Ameaça global

Ataques de cibercriminosos e lei europeia exigem dos boards novas atitudes

Tecnologia e Inovação / Artigo / 4 de Maio de 2018
Por 


Marta Helena Schuh*/ Ilustração: Julia Padula

A exposição cibernética de pessoas, organizações e empresas tem crescido na mesma velocidade da evolução da tecnologia. Mas as ameaças avançam mais rápido do que a capacidade do ser humano de mapeá-las e de antever seus impactos, o que torna ainda mais urgente a mudança da mentalidade dos conselhos de administração.

Por diversas motivações, hackers atacam sistemas corporativos em busca de informações privilegiadas — contratos, segredos de propriedade intelectual e estratégias de negócios são alguns exemplos. Os cibercriminosos também interrompem as atividades comerciais, sequestram dados privados e chegam até a destruir a infraestrutura operacional dos alvos corporativos.

Empresas de todos os setores e segmentos são prejudicadas por esses ataques, acumulando prejuízos operacionais, financeiros e reputacionais, com reflexo direto em valor de mercado e na percepção de stakeholders sobre a marca. De acordo com o Banco Interamericano de Desenvolvimento (BID), os riscos cibernéticos geram perdas globais de aproximadamente 90 bilhões de dólares por ano.

Eles demoraram algum tempo para acontecer, mas os vazamentos em empresas como Uber, Equifax e Facebook confirmam que a responsabilidade cibernética deixou de ser um problema exclusivo da área de tecnologia da informação: foi oficialmente transferida para o conselho de administração, ampliando a responsabilização por incidentes digitais.

A capacidade de resposta a um evento desse tipo é essencial e é a esse aspecto que se dirigem os esforços dos órgãos reguladores em todo o mundo. No próximo dia 25 entra em vigor a General Data Protection Regulation (GDPR), normativo produzido pela União Europeia (UE) que endurece as punições às empresas nos casos de vazamento de informações. A regulação terá escopo extraterritorial, o que significa que poderá ser aplicada a empresas brasileiras que tenham filiais, prestem serviços (mesmo que gratuitos) nos países do bloco. Também podem ser alcançadas empresas com negócios na UE (mesmo sem presença física) ou que processem dados de cidadãos europeus no Brasil e subsidiárias europeias no Brasil.

A GDPR determina que as empresas notifiquem os órgãos de proteção de dados sobre a ocorrência de um ataque digital em até 72 horas. Exige ainda que tenham um plano de contingência. As multas podem chegar a 20 milhões de euros ou a 4% do faturamento anual no mundo, o que for maior. Além disso, qualquer empresa será passível de auditoria, mesmo que não tenha ocorrido um vazamento de dados.

Nesse contexto, o gerenciamento do risco cibernético precisa ser tratado como um item prioritário nas agendas das reuniões de conselhos de administração, com a mesma seriedade com que são abordados os outros riscos corporativos. Muitas empresas acreditam que, ao investir em ferramentas e sistemas de última geração, estarão protegidas de um ataque. No entanto, nenhum sistema hoje é capaz de garantir 100% proteção. Não é à toa que gigantes de tecnologia e órgãos governamentais — inclusive de inteligência — já foram vítimas de invasões cibernéticas.

Prevenção e mitigação do risco devem fazer parte de uma “estratégia cyber” que contemple, além dos investimentos em proteção, políticas de treinamento, avaliação do nível de risco que a empresa é capaz de absorver, análise dos padrões e das melhores práticas da indústria e dispositivos capazes de demonstrar às autoridades velocidade para mitigar os danos que um vazamento de dados pode causar, como o seguro cibernético projetado para apoiar e proteger empresas em relação a esses crescentes e-riscos.

A linha que separa o que é físico do digital está cada vez mais tênue. Quanto antes os conselhos de administração se conscientizarem sobre a dimensão e a intensidade das ameaças maior a chance de mitigarem eventuais perdas. A ameaça é global e não tem limites. Portanto, diante de novos riscos é preciso ter novas atitudes.


* Marta Helena Schuh (marta_schuh@jltbrasil.com) é especialista em risco cibernético da JLT Specialty Brasil



Participe da Capital Aberto:  Assine Anuncie


Tags:  vazamento de dados cybersegurança Encontrou algum erro? Envie um e-mail



Matéria anterior
Quem deve presidir uma assembleia?
Próxima matéria
Menos remendo, mais estratégia




Recomendado para você




Nenhum comentário

Deixe uma resposta

O seu endereço de e-mail não será publicado.



Leia também
Quem deve presidir uma assembleia?
Uma assembleia geral não é um evento simples. Muitos de seus aspectos — como convocação, instalação, funcionamento...