizações em momentos de aprendizado: Cada relatório de cibersegurança deve ser tratado como insumo para melhoria contínua, não como formalidade técnica.
A conclusão dos autores é que governança de longo prazo exige mais do que visão estratégica. Exige responsabilidade ativa na prevenção de riscos evitáveis, incluindo os digitais. O Conselho de Administração é peça-chave para garantir que cibersegurança, uma pauta de reputação, sustentabilidade e viabilidade, esteja no centro da agenda.
. Leia mais sobre os desafios dos conselheiros de Administração na série Reputação no board: José Monforte: Stakeholders exigem reputação para serem leais às empresas; Dan Ioschpe: Velocidade e complexidade impõem mais cuidado com reputação; Leila Loria: conselho precisa de diversidade e alguém que já tenha passado por crise; Osvaldo Schirmer: reputação se constrói com todos os stakeholders
