Cibersegurança na pauta dos Conselhos de Administração
Por: Eduardo Gouveia*
A sua companhia está realmente preparada contra eventuais ataques cibernéticos, fraudes e outras ameaças digitais? A pergunta já presente na liderança executiva subiu um degrau na gestão e chegou ao Conselho de Administração. Uma resposta imprecisa pode representar prejuízos milionários a qualquer momento e causar grande impacto na imagem e reputação da empresa. No enfrentamento permanente a adversários desconhecidos, que agem individualmente ou em grupos, temos hoje uma alta sofisticação nos ataques cibernéticos encontrando brechas em empresas grandes, médias e pequenas. Nenhuma delas pode se considerar 100% a salvo de um ataque.
A questão não é se a empresa vai ser atacada ou invadida, mas quando será. Isso posto, tais empresas podem evidenciar no planejamento estratégico o acompanhamento contínuo desses investimentos, mantendo-se preparadas e atualizadas.
A situação é crítica em todo o mundo e as frequentes manchetes sobre invasões mostram o risco real e constante. Ainda assim, não é tarefa simples manter o tema segurança de dados como tema recorrente na pauta da reunião de conselheiros. Em diversas empresas, tenho observado que ainda há a percepção equivocada de que cibersegurança é sinônimo de problema, tema incômodo e pouco atraente. E essa desatenção pode se refletir em drásticas consequências para os negócios.
Algumas das questões mais importantes a serem consideradas no Conselho são: temos uma compreensão completa das ameaças e riscos cibernéticos? Quais os casos no segmento em que atuamos? Quais os impactos de uma possível invasão em nossa empresa para os stakeholders? Como os conselheiros estão sempre interessados em resultados financeiros e no Retorno sobre o Investimento (ROI), também é preciso demonstrar como a empresa pode evitar perdas mantendo-se protegidas.
Além dos prejuízos financeiros e danos à imagem que um vazamento de dados pode causar, há de se considerar também as punições de órgãos reguladores – visto que a questão é alvo de regulamentações constantes, a exemplo da LGPD (Lei Geral de Proteção de Dados). A partir de agosto, por exemplo, quem desrespeitar essa legislação ficará sujeito a punições que vão do pagamento de multa de 2% sobre o faturamento à possibilidade de encerramento das atividades. O tema traz uma preocupação importante, pois estabelece uma nova dinâmica na gestão da proteção de dados.
A criação de uma estrutura de proteção digital contínua deve ser vista como um investimento fundamental. Como bem pontuou Cássio Dreyfuss, vice-presidente de Análises do Gartner, na edição do ano passado do Tempest Talks, deixar a cibersegurança apenas como uma questão dos times de TI – e não a considerar como pauta estratégica – é uma atitude antinegócio.
Uma pesquisa do Ponemon Institute, patrocinada pela IBM, com 524 organizações, de 17 países, que sofreram com vazamentos de dados entre agosto de 2019 e abril de 2020, indicou que o prejuízo total médio de um vazamento de dados foi de US$ 3,86 milhões. Mesmo assim, muitos conselheiros ainda estão com baixa visibilidade quanto à segurança digital. De acordo com o mesmo instituto, 63% dos CISOs (Chief Information Security Officer) não se reportam regularmente ao Conselho e 40% não participam da sala de reuniões. Para sensibilizar os Conselhos de Administração sobre a importância inserir o tema no planejamento estratégico e na rotina das reuniões, o caminho passa por três eixos: educação, comunicação e mensuração.
Educar é uma missão constante dos profissionais da área, sejam da própria empresa ou dos que atuam em consultorias. É uma quase evangelização, em que os especialistas se dedicam a transmitir o conhecimento da área em que atuam. A realização de fóruns de discussões, sejam eventos formais ou apenas reuniões com pauta sistematizada, é uma maneira interessante de mostrar frequentemente o impacto da cibersegurança nos negócios. Exemplos bem-sucedidos de políticas de segurança digital, casos de políticas reativas mal sucedidas e os montantes envolvidos nas soluções também são informações valiosas para que os Conselheiros passem a se familiarizar cada vez mais o assunto.
Entretanto, é necessário dar atenção à maneira de se comunicar. Os Conselhos são formados por profissionais experientes, mas que nem sempre passaram por uma crise de segurança digital ou têm familiaridade com as tecnicidades envolvidas. Termos como Pentests, SOCs, Threat Intelligence não chamarão atenção desse público. As iniciativas de cibersegurança devem ser discutidas e atualizadas constantemente com o Conselho, mas sempre com linguagem acessível a não especialistas, dando o contexto pertinente e necessário ao público. O que realmente irá capturar a atenção do Conselho é uma comunicação cristalina sobre os riscos das empresas, seus impactos nos resultados, impactos de imagem e os motivos de se investir em defesa cibernética e como esse montante será efetivo na redução dos riscos.
O terceiro eixo é a mensuração, tarefa nem sempre fácil para empresas que ainda não tenham sofrido um ataque. Nestes casos, é aconselhável apresentar exemplos de ciberataques sofridos por outras corporações, de preferência do mesmo segmento, e os prejuízos gerados, danos à imagem e credibilidade, perda de clientes, entre outros. Será importante dimensionar, a partir desses exemplos, como equipes dos diferentes setores podem continuar gerando lucro a partir de uma atuação mais segura. Quando se fala sobre o ROI dos investimentos em cibersegurança, a fórmula mais exata para essa equação é medir o quanto as iniciativas de proteção digital estão ligadas ao Plano Estratégico criado pelo comitê executivo, bem como a conexão das iniciativas ao Mapa de Riscos da companhia. Investir sem fundamento não é uma opção. Muitos executivos não conseguem avaliar se uma tecnologia ou projeto está gerando riscos altos ou se a organização está perdendo oportunidades por ser muito avessa ao risco, mas não dá para negligenciar a importância do assunto. Não se trata de uma decisão subjetiva.
Posso dizer por experiência própria – em um passado distante, mas não esquecido – que essas vulnerabilidades podem custar alto e os problemas que surgem se instalam por muito tempo. Lição aprendida que passo adiante nos Conselhos de Administração que participo. Mas ainda percebo em muitas companhias que somente depois da invasão, e de enfrentar uma avalanche de problemas, se vê a necessidade de contratar uma empresa especializada em cibersegurança para montar a estratégia de gerenciamento e ajudar a mensurar o ROI. No caso vivenciado por mim, o investimento anual em segurança digital equivalia a um sexto do prejuízo gerado pelos ataques. E, em pouco tempo, o prejuízo com ataques digitais foi reduzido a apenas 2% do patamar que havia atingido no início da crise.
No momento atuo em Conselhos de Administração de sete companhias, de bilionárias a startups. A crise que atravessei foi dolorida, mas valiosa para minha atuação e aconselhamento a essas empresas hoje. Me permitiu demonstrar como a cibersegurança tem papel estratégico para os negócios. Aprendi que a prevenção a crimes digitais tem um custo muito menor do que o impacto de um ataque e que é importante contar com um parceiro externo competente, que respire o dia a dia de diferentes empresas, estando atualizado com essa área. Sofrer um ataque pode, literalmente, acabar com uma empresa. Repito, a questão atual não é o que fazer SE a sua empresa sofrer um ciberataque, mas o que fazer QUANDO sofrer. O Conselho precisa estar atento a essa realidade e acompanhar mais de perto a preparação da sua empresa.
*Eduardo Gouveia é membro do Conselho de Administração da Tempest Security Intelligence, de outras seis empresas e investidor em startups.
