https://valor.globo.com/legislacao/coluna – 09/11/2023.
Por Rony Vainzof *
A complexidade das novas tecnologias, a digitalização das empresas, a profissionalização dos criminosos e a regulação exigem o acréscimo do tema cyber como agenda obrigatória e madura nos conselhos.
Ameaças cibernéticas representam risco contínuo e crescente para empresas, investidores, clientes e nações. O tema vai muito além da proteção de dados pessoais e segredos de negócios corporativos, pois ataques cibernéticos podem travar organizações e países. Os incidentes e modelo de operação dos criminosos são cada vez mais complexos, transnacionais, profissionais, constantes e com potencial lesivo devastador.
A grande maioria dos líderes mundiais (86%) e dos especialistas em segurança cibernética (93%) acreditam que as próximas “trincheiras” serão virtuais, incluindo tentativas de interrupção de serviços críticos (Global Cybersecurity Outlook, 2023). Os custos globais com o cibercrime chegarão a US$ 10,5 trilhões anualmente até 2025, número maior que o de danos por desastres naturais e mais lucrativo do que o comércio global de todas as principais drogas ilegais combinadas (Cybersecurity Ventures). A IBM aponta o custo médio de US$ 4,45 milhões por incidente envolvendo dados pessoais (2023).
Ou seja, segurança cibernética é fundamental para a sobrevivência e competitividade das empresas. É pauta organizacional e cogente nos conselhos de administração, e não apenas técnica, conforme pontos de atenção elencados a seguir, desenvolvidos em conjunto com Álvaro Teófilo (professor da FIA e do IBGC).
O conselho deve assumir papel de protagonista no desenvolvimento da cultura de cibersegurança: uma mensagem poderosa pode ser transmitida para a empresa com a visão de que segurança cibernética é um risco estratégico, mais do que tecnológico.
Também é preciso criar a cultura de cyber judgment. Cada pessoa dentro da empresa deve ser responsável individualmente por suas decisões, avaliando os riscos cibernéticos nelas existentes.
Outra premissa é elevar o conhecimento e responsabilidades sobre o tema no próprio board. Apesar de 77% dos membros do conselho acreditarem que segurança cibernética é uma das prioridades do conselho, pouco menos de 2% deles têm experiência relevante no tema (Microsoft Securiry, 2023). A Securities and Exchange Commission (EUA) passou a exigir que empresas divulguem o papel da administração na avaliação de riscos e ameaças cibernéticas, especifiquem os cargos de gestão ou comitês responsáveis pelo tema e divulguem a experiência no assunto desses administradores e membros do comitê. Não é por acaso que algumas empresas também estão começando a vincular o bônus dos executivos às métricas de segurança cibernética.
Ainda, revisitar a estratégia de cibersegurança é crucial para as empresas, incluindo analisar a senioridade da equipe, capacidade operacional, modelo de gestão e a maturidade atual. Essa análise deve também considerar o risco da “ameaça interna”, amplamente subestimada e objeto de exploração por criminosos.
Outra prática importante a ser endereçada pelos conselhos é exigir simulações de crises cibernéticas: empresas que simulam incidentes, avaliando o processo de resposta já existente, fortalecem significativamente sua capacidade de atuar de forma mais adequada em um cenário real. Um plano de resposta adequado e equipe treinada traz, em média, US$ 2,66 milhões a menos de prejuízo no caso de ataques cibernéticos (IBM, 2022).
Capacidade de gerar e trocar experiências, inteligência e pontos de vulnerabilidades com o mercado e autoridades, com segurança regulatória e sem exposição, é outro desafio de extrema relevância para o conselho avaliar. A troca de experiências e informações de inteligência entre organizações é crucial para antever ameaças, impactos e adotar medidas preventivas, e ainda mais fundamental para ter acesso a dados relevantes de últimos incidentes e lições aprendidas de terceiros.
E mais, o conselho deve estar atento a análise de riscos cibernéticos e resiliência na cadeia de suprimentos e terceirização, avaliando quais são os fornecedores mais críticos e como um ataque cibernético contra esses terceiros pode afetar seus negócios ou dados pessoais de seus clientes.
Quanto ao seguro cibernético, o conselho deve sempre estar atento e cobrar a revisão das apólices que ajudam as organizações a responderem de forma mais célere e minimizar danos financeiros no caso de incidentes. Esses seguros, usualmente, incluem excludentes de pagamento, como no caso de dolo, culpa exclusiva da vítima ou erro no questionário prévio de risk assessment.
Os membros do conselho também devem entender como proteger seus ativos digitais pessoais. Em tempos de graves ataques e golpes digitais, é importante que executivos estejam engajados em proteger sua própria presença e segurança digital, e da sua família.
Por fim, o conselho deve cobrar o acompanhamento de tendências regulatórias digitais para ajudar as empresas a responderem mais rapidamente a um desafiador ambiente legal. Segurança cibernética, proteção de dados e inteligência artificial ética e responsável são medidas fundamentais para a inovação empresarial responsável.
Assim, os conselhos de administração devem se concentrar em avaliar e assumir riscos certos, reputação, competitividade e continuidade de negócios. A complexidade das novas tecnologias, a digitalização das empresas, a profissionalização dos criminosos e a regulação exigem o acréscimo do tema cyber como agenda obrigatória e madura nos conselhos.
*Rony Vainzof é sócio fundador do VLK Advogados, professor da FIA e do IBGC
Este artigo reflete as opiniões do autor, e não do jornal Valor Econômico. O jornal não se responsabiliza e nem pode ser responsabilizado pelas informações acima ou por prejuízos de qualquer natureza em decorrência do uso dessas informações