Observação: Nós nos empenhamos ao máximo para manter o espírito e as nuances originais de nossos artigos. Porém, pedimos desculpas desde já por quaisquer erros de tradução que você venha a notar. Seu feedback é bem-vindo através do e-mail reader_input@mckinsey.com
A época em que a segurança cibernética era uma função distinta e separada da organização acabou. As ameaças atuais, impulsionados pela IA, exigem que toda organização tenha uma “cobertura do céu à terra” – abrangendo desde o Conselho até a linha de frente. E não há ninguém mais ciente dessas ameaças e da escala da resposta necessária do que o diretor de segurança da informação [chief information security officer, ou CISO].
A McKinsey e a Associação Nacional de Membros de Conselhos Corporativos [National Association of Corporate Directors, ou NACD] organizaram recentemente um painel de discussão com cinco importantes CISOs e membros de Conselhos para avaliar como a segurança cibernética está mudando, como as organizações devem atualizar sua postura nessa área e como CISOs e membros de Conselhos estão em uma posição privilegiada para coliderar o esforço de manter as instituições seguras sem abrir mão dos benefícios das novas tecnologias.
Mais insights da McKinsey em português
Confira nossa coleção de artigos em português e assine nossa newsletter mensal em português.
Moderado por Justin Greis, ex-sócio da McKinsey, o painel reuniu Katie Jenkins, CISO da Liberty Mutual; Marco Maiurano, CISO do First Citizens Bank; Matt Rogers, conselheiro independente da Exelon; Noopur Davis, diretora de segurança de produtos e da informação da Comcast e conselheira do Regions Bank e da Entrust; e Nora Denzel, conselheira da NACD, conselheira independente sênior da AMD e conselheira da Gen Digital e do Sony Group.
Esta sessão de perguntas e respostas foi editada para maior clareza e concisão.
Segurança cibernética: uma responsabilidade de todos e uma vantagem estratégica
Por Peter Gleason
Os Conselhos corporativos e a alta gerência costumavam ver o manejo dos riscos cibernéticos como um investimento para evitar perdas – de dados, de dinheiro e, mais importante, de confiança. Esta perspectiva evoluiu e hoje a segurança cibernética é, cada vez mais, reconhecida como uma vantagem competitiva e uma maneira essencial de proteger ativos críticos.
Essa nova realidade foi acelerada pela rápida adoção da IA generativa e pelos Conselhos que estão assumindo mais responsabilidades de supervisão e acompanhamento. No centro da mudança está o diretor de segurança da informação (CISO), cujo papel evoluiu de tecnólogo para parceiro de negócios – alguém que insere o contexto operacional na gestão dos riscos e que posiciona a organização para se adaptar e não apenas reagir.
O painel de discussão reunido aqui – organizado pela Associação Nacional de Membros de Conselhos Corporativos (NACD) e pela McKinsey – é altamente oportuno. O relacionamento ativo e vigoroso entre o Conselho e o CISO tornou-se hoje um fator determinante da resiliência cibernética de uma organização no longo prazo. O Conselho deve assegurar a fluência necessária para alinhar inovação, riscos e estratégias de negócio com o que o futuro nos trará. O CISO, por sua vez, deve possuir um nível de expertise e contextualização de que o Conselho provavelmente carece. Embora possa ser difícil alcançar o equilíbrio certo de “dar e receber” entre o Conselho e os líderes de tecnologia, o fato é que hoje a estratégia e a governança tecnológicas estão no cerne da função tanto dos conselheiros como dos CISOs. O sucesso, em última análise, depende de considerar a segurança cibernética uma responsabilidade compartilhada e uma vantagem estratégica.
Agradecemos à McKinsey, aos integrantes do painel e a todos que participaram dessa importante conversa. Que o diálogo possa ter continuidade.
Peter Gleason é presidente e CEO da NACD.
Justin Greis: Vamos começar com a perspectiva do Conselho. Como você vê a segurança cibernética? Como iniciar uma conversa sobre cibersegurança?
Noopur Davis: O que não se pode fazer é iniciar uma discussão sobre tecnologia usando uma terminologia obscura que ninguém entende. Uma maneira de iniciá-la é por meio do storytelling embasado em dados. Isso parece ter uma boa repercussão, pois nos obriga a simplificar a mensagem para que o conteúdo seja entendido e fique gravado na mente das pessoas. Membros de Conselhos costumam ser bastante ativos e bem informados, de modo que nos farão perguntas inteligentes sobre os nossos riscos, criando uma oportunidade para irmos ainda mais fundo em suas áreas de interesse (veja Box, “O Conselho e o CISO: três perguntas a considerar”).
Se o Conselho nos faz uma pergunta mais de uma vez, ela é incluída em nosso material de apoio, de modo que nosso material de apoio é extremamente detalhado. Contém um vasto volume de dados e muitas descrições minuciosas dos controles capazes de estimular discussões adicionais. Vale dizer que essa parte conversacional sempre envolve bastante storytelling, e isso funciona muito bem.
Katie Jenkins: Quando tenho de fazer uma apresentação especial sobre cibersegurança para um comitê do Conselho, tendo a começar com uma pergunta ao presidente do comitê: “Há algo específico que você gostaria de discutir, algo que ainda não tenha sido abordado ou que esteja lhe preocupando?” A resposta dele é sempre uma contribuição valiosa; muitas vezes os conselheiros têm tópicos ou problemas que lhes são prioritários e, se os colocarmos em pauta logo no início, poderemos identificá-los ou resolvê-los imediatamente ou decidir deixá-los estacionados para mais tarde.
Também fico atenta a indícios nas conversas de corredor antes e depois das reuniões do Conselho. Estes são fundamentais porque costumam trazer à tona tópicos que precisam ser levantados ou me dão uma ideia geral de quais são as verdadeiras preocupações. Procuro oferecer minhas atualizações pessoalmente sempre que possível, pois isso cria um ambiente mais aberto à discussão.
Marco Maiurano: Costumo tratar a questão da cibersegurança fora das reuniões do Conselho. Pergunto aos conselheiros o que eles têm ouvido, quais são suas maiores preocupações e o que leram que gostariam de entender melhor. Também busco capacitá-los para que, munidos dos conhecimentos necessários e das respostas a essas perguntas, se sintam confiantes ao entrarem na reunião: “Ei, já ouvi falar de tudo isso; estou a par dos problemas e sou capaz de fazer perguntas melhores”. E é exatamente para isso que o Conselho existe: para verificar, questionar, supervisionar, acompanhar, permitindo que possamos contribuir coletivamente para a missão da organização.
Matt Rogers: Na infraestrutura de energia, a segurança cibernética é uma preocupação constante. O setor tem feito um ótimo trabalho de gerenciar riscos, trabalhando com os órgãos governamentais pertinentes. Em conversas com o CISO, o primeiro passo é entender o perfil das ameaças. Essa é a conversa básica. Pois se alguém supõe que a ameaça não existe, é provável que simplesmente não conseguiu enxergá-la. O segundo passo é entender onde estão os riscos. É preciso chegar-se a um entendimento de como eliminar sistematicamente esses riscos. O papel do Conselho consiste em assegurar que a empresa eliminará os riscos e, no caso de algum incidente, garantir que os gestores e o Conselho já tenham preparado uma resposta rápida e disciplinada.
Justin Greis: Nora, você costuma falar da noção de uma “cobertura do céu à terra”. Pode nos contar um pouco mais sobre o que isso significa para você do ponto de vista da governança?
Nora Denzel: Precisamos de uma cobertura do céu à terra para a tecnologia porque a composição dos Conselhos varia. A maioria dos conselheiros possui perspicácia financeira; no entanto, alguns podem se enquadrar na categoria de “forasteiros no mundo da tecnologia” – com experiência limitada em tecnologia e talvez pouco a par do cenário tecnológico emergente. Mas há também os pioneiros na adoção da tecnologia e os nativos digitais. De modo que o CISO precisa ser capaz de dialogar com todos os tipos de membros do Conselho, às vezes tendo de realizar um certo malabarismo para acomodar todos.
Na verdade, o CISO estará se apresentando para uma verdadeira “curva do sino” de forasteiros, pioneiros e imigrantes de tecnologia [que a adotaram, mas não cresceram com ela]. E seria muito útil se ele conseguir que haja pelo menos um nativo digital no grupo em dado momento. Haverá sempre um conjunto diversificado e desafiador de pessoas qualquer que seja o tópico a ser discutido, quanto mais um tão complexo e em rápida evolução como a segurança cibernética.
A NACD acredita que a base da boa governança é a perspicácia tecnológica. Oferecemos a nossos membros pesquisas independentes e confiáveis, além de liderança inovadora para que os conselheiros possam ampliar seus conhecimentos e aplicar uma verdadeira cobertura do céu à terra. Este é um dos motivos pelos quais a NACD formou uma comissão de alto nível, com 24 membros, que publicou em 2024 o relatório Technology leadership in the boardroom: Driving trust and value, visando ajudar os Conselhos corporativos a enfrentar o ritmo acelerado da tecnologia e da inovação. Assim como ocorre com finanças, recomendamos que a expertise em segurança cibernética esteja bem representada em todo Conselho para que possamos realmente ir fundo nessa área.
Marco Maiurano: Meu CEO me fez a mesma pergunta acerca do que penso sobre cibersegurança. Ele observou: “A variabilidade e a severidade das ameaças são tão extremas que, a cada dia, surge algo novo e inesperado, em comparação com anos anteriores, e tudo que surge tem o potencial de provocar disrupção”.
Precisamos ter certeza de que estamos instruindo devidamente os Conselhos sobre essa variabilidade, para que saibam como e onde se aprofundar e possam garantir que tenhamos esse tipo de cobertura de ponta a ponta. Também devemos mantê-los informados sobre o que nós mesmos estamos fazendo a respeito e reportar regularmente as principais iniciativas que conseguiram reduzir riscos e promover uma organização mais resiliente. Esperamos que isso ajude a reduzir a severidade e a probabilidade de disrupção que ele mencionou.
Temos organizado treinamentos e sessões de educação. Os conselheiros também têm acesso total a mim. Almoço e tenho reuniões informais com eles, o que chega até a ser divertido. Eles escolhem um tópico e dizem: “Ei, podemos conversar um pouco sobre isso?” Se for algo que os preocupa, então evidentemente conversamos a respeito. Fóruns desse tipo permitem que eles tenham as ferramentas de que precisam e definam o grau de profundidade que desejam alcançar.
Uma das coisas que nos colocou todos em alerta máximo foi a orientação da SEC [Comissão de Valores Mobiliários dos EUA] sobre a necessidade de manter os Conselhos bem informados. Levamos isso muito a sério e aproveitamos a oportunidade para aprender e aprimorar coletivamente nossa atuação.
Também tenho observado que os novos membros do Conselho já chegam com experiência em algum tipo de tecnologia. (Estamos inclusive em processo de formar um novo comitê de tecnologia ligado ao Conselho.) Os novos membros nos permitem dedicar mais tempo, e tempo de melhor qualidade, ao Conselho. É assim que estamos pensando em chegar à cobertura de ponta a ponta: garantindo que o Conselho esteja bem informado, com os conteúdos e a plataforma que lhes permita fazer as perguntas certas.
Katie Jenkins: Meu trabalho não é exagerar ou subestimar os riscos reais; nada de bom resulta disso. O que estou tentando transmitir ao Conselho é a maneira como identificamos, qualificamos e quantificamos os riscos, e como os mapeamos para nossas iniciativas, a fim de demonstrar que os reduzimos e, com sorte, acelerar o valor real para o negócio. Seja em finanças, estratégia ou operações, meu trabalho é representar e equilibrar com exatidão valor, custo e risco.
Uma das coisas que, a meu ver, está a nosso favor é reconhecer a importância de uma avaliação independente – que compartilhamos com o Conselho, como boa prática de governança. Pelo menos uma vez ao ano, coleto os resultados de uma avaliação global independente de maturidade, utilizando uma estrutura consistente do setor. Embora essa estrutura possa mudar com o tempo, ela nos dá uma representação padronizada, precisa e completa do nosso grau de maturidade para compararmos com o nosso perfil de riscos e determinar se estamos fazendo o suficiente ou se precisamos melhorar. Na pior das hipóteses, o Conselho verá nisso uma progressão positiva em nossa postura de cibersegurança e dos esforços que dedicamos para aprimorá-la. Além disso, também utilizamos benchmarks que nos indicam qual é nossa posição em relação a nossos pares do setor. Embora a avaliação e os benchmarks não sejam uma solução mágica capaz de identificar todos os nossos problemas, são um ponto de partida para o Conselho refletir e comparar nossas capacidades e riscos. Com isso, é possível iniciar uma conversa com o Conselho sobre o que estamos fazendo em termos de cibersegurança.
Justin Greis: Como você vê a governança e o compartilhamento de informações de segurança cibernética em uma organização global matricial?
Noopur Davis: É complicado, com certeza. Um dos Conselhos dos quais participo possui um comitê de tecnologia; o outro tem um comitê de cibersegurança, que é um subcomitê do comitê de auditoria. Esses comitês refletem as necessidades da empresa. Na Comcast, por ser tão diversificada e tecnológica, a tecnologia é parte de todas as conversas.
Nossa governança inclui representantes das três grandes áreas da empresa. Há a Comcast que todos conhecem como tal; há a NBCUniversal, voltada para notícias, entretenimento, parques temáticos e estúdios de cinema; e há ainda a Sky, na Europa. Cada unidade organizacional tem um CISO responsável pela segurança cibernética e um Conselho correspondente com funções de supervisão e acompanhamento, pois cada uma das unidades tem um perfil de riscos específico – ainda que, em muitos aspectos, similar.
Sempre que nos reunimos, os três grupos estão presentes. Cada um fala sobre seus riscos específicos e as respectivas áreas onde ocorrem. Em seguida, conversamos sobre nossos riscos em comum, como a IA, e o que estamos fazendo a respeito.
Por exemplo, quando conversamos sobre IA, discutimos o que ela significa, suas oportunidades e riscos, e como ela vem sendo gerida em cada empresa. Em seguida, definimos os padrões, políticas e diretrizes comuns aos três grupos. Isso funciona bem. Temos uma camada de governança de alto nível em comum e uma camada específica para cada unidade de negócio, porque, como vocês podem imaginar, os riscos de um parque temático são bem diferentes dos riscos de nossa infraestrutura de banda larga.
Justin Greis: Como vocês, membros de Conselhos, pensam sobre IA? Como a governam? E como vocês, CISOs, estão posicionando a IA da perspectiva de sua função?
Matt Rogers: A IA é um ótimo exemplo de como os riscos surgem, de onde surgem e de quem os introduz na empresa regularmente. Este último aspecto é o mais importante. O CISO e o lado tecnológico só podem ir até certo ponto para proteger a empresa, pois são os líderes da linha de frente que enfrentam os riscos diretamente e têm a oportunidade de mitigá-los.
Por exemplo, o CISO deve dedicar tempo ao pessoal da cadeia de suprimentos, porque os fornecedores podem trazer uma série de riscos. Deve dedicar tempo ao pessoal de RH, porque hoje, nas salas de entrevista online das empresas, há muitas pessoas que conseguem fingir que são outras. Os Conselhos precisam capacitar de novas maneiras os gestores de todas as áreas da empresa para garantir que eles sejam capazes não só de utilizar a tecnologia como também de gerenciar a suscetibilidade a riscos da organização.
Isso implica assegurar que os líderes tenham as ferramentas para proteger a empresa. Implica também treiná-los para serem vigilantes, porque a tecnologia é apenas uma ferramenta. É a gestão que tem de estar à frente para solucionar problemas.
A IA está em toda parte e uma tecnologia tão disseminada levanta questões sobre como as empresas e os Conselhos gerenciam dados, sobre o que permitimos ingressar na organização e sobre o que podemos fazer com a inteligência artificial. As pessoas têm utilizado a IA das mais diversas maneiras e a tecnologia nem sempre consegue detectar os riscos ou preservar essas pessoas e suas organizações de problemas. Precisamos ter todo um conjunto de líderes que possam atuar como a primeira linha de defesa. Este é o meu exemplo de “cobertura do céu à terra”. Precisamos de pessoas na linha de frente que realmente entendam a IA e possam levantar as questões certas. Caso contrário, só descobriremos o problema quando já for tarde demais. E precisamos de pessoas no topo que saibam ouvir, consigam entender e tomem as medidas apropriadas com base nas informações de suas equipes. Nesse mundo, é assim que capacitamos a linha de frente: com líderes que ouçam e ajam, especialmente porque o problema nem sempre se mostra como um problema tecnológico.
Marco Maiurano: Quando penso em IA e na tecnologia em geral, creio que seja responsabilidade do CISO entender o que está acontecendo. O que tenho feito com o Conselho é articular que não se trata apenas do CISO; envolve toda uma gama de dados e o que queremos fazer com eles. Envolve o diretor de dados. Trata-se de uma segunda linha de defesa. Trata-se da gestão dos riscos do modelo, de como estamos implementando a governança e a supervisão. Trata-se dos aspectos legais, porque há coisas – especialmente no setor bancário, altamente regulamentado – capazes de causar graves problemas para nós e nossos clientes.
Quanto à IA, é preciso garantir que os Conselhos entendam as oportunidades que ela nos oferece e as armadilhas que precisamos evitar. Estou entusiasmado com a IA, mas ciente dos riscos que ela introduz. Como função de primeira linha, devemos fazer com que o Conselho se sinta confiante de que sabemos como gerenciá-la, governá-la, identificar onde estão os riscos e, acima de tudo, identificar o que não sabemos e onde mais trabalho é necessário.
Nora Denzel: A NACD utiliza o termo “governança tecnológica”, não “IA”, porque sabemos que amanhã de manhã alguém vai chegar com uma nova inovação que introduzirá toda uma nova gama de riscos. Enfatizamos a importância de deixar claro o papel do Conselho na governança: depois que Conselho tomar medidas de supervisão e acompanhamento, ele deve atualizar seu estatuto para torná-las permanentes. Cada comitê tem uma função diferente, mas a supervisão tecnológica avança mais depressa do que qualquer outra que eu consiga imaginar.
O maior risco que podemos correr nos próximos cinco anos é não enfrentar os riscos tecnológicos. Conheço muitos conselheiros assustadiços, incluindo alguns que dizem: “Ah, temos de avisar aos funcionários para não utilizar o ChatGPT”. Não dá para pensar assim. Os melhores Conselhos vão além do compliance e partem para a ofensiva estratégica. Esses Conselhos acreditam que um comitê de tecnologia ou inovação seja necessário para fazer com que todos os conselheiros sejam proativos e se antecipem aos problemas.
Também dizemos aos Conselhos que eles precisam intervir e se autogovernar, porque a tecnologia está evoluindo mais depressa do que a sua regulamentação. Devemos nos lembrar do momento em que os airbags foram introduzidos para tornar os carros mais seguros: a tecnologia dos primeiros airbags não havia sido projetada para mulheres e crianças, e o resultado da decisão foi desastroso. Com o tempo, a regulamentação acabou chegando à indústria automobilística e fez com que os consumidores passassem a contar com os airbags que conhecemos hoje. Este é um alerta para os Conselhos que acham que ser proativo em cibersegurança e tecnologia é apenas “uma coisa legal” de se ter.
Infelizmente, acho que a maioria dos Conselhos ainda não chegou lá. Dezesseis por cento das empresas da Fortune 500 hoje têm comitês de tecnologia. Acredito que chegaremos a bem mais de 20% até o final da próxima temporada de assembleias de acionistas1. Não estou dizendo que um comitê de tecnologia seja a solução certa, e certamente não é uma solução milagrosa, mas a NACD oferece essa opção para que os Conselhos possam decidir por si próprios.
Também dizemos aos Conselhos: “Concentrem-se nos dados. Concentrem-se na dívida tecnológica". Ninguém quer falar sobre isso, até que um dia o sistema cai e fica fora do ar por uma semana. É por isso que somos tão insistentes que os Conselhos devem se autogovernar e se instruir.
Os CISOs e os líderes de tecnologia devem ajudar o Conselho a aprimorar seus conhecimentos e se antecipar de maneira proveitosa às oportunidades e riscos tecnológicos. A maioria dos comitês de nomeação e governança (conhecidos como “nom-gov”) inclui sessões de instrução nas reuniões do Conselho, e os líderes de tecnologia fariam bem em trabalhar com os presidentes desses comitês. No entanto, os Conselhos sabem que os gestores da empresa também está constantemente aprendendo e se atualizando, de modo que precisam adotar uma abordagem de “confiar, mas verificar” em relação ao que aprendem.
Noopur Davis: Tudo depende do ponto em que a empresa está em sua jornada. Para uma empresa passando por uma transformação tecnológica, o comitê de tecnologia deve focar os orçamentos, pois centenas de milhões de dólares estão sendo investidos em transformações que mudarão os negócios. Como membros do Conselho, é nossa obrigação perguntar: “Qual é a dívida tecnológica? Qual é o nosso plano para sair dessa situação? Como adotar tecnologias modernas?” Queremos que a empresa esteja pensando a sério nisso.
Por outro lado, se você integrar o comitê de tecnologia de uma empresa madura, que não está passando por uma grande transformação, a pergunta certa é: “Por que não está?”. A tecnologia está provocando a disrupção de tantos setores que são poucas as empresas que não estão atentas a seu impacto e pensando em implementar mudanças logo em seguida.