- Capital Aberto - https://capitalaberto.com.br -

Riscos cibernéticos: o papel do conselho de administração na segurança da informação

Há muito tempo os ataques cibernéticos deixaram de ser apenas uma visão apocalíptica da ficção sobre a tecnologia. Hoje a ameaça virtual é uma realidade que não só traz prejuízos para os negócios, como exige soluções combativas vindas de todos os níveis das empresas. Segundo levantamento da Diligent Board Member Services, 43% das empresas americanas tiveram suas informações violadas em 2014. Em 39% dos casos, o alvo foram informações sigilosas das corporações. “As companhias precisam ter um plano para lidar com a violação de dados”, diz Jeffrey Powell, vice-presidente da Diligent. Segundo ele, as grandes já adotam comitês voltados à segurança da informação nos Estados Unidos.

Incluir esse assunto na agenda dos conselhos de administração é um desafio, tanto no exterior quanto no Brasil. “São 50 horas por ano para tratar dos mais diversos assuntos e estratégias”, afirma Luciano Camargo, fundador e conselheiro da Senior Solution. Por se tratar de uma provedora de soluções em tecnologia e segurança da informação, o assunto entra na pauta do board pelo menos duas vezes ao ano. Mas nem toda empresa consegue identificar com facilidade a relevância do tema, principalmente em um cenário econômico conturbado em que há a preponderância de outras questões. “O papel do conselho é identificar a relevância da cibersegurança para o seu negócio, mas o tema ainda é sofisticado”, ressalta Giselia Silva, gerente de governança da CPFL Energia.

Para o especialista em segurança da informação e CEO da MPSafe, Paulo Pagliusi, o nível de maturidade das companhias brasileiras para esta questão ainda é pouco avançado. Pagliusi é autor de um cybermanifesto lançado em junho do ano passado que tem como um dos pontos chaves a formação de líderes com conhecimento no assunto. “A busca por compliance não é suficiente. Compliance, apenas, não é sinônimo de boa segurança de TI”. A complexidade da área, no entanto, é um entrave. “O profissional de TI precisa falar a linguagem de negócios para convencer a alta gestão”,diz Leandro Bennaton, gerente de segurança do grupo Telefónica. A principal dificuldade é desviar dos termos técnicos que não fazem parte do dia-a-dia dos conselheiros. “Precisamos tornar as questões de segurança da informação mais palatáveis para o conselho”, diz Rodrigo Caserta, vice-presidente de relacionamento e atendimento da Totvs.

Um dos mais emblemáticos casos de ataque cibernético dos últimos anos foi o da varejista Target, no qual houve o vazamento de dados de 70 milhões de clientes na “black Friday” de 2013. Nos Estados Unidos, as empresas são orientadas a reportar os casos. “Todos os últimos ataques cibernéticos nos EUA geraram fatos relevantes”, ressalta Edgard D’Andrea, sócio da PwC. O mesmo não ocorre no Brasil, o que dificulta a elaboração de estatísticas que revelem o tamanho do problema. “A legislação brasileira ainda é falha sobre o assunto. Mas vale lembrar que a companhia pode sofrer uma ação civil casa haja vazamento de dados dos seus clientes”, explica o advogado Adriano Mendes, especialista em direito digital. Para Sandra Guerra, presidente do conselho de administração do Instituto Brasileiro de Governança Corporativa (IBGC), é natural as empresas preferirem não contar. “Aparentemente, isso aumenta o risco de novos ataques e causa dano à reputação. Mas essa cultura cultura vai ter que mudar mais rápido do que se gostaria.”

Essas e outras questões foram debatidas no evento “Riscos cibernéticos: o papel dos conselhos de administração”, organizado pela Capital Aberto para a Diligent, provedora de sistemas de informação para boards.

Fotos: Régis Filho