Oferecido por
As ameaças cibernéticas são cada vez mais concretas, constantes e com potencial lesivo devastador. Visam a maior probabilidade de impacto danoso para que as organizações sejam instadas a negociar em troca da continuidade dos seus negócios ou da sua reputação por eventuais vulnerabilidades.
Na pesquisa Cost of a Data Breach – 2021, publicada recentemente pela IBM, foram avaliados 537 incidentes em 17 países, incluindo o Brasil, e 17 setores diferentes. Alguns dados chamam a atenção: o custo médio de um incidente é de US$ 4,24 milhões; 38% deste valor se dá em razão de perdas de negócios, como queda de receitas pela interrupção dos serviços e redução de clientela diante de danos reputacionais; o tempo médio para identificar um incidente é de 212 dias e para contê-lo são necessários mais 75 dias, totalizando 287 dias o ciclo de vida do incidente; a maior causa raiz de entrada do atacante são credenciais comprometidas (20%), seguida de phishing (17%) e configuração incorreta de nuvem (15%); ter automação e IA implementados para segurança cibernética representa redução de custo de US$ 3,81 milhões por incidente; e ter plano de resposta a incidentes e equipe treinada reduz o custo em US$ 2,46 milhões por incidente.
Ou seja, os riscos empresariais são diretamente proporcionais à capacidade das organizações em mitigar as chances de êxito dos ataques, os quais infelizmente são inerentes ao ambiente digital, bem como à capacidade de responder aos incidentes, sejam eles acidentais ou praticados dolosamente pelo infrator.
Assim, os desafios oriundos das ameaças cibernéticas já são condicionantes ao direcionamento estratégico das organizações e dos seus princípios, que é justamente o fundamento dos conselhos de administração, o qual deve também definir estratégias e tomar decisões que protejam e valorizem a empresa, otimizem o retorno do investimento no longo prazo e promovam uma cultura organizacional centrada em seus valores. O assunto merece atenção dos conselhos, ainda mais considerando a imposição da transformação digital motivada pela competividade e pandemia.
A questão é transversal e abrangente como os demais assuntos que pautam as discussões dos conselhos de administração. O escopo envolve Transformação Digital, inovação, tecnologia, riscos, regulação, governança, recursos humanos e comportamento. Tratar o tema como um mero assunto de TI é um erro.
Os riscos precisam ser avaliados de acordo com o plano de continuidade do negócio e mitigados por meio de governança e programas de conformidade, com uma visão econômica dos seus benefícios e aprimoramentos necessários. Lembrando que novas legislações, como a LGPD, impõem às organizações que consigam demonstrar a utilização de medidas técnicas e administrativas eficazes e aptas a proteger dados pessoais, de forma a prevenir a ocorrência de danos em virtude do seu tratamento.
Outro ponto de atenção é sob a perspectiva de recursos humanos, mediante cautela na terceirização da seleção e gestão dos profissionais com atuação de maior risco para as organizações e não conduzido internamente por sua respectiva área de talentos. Ainda, buscar engajamento acerca dos riscos cibernéticos por meio da prática contínua de treinamento e comunicação assertiva dos colaboradores. Invariavelmente, incidentes cibernéticos dependem de falhas humanas.
Estabelecer comitê de crise e ter plano de resposta a incidentes, com simulações prévias, ajudará as organizações a lidar com o caso concreto, de forma a preservar as evidências necessárias; comunicar a seguradora tempestivamente (ter cyber insurance é relevante); identificar a causa-raiz do evento; estancar a vulnerabilidade; avaliar se houve exposição de informações e/ou de dados pessoais; elaborar o score de gravidade do incidente; definir eventual comunicação ao mercado, às autoridades competentes e aos titulares dos dados, conforme legislação aplicável; elaborar notas reativas à imprensa; monitorar a surface e deep web; e adotar as medidas jurídicas para identificar e responsabilizar o ofensor.
Somando-se a isso tudo, tem-se a avaliação de negociar ou não com o invasor, sob o risco de estimular o mercado ilícito e aumentar o perigo de dano reputacional, ainda mais sem qualquer garantia de que o pagamento ensejará a retomada das atividades ou abstenção da utilização de dados. Em casos de ransomware, 80% das empresas que pagaram pelo resgate sofreram novos ataques; 46% recuperaram acesso aos dados, mas corrompidos integral ou parcialmente; e 42% dos casos o seguro cibernético não cobriu todos os prejuízos, segundo dados da Cybereason.
Portanto, novas tecnologias e procedimentos para a Transformação Digital e modernização dos negócios das empresas, ainda que possivelmente sejam mais fáceis de justificar maior empenho de tempo, talentos e recursos financeiros nos conselhos de administração, não devem prevalecer sobre as estratégias para mitigar os riscos cibernéticos, diante da necessidade da proteção de direitos e garantias fundamentais de terceiros, competividade e danos reputacionais, que vão muito além de eventuais responsabilizações ou sanções administrativas.
Como os conselhos de administração devem estimular a reflexão estratégica de forma perene e manterem-se vigilantes sobre as alterações no ambiente de negócios, que são cada vez mais dinâmicas em razão da era digital, as ameaças cibernéticas não devem ser tratadas de forma marginal por eles.
Este artigo foi produzido por Rony Vainzof, Advogado, Professor e Árbitro – Cyber Law & Data Protection – LL.M. | CIPP/E | CIPM | CDPO.