Cibersegurança é um tema importante para empresas de todos os portes, inclusive as pequenas e médias. Conheça o papel de empresários e conselheiros na criação de uma estratégia de segurança cibernética sólida.
Uma em cada quatro companhias brasileiras teve perdas financeiras em 2022 devido a crimes cibernéticos, de acordo com pesquisa da empresa de segurança Proofpoint. Somente em uma grande varejista, um ataque hacker registrado em fevereiro do ano passado causou prejuízo de cerca de R$ 1 bilhão. O levantamento também revela que, em 2022, mais da metade das empresas nacionais sofreu uma tentativa de ransomware – tipo de ataque em que os criminosos pedem um “resgate”, normalmente em criptomoedas, pelos dados roubados.
Os números acima ilustram a importância de se discutir o tema cibersegurança nas empresas. Até porque as consequências de um possível ataque hacker não se restringem aos limites físicos e virtuais da organização, como destaca Marcos Nassutti, executivo com mais de 30 anos de experiência em Tecnologia da Informação (TI) voltada para o mercado financeiro.
“Cibersegurança é um tema que impacta não só as empresas, como também os governos e a população em geral. Quando um banco sofre um ataque, milhares de correntistas são prejudicados pela falta de recebimentos ou pagamentos. Em hospitais, pacientes podem até vir a óbito por causa de um ataque aos equipamentos, como já aconteceu nos Estados Unidos. Quando plantas industriais são afetadas, as consequências também são grandes”, exemplifica Nassutti.
Além das perdas financeiras, os ataques cibernéticos às empresas podem provocar indisponibilidade de serviço, perda de privacidade e danos reputacionais. No caso do furto e consequente vazamento de dados, a falta de uma boa estrutura de TI pode ser penalizada por órgãos reguladores, conforme previsto na Lei Geral de Proteção de Dados (LGPD), em vigor no país desde 2020.
Conscientização sem pânico
O Brasil, por sinal, ocupa o segundo lugar no ranking dos ataques cibernéticos a empresas na América Latina, atrás apenas do México. No primeiro semestre de 2022, foram 31,5 bilhões de tentativas – 94% a mais que no mesmo período do ano anterior, de acordo com estudo da Fortinet, especializada em segurança digital.
Para Nassutti, é possível explicar a vulnerabilidade brasileira, em grande parte, pela falta do binômio conscientização e treinamento e pela consequente não priorização de investimentos em cibersegurança.
“O Brasil é um país bem relacionado no mundo inteiro, sem questões geopolíticas. Ainda assim, com essa fragilidade da falta de conscientização e treinamento, não existem os investimentos necessários”, avalia.
Ao falar de investimento, Nassutti ressalta que não só grandes empresas, mas também as de pequeno e médio portes podem – e devem – se preocupar com cibersegurança. Afinal, por mais “analógico” que seja um comércio familiar de bairro, por exemplo, alguns dados – de proprietários, clientes ou fornecedores – estarão inevitavelmente on-line. Além disso, é comum que até uma pequena empresa tenha suas informações expostas em um site, um perfil em redes sociais ou uma conta no Google.
“A conscientização de todo empresário, mesmo aquele com restrições orçamentárias, passa por uma análise de risco e, posteriormente, pela utilização de uma curva ABC. Assim, ele poderá mapear as ameaças e atacar aquelas com maior prejuízo em potencial para a operação dele. Se o empreendedor não tiver estrutura para montar uma equipe que cuide do assunto, poderá ter a ajuda de uma empresa especializada”, ensina Nassutti.
Nesses casos, ele recomenda iniciar com uma consultoria em cibersegurança e, depois, migrar para uma assessoria.
Outro ponto importante, segundo o especialista, é desmistificar o assunto, que costuma causar insegurança nas pessoas. Para isso, não se deve encarar a cibersegurança como algo que gere pânico entre os colaboradores, e sim explicá-la de forma simples e clara, abordando-se os perigos e as medidas de proteção.
Cibersegurança e Conselho de Administração
A cibersegurança nas empresas não se restringe ao empreendedor. Na verdade, de acordo com Marcos Nassutti, é responsabilidade do Conselho de Administração estabelecer uma cultura organizacional de segurança cibernética.
Também cabe aos conselheiros, entre outras medidas:
- Exigir a conformidade com leis e regulamentações;
- Orientar para que a empresa tenha um mapa de riscos de segurança cibernética atualizado;
- Cobrar medidas para mitigar os riscos;
- Determinar a elaboração de um plano de recuperação de dados, em caso de ataque.
“O artigo 142 da Lei das Sociedades Anônimas [nº 6.404/1976] estabelece que compete ao Conselho de Administração fixar a orientação geral dos negócios da companhia. Isso inclui a cibersegurança, pois um ataque digital pode impactar negativamente a empresa e tirá-la de operação”, explica o especialista.
Nassutti salienta que o conselheiro não precisa ter conhecimento técnico em TI, mas deve estar atento, analisar a situação e fazer os questionamentos corretos. O objetivo é identificar o nível de maturidade da empresa quanto à cibersegurança e orientar para que ele fique em um patamar aceitável.
“O conselheiro é responsável por garantir uma estratégia de segurança cibernética sólida para a empresa, estabelecendo um plano contínuo de melhoria. Ele deve tratar o tema da mesma forma como lida com as questões fiscais, pois o nível de importância é o mesmo. Os impactos ocorrem de forma muito rápida e exigem uma eficiente e pronta resposta”, afirma.
Cibersegurança nas empresas é tema de webinar
Marcos Nassutti falará mais sobre o tema no webinar “O que o Conselho de Administração deve saber sobre cibersegurança”, que a Associação de Conselheiros do Brasil (ACBrasil) promove no dia 13 de setembro (quarta-feira), das 18h às 18h45. Com transmissão pelo YouTube, o evento também terá as participações dos conselheiros Antonio Almeida S. Junior (moderador) e Carlos Alberto Ercolin (apresentador).
Inscreva-se gratuitamente em nosso site para receber o link em seu e-mail e ser avisado do início do evento.
