Cibersegurança: o papel de liderança único da tesouraria corporativa na resiliência cibernética
Os tesoureiros corporativos têm um papel de liderança importante e único a desempenhar na construção da resiliência cibernética, enquanto centro de especialização em gestão de riscos e solidez do balanço, além de serem os guardiões de dados sensíveis relacionados com pagamentos.
Analisando as tendências de preparação e resposta a incidentes dos últimos anos, o que pode o tesoureiro fazer de diferente?
Gestão ascendente
A primeira coisa que um tesoureiro pode fazer é exercer pressão para garantir que a cibersegurança faça parte da agenda do Comité de Auditoria e Risco, tanto quanto a liquidez, o crédito ou o risco de mercado. Como é impossível prevenir totalmente um incidente de segurança, a cibersegurança não pode ser uma medida pontual, mas sim mantida como um ponto permanente.
Incorporar essa governação estratégica contínua não só definirá o tom de que a resiliência cibernética é importante, como também garantirá um entendimento comum do que isso significa: a cibersegurança é a forma como reduzimos o risco de um ciberataque e garantimos que a nossa organização está protegida.
Em segundo lugar, é necessário compreender onde e como o risco cibernético tem sido gerido até à data. Uma palavra de advertência: isto pode muito bem revelar uma situação fragmentada. Por exemplo, pode haver uma mistura de unidades de negócio individuais a gerir isto para cada uma das suas operações, o gabinete do Diretor Jurídico como parte da adoção do RGPD e o Diretor de Segurança da Informação (CISO) da organização numa perspetiva de sistemas.
Só compreendendo este panorama de responsabilidades e prestação de contas é que o tesoureiro poderá integrar a resiliência.
Gestão a partir de dentro
A tesouraria e a divisão financeira em geral precisam de ter um conhecimento suficiente para se envolverem de forma construtiva na resiliência cibernética e na resposta a incidentes.
Isto pode ser alcançado através de uma sessão de trabalho em grupo com quadro branco. Abrir o debate para facilitar uma autoavaliação dos processos sob a responsabilidade da equipa de tesouraria, bem como daqueles adjacentes a ela, irá revelar de forma rápida, fácil e económica o estado atual de compreensão e preparação.
Os pilares da cibersegurança — Defender, Antecipar e Envolver — podem ser aplicados como um quadro de referência para facilitar isto:
Defender
É importante gerir proativamente a pilha tecnológica da tesouraria, para além dos processos em vigor da TI e do gabinete do CISO, tais como a filtragem de e-mail. Por exemplo, todos os sistemas ou plataformas sob a alçada da tesouraria estão atualizados, com as correções necessárias e seguem uma abordagem sistemática para a integração e saída de colaboradores? Se sim, quando foi a última vez que testámos isto, ou verificámos se o princípio do privilégio mínimo está em vigor?
Antecipar
A chave para estar preparado para um incidente cibernético é dominar os conceitos básicos e alinhar-se com os processos de risco operacional de tesouraria existentes. Medidas como garantir que o seu plano de resposta tenha um backup em localização lógica ou geograficamente separada (um backup no mesmo local será quase certamente alvo de um ataque) — incluindo os requisitos específicos da tesouraria — são a melhor forma de aumentar a resiliência.
No mínimo, isto deve incluir os dados de contacto internos (por exemplo, o CISO e os parceiros de serviços partilhados) e externos (bancos de gestão de tesouraria e entidades credoras), bem como os critérios para a triagem de pagamentos e a reconciliação das transações mais importantes num cenário de contingência.
Envolver
As pessoas são e serão sempre a melhor forma de defesa cibernética. Embora seja provável que existam programas de formação a nível da organização sobre a identificação de e-mails suspeitos de phishing, por exemplo, estes não refletirão a nuance de que a cultura de cada equipa será diferente.
É importante verificar se o departamento de tesouraria possui um ambiente que atribui culpas ou extrai lições. Por exemplo, se alguém descobrisse uma forma de contornar uma funcionalidade de criador/verificador, sentir-se-ia à vontade para comunicar isso ao seu gestor?
Gestão transversal
Para defender, antecipar e envolver-se adequadamente a nível de toda a empresa, todas as partes da organização devem agir em uníssono. Os passos acima ajudarão os tesoureiros a compreender onde estarão as parcerias-chave.
Isto pode implicar discussões com o departamento de compras, caso os contratos não incluam uma avaliação da resiliência dos fornecedores, práticas históricas de RH relativas a processos de folha de pagamentos revistos ou um diálogo de aprendizagem interfuncional na sequência de um incidente que quase resultou em falha.
Esta liderança é uma ferramenta crítica para demonstrar o valor estratégico contínuo da tesouraria corporativa para a organização e o seu papel central na gestão de risco empresarial.
O Santander Corporate & Investment Banking reforça a segurança tanto dos nossos clientes como da sociedade no mundo digital. Enquanto instituição financeira, estamos a trabalhar ativamente na adoção da Lei sobre a Resiliência Operacional Digital (DORA) e da Diretiva revista relativa à segurança das redes e dos sistemas de informação (NIS2), com o objetivo de reforçar as nossas camadas de segurança existentes:
- Proteger: Isto inclui ferramentas cuja função principal é prevenir ciberataques (firewalls, antivírus, filtros de e-mail, controlo de acesso físico, de hardware e de software);
- Detetar: Monitorização 24 horas por dia, 7 dias por semana, 365 dias por ano, para identificar atividades anómalas ou maliciosas, incluindo aprendizagem automática;
- Responder: A fase de investigação, que pode incluir a desativação de sistemas ou investigação forense para prevenir novas infeções, riscos ou recorrências.
Em termos de reforço da resiliência para os nossos clientes, enquanto líder pan-europeu e americano em Gestão de Tesouraria, um componente vital é a disponibilização de um ponto de acesso único para o processamento de transações através do Santander Cash Nexus. Esta é uma importante fonte de redução do risco operacional, ao diminuir o número de potenciais pontos de fraqueza.
Desafiamo-nos também a encontrar novas formas de impulsionar a conectividade com a tecnologia dos nossos clientes.