A Black Friday de 2013 foi, literalmente, um dia negro para a rede de lojas americana Target. A data, celebrada pelo varejo como ocasião para engordar as receitas antes do Natal, marcou o início de um vazamento de informações nunca visto até então. Os dados dos cartões de crédito de 40 milhões de clientes foram roubados, dando início a uma escalada de custos para a companhia calculada, até agora, em US$ 242 milhões. A ação da Target, negociada a US$ 64 antes da notícia do vazamento em dezembro, caiu para US$ 55 em fevereiro de 2014, menor valor em vinte meses; hoje, os papéis valem em torno de US$ 80. Mesmo após a recuperação, a Target continua pagando caro pelo ocorrido. Compradores afetados pelo ataque iniciaram uma ação coletiva contra a empresa e, em março, receberam a boa notícia: vão ganhar US$ 10 milhões em indenização. “O dano ao consumidor em casos assim sempre foi difícil de provar. Essa class action aponta para uma mudança de paradigma”, avalia Gustavo Artese, especialista em direito digital e propriedade intelectual da VPBG Advogados.

A Target não está sozinha no grupo de companhias abertas americanas vítimas de ataques cibernéticos. Em setembro de 2014, foram roubados os dados de 56 milhões de clientes da rede de artigos de material de construção Home Depot. Poucas semanas depois, hackers tiveram acesso às informações de 83 milhões de correntistas do banco J.P. Morgan Chase.

No mês seguinte, e-mails e arquivos confidenciais da gigante de entretenimento Sony Pictures vazaram na internet, acirrando as tensões políticas entre Estados Unidos e Coreia do Norte, suposta autora do ataque. De acordo com um levantamento do Instituto Ponemon, 43% das empresas nos Estados Unidos sofreram algum tipo de ataque em 2014. O alto percentual chama a atenção. Estariam as companhias despreparadas para lidar com esse tipo de risco? Ao que tudo indica, sim. A 12ª pesquisa What directors think, divulgada este ano pela consultoria Spencer Stuart, mostra que o tema cibersegurança ainda é um bicho de sete cabeças para a administração das empresas americanas. No âmbito do conselho, apenas 15% dos 500 profissionais ouvidos responderam se sentir confiantes para abordar a questão.

No Brasil, a situação é semelhante: os altos executivos se mostram alheios ao tema. “O conselho acaba atuando em assuntos mais tangíveis em segurança; isso leva a que a discussão em torno de riscos cibernéticos seja rara”, admite Gisélia Silva, gerente de governança da CPFL Energia. Nas companhias abertas de tecnologia e segurança da informação, a familiaridade com o tema torna o board mais receptivo às questões de segurança virtual — ainda assim de forma tímida. Presidente do conselho da Senior Solution, Luciano Camargo reconhece que a agenda dos colegiados das empresas listadas pode estar lotada demais para comportar a questão, principalmente diante dos desafios gerados aos negócios pela instabilidade da economia. “A preocupação de um conselho que só tem 50 horas por ano para se reunir está em validar estratégias de atuação da empresa. Não em ser um membro efetivo da cibersegurança”, observa.

Jeffry Powell, vice-presidente da Diligent, companhia americana de tecnologia voltada à governança corporativa, pondera que falta de tempo não é desculpa apropriada para o conselho dar ao acionista caso sofra um ataque em ambiente virtual. Cinco meses depois que as informações dos clientes foram violadas, o presidente executivo da Target foi demitido e o board entrou na mira dos acionistas: a consultoria de voto ISS chegou a recomendar a substituição de sete dos dez conselheiros. Apesar disso, todos se reelegeram.

É bom não confiar na condolência dos investidores. Numa pesquisa da KPGM com 133 investidores institucionais com mais de US$ 3 trilhões em ativos sob gestão, 79% dos entrevistados disseram se sentir desencorajados a investir numa companhia vítima de ataque hacker. O principal receio é o vazamento de dados causar impacto negativo sobre o valor da empresa.

É por essas razões que Sandra Guerra, presidente do conselho do Instituto Brasileiro de Governança Corporativa (IBGC), defende que a cibersegurança entre na pauta do colegiado de forma estruturada. “Está claro que não se trata de um risco de TI; é um risco corporativo”, analisa. Para mostrar a importância do tema, ela cita a máxima recorrente nos eventos internacionais sobre o assunto de que tem participado: “Não se trata de [discutir] se a sua empresa vai sofrer um ataque, mas de quando ela será atacada”. Sandra conta que, no exterior, as companhias incluem o conselho de administração nas simulações de ataques virtuais, para saber como ele se comportaria.

Doutor em segurança da informação e CEO da consultoria MPSafe, Paulo Pagliusi concorda com Sandra. Ele é coautor de um manifesto que defende, entre outros tópicos, a formação de líderes com experiência em segurança da informação no Brasil. “Hoje, a metodologia típica de gestão de risco cibernético adotada pelos diretores, e especialmente pelos conselheiros, é nada menos do que uma bola de cristal. Falta maturidade”, critica. Segundo Pagliusi, o risco virtual não pode ser gerenciado apenas por regras de conformidade. “Isso não é sinônimo de segurança. Muitas corporações acham que, porque seguem normas de compliance, podem colocar a cabeça no travesseiro e dormir tranquilas”, observa.

Língua estrangeira
Além da falta de conhecimento e maturidade, outro motivo afasta o conselho do monitoramento da cibersegurança: a linguagem hermética da área de tecnologia. Há 15 anos trabalhando no grupo Telefónica, Leandro Bennaton conhece bem os ruídos na transmissão desse tipo de conteúdo ao board e acredita que o profissional de TI deve aprender a se comunicar com os conselheiros. Na companhia, é ele quem atualmente reporta ao conselho os riscos de ataques e as soluções disponíveis para combater o roubo de dados. “O profissional de segurança precisa falar a linguagem do negócio. Para quantificar, por exemplo, o prejuízo causado por um dano desse tipo”, diz.

Vice-presidente de atendimento da Totvs, Rodrigo Caserta ressalta que a maneira como os riscos de um ataque virtual são apresentados ao conselho é primordial para seus membros conseguirem monitorar a questão e tomar as decisões corretas. “Eles não precisam, obviamente, conhecer o detalhe. Mas é necessário entender que tipo de benefício o investimento em cibersegurança traz, ou o risco evitado por ele”, esclarece.

O que fazer?
Diante da alienação dos conselheiros, a porteira para vazamento de informações em consequência de ciberataques está aberta. E, se isso ocorrer, como a companhia deve se comportar? Nos Estados Unidos, as autoridades regulatórias recomendam que os eventos sejam revelados. Desde outubro de 2011, a Securities and Exchange Commission (SEC) publica diretrizes para que as empresas relatem, em suas demonstrações financeiras, as perdas causadas por ataques e os investimentos feitos para mitigar riscos cibernéticos. Elas também têm sido encorajadas a compartilhar dados de ataques hackers com o governo, que pretende endurecer as leis contra esse tipo de crime.

No Brasil, cujo governo em 2013 descobriu ter sido vítima da espionagem americana, não existem obrigações ou orientações do tipo. Mas o marco civil da internet abre precedente para que as companhias sejam condenadas em caso de vazamento de informação de seus clientes. “A lei fala que os usuários têm direito à privacidade e que as empresas devem proteger os dados dessas pessoas da mesma forma como protegem os seus”, conta Adriano Mendes, advogado especialista em direito digital. Segundo ele, se houver roubo de informação e o conteúdo for exposto, a companhia pode sofrer ações civis públicas equivalentes às class actions.

A Lei das Sociedades por Ações também carece de pontos específicos a respeito da segurança on-line. Isso não significa, entretanto, que os conselhos não possam ser responsabilizados em hipótese de vazamento. “É dever geral do conselho zelar pela responsabilidade social e pela confidencialidade estratégica. Observando esses princípios, cria-se um arcabouço legal suficiente para responsabilizar quem estiver errado num processo de vazamento”, explica Leonardo Palhares, sócio do Almeida Advogados. A punição dependeria do nível de responsabilização, variando de restrições financeiras até uma ação criminal, caso o conselheiro tenha deixado o conteúdo escapar deliberadamente. Como se vê, os riscos cibernéticos podem custar caro. Para a companhia e para os conselheiros.

Ilustração: Marco Mancini/Grau180.com