Principais tendências em GRC, continuidade de negócios e cibersegurança para 2SEM 2024

DALL-E feat JD

Nos últimos anos, a governança, a gestão de riscos e a conformidade (GRC), a continuidade de negócios (BCM) e a cibersegurança tornaram-se pilares essenciais para a resiliência organizacional. À medida que avançamos em 2024, novas tendências e desafios emergem nessas áreas. Este artigo destaca alguns dos tópicos mais relevantes que estão moldando o cenário atual e futuro.

1. A ascensão da IA na cibersegurança

A inteligência artificial (IA) continua a revolucionar a cibersegurança, oferecendo ferramentas avançadas para a detecção e resposta a ameaças. A IA permite analisar grandes volumes de dados e identificar ameaças que poderiam passar despercebidas pelos humanos. No entanto, sua integração também traz riscos, como a possibilidade de sistemas serem explorados por atores maliciosos. Aliás, tive conversando recentemente com um ex-aluno e professor Pedro Bezerra sobre este tema.

Pergunta para Reflexão: Estamos prontos para equilibrar os benefícios da IA na cibersegurança com os riscos potenciais de sua exploração?

2. Gestão de riscos de terceiros

Com a crescente dependência de terceiros e parceiros, a gestão de riscos associados a essas relações se torna crítica. As organizações estão priorizando investimentos em resiliência e desenvolvendo planos de contingência específicos para lidar com incidentes envolvendo terceiros. A criação de playbooks de incidentes específicos para terceiros e a condução de exercícios de simulação são práticas recomendadas. As últimas atualizações da ISO 27001 e do NIST demonstram a forte preocupação e orienta a atenção a este tema, pois, o risco indireto e a falta sensação de proteção ao terceirizar, pode esconder riscos.

Pergunta para Reflexão: Nossos planos de contingência e estratégias de resiliência são robustos o suficiente para gerenciar riscos de terceiros? (Ex.: Nos últimos anos tivemos na consultoria, empresas multinacionais americanas e europeias exigindo dos seus operadores logisticos locais PCN com auditorias e validação de testes)

3. Regulamentação e privacidade de dados

A regulamentação da privacidade de dados está em constante evolução. Desde a implementação do GDPR, mais de 100 países adotaram leis de proteção de dados. Nos EUA, a legislação de privacidade continua a evoluir com a possibilidade de uma lei federal unificada, enquanto estados individuais implementam suas próprias regulamentações. Profissionais de GRC que compreendem essas leis estarão em alta demanda, já que as organizações precisam garantir a conformidade para evitar penalidades e manter a confiança dos consumidores. Aqui no Brasil, a LGPD, perdeu força, porém, orienta os executivos a validar seus controles e tratamentos de riscos anualmente.

Pergunta para Reflexão: Estamos atualizados e em conformidade com as regulamentações de privacidade de dados emergentes? Tem certeza? Quem validou?

4. Programas de segurança baseados em comportamento

Mudanças no comportamento dos colaboradores são fundamentais para reduzir riscos de segurança. Programas focados em cultura e comportamento de segurança estão ganhando tração, pois ajudam a minimizar comportamentos inseguros e aumentar a adoção de controles de segurança. A meta é alcançar uma maior agilidade e eficácia no uso dos recursos de cibersegurança, promovendo uma abordagem centrada no ser humano. Modern Workplace Management (MWM) é um termo já discutido nas reuniões estratégicas de GRC, Ciber ou de Segurança. Se estimados 80% dos funcionários estão trabalhando em ambientes hibridos colaborativos digitais (Microsoft, Google ou similares), quem fez a análise de riscos disto?

Pergunta para Reflexão: Nossos programas de segurança incentivam mudanças comportamentais efetivas entre nossos colaboradores no ambiente real de colaboração ou no digital?

5. Tecnologias cognitivas e contínuas para GRC

O uso de IA cognitiva em GRC oferece um enorme potencial para transformar dados em decisões em tempo real. Tecnologias como o monitoramento contínuo de controles e feeds de inteligência regulatória estão sendo adotadas para identificar vulnerabilidades de forma proativa e aprimorar a capacidade de supervisão de riscos e controles. Essas tecnologias permitem uma resposta mais ágil e eficiente aos riscos emergentes.

Pergunta para Reflexão: Estamos aproveitando as tecnologias de IA para melhorar nossa supervisão de riscos e controles de maneira proativa?

6. Resiliência operacional e continuidade de negócios

A resiliência operacional continua a ser uma prioridade, com foco na capacidade das organizações de prever, antecipar e gerenciar riscos antes que se manifestem. A regulamentação em torno da resiliência operacional está se intensificando globalmente, com o Digital Operational Resilience Act (DORA) na Europa entrando em vigor em 2025. As empresas estão fortalecendo seus programas de continuidade de negócios para garantir a resiliência em toda a cadeia de valor e com terceiros.

Pergunta para Reflexão: Nossa organização está preparada para responder rapidamente a interrupções e garantir a continuidade das operações?

Estatísticas interessantes sobre o tema:

  1. Crescimento de incidentes cibernéticos: Em 2023, houve um aumento de 50% nos ataques cibernéticos em comparação com o ano anterior, com setores como saúde e finanças sendo os mais afetados . 62% das organizações acreditam que suas equipes de cibersegurança estão subdimensionadas para enfrentar as ameaças emergentes.
  2. Impacto econômico dos riscos: 70% de todos os setores econômicos globais foram diretamente impactados por eventos climáticos extremos, como secas e inundações, destacando a necessidade de uma robusta gestão de riscos . 98% das organizações globais integram-se com pelo menos um fornecedor que foi violado nos últimos dois anos, sublinhando a importância da gestão de riscos de terceiros.
  3. Resiliência operacional e continuidade de negócios: Empresas que implementam programas de gestão contínua de exposição a ameaças (CTEM) têm 67% menos chances de sofrerem violações de segurança até 2026 . A regulamentação em torno da resiliência operacional está se intensificando globalmente, com o Digital Operational Resilience Act (DORA) na Europa entrando em vigor em 2025.

Orientações executivas para conselheiros e CEOs

  1. Adotar Inteligência artificial com cautela e estratégia: Ação: Implementar a IA para análise de grandes volumes de dados e detecção de ameaças, mas assegurar uma abordagem equilibrada que minimize os riscos inerentes. Orientação: Invista em capacitação para que os funcionários possam utilizar a tecnologia de IA de forma segura e eficaz, e crie uma política e educação constante sobre o tema. Recomendo entender as tentativas de regulação em andamento e também o apoio por padrões e diretrizes que estão disponiveis como a nova lei europeir para IA: https://www.linkedin.com/posts/daddariobrazil_aiact-inteligenciaartificial-inovaaexaeto-ugcPost-7198767030727036928-scND?utm_source=share&utm_medium=member_desktop
  2. Fortalecer a gestão de riscos de terceiros: Ação: Desenvolver planos de continuidade específicos para engajamentos de terceiros que representem alto risco de cibersegurança. Orientação: Realizar exercícios de simulação e criar playbooks de incidentes específicos para terceiros. Dependendo do terceiro, preparar-se para um Gerenciamento de Crises.
  3. Estabelecer programas de cultura de segurança baseados em comportamento: Ação: Implementar programas que promovam mudanças comportamentais e incentivem a adoção de controles de segurança. Orientação: Focar em reduzir os comportamentos inseguros e aumentar a agilidade na adoção de práticas de segurança. Educar continuamente sobre Modern Workplace Seguro, orientar os executivos sobre os riscos operacionais e de segurança da informação em ambientes hibridos colaborativos digitais.
  4. Monitoramento contínuo de ameaças e vulnerabilidades: Ação: Adotar programas de gestão contínua de exposição a ameaças (CTEM) para avaliação regular da acessibilidade, exposição e exploração de ativos digitais. Orientação: Alinhar os investimentos em segurança com programas de CTEM para reduzir significativamente as brechas de segurança.
  5. Preparar para a conformidade com regulamentos de privacidade de dados: Ação: Garantir a conformidade com as leis de privacidade de dados, como GDPR e possíveis novas regulamentações federais nos EUA e Brasil (LGPD). Orientação: Manter-se atualizado com as mudanças na legislação de privacidade de dados e ajustar as políticas internas conforme necessário. Independente de punições ou agências, entenda a LGPD no Brasil como uma necessidade de entender e ajustar as tecnologias e monitoramento para gerenciar riscos adequadamente. Ter uma gestão de incidentes preparada, e ter Plano de Gerenciamento de Crises considerando o vazamento de dados e informações.
  6. Investir em resiliência operacional: Ação: Fortalecer os programas de continuidade de negócios e resiliência operacional, garantindo que todas as entidades e terceiros estejam alinhados com os requisitos de resiliência. Orientação: Preparar a organização para responder rapidamente a interrupções, minimizando impactos negativos e garantindo a continuidade das operações. Resiliência é um objetivo de longo prazo e uma mudança de mentalidade dos líderes e conselho. Se não está no planejamento e planejamento orçamentário, não será uma realidade.

Conclusão

Manter-se atualizado com as tendências emergentes e adotar uma abordagem proativa em GRC, continuidade de negócios e cibersegurança é essencial para a resiliência e sucesso a longo prazo das organizações. CEOs e conselheiros devem liderar essas iniciativas, garantindo que suas organizações estejam preparadas para enfrentar os desafios e aproveitar as oportunidades que 2024 traz.

Para mais detalhes, recomendo explorar os seguintes artigos e relatórios:

Artigo publicado em 07/06/24 e gentilmente cedido pela DARYUS, parceiro oficial EXIN.
CEO do Grupo DARYUS | Consultor Sênior em Continuidade de Negócios, GRC & Cibersegurança | Professor de MBA | Palestrante