Hoje em dia, a gestão dos riscos cibernéticos desempenha um papel crucial nos processos de governança corporativa, à medida que as empresas enfrentam ameaças e ataques virtuais em um mundo cada vez mais globalizado. Ao incorporar a cibersegurança como uma das melhores práticas, as empresas se capacitam para enfrentar de maneira eficaz os desafios relacionados aos riscos cibernéticos e às demandas do cenário empresarial contemporâneo. A proteção de ativos, dados e a preservação da reputação da empresa são elementos essenciais de governança, e a gestão dos riscos cibernéticos está ganhando cada vez mais destaque em empresas de todos os portes e segmentos.
O vazamento de dados é uma ameaça crescente para a segurança da informação e pode causar sérios danos à privacidade, à reputação e às finanças de indivíduos e de empresas. Ele pode ocorrer de diversas maneiras, incluindo ataques cibernéticos, falhas humanas, erros de programação e falta de proteção adequada de dados.
Segundo o relatório Reported Claim Index, da WTW, os funcionários estão no topo das causas de violações cibernéticas e de vazamento de dados nas empresas. A negligência ou atos maliciosos, como a divulgação acidental ou proposital de uma lista de contatos e perda e roubo de dispositivos móveis, são responsáveis por 58% das violações cibernéticas, seguido de 23% de ransomware. Uma observação relevante é que a principal causa de violações de dados na nuvem, de acordo com pesquisas, é o erro humano, representando 55% das ocorrências. Isso frequentemente resulta de funcionários clicando em links em e-mails de “phishing” ou respondendo a mensagens falsas. A cultura e o engajamento dos empregados desempenham um papel crucial na probabilidade de ocorrer uma violação cibernética, bem como a falta de apoio da liderança e de especialistas em TI competentes.
Essas violações podem acarretar prejuízos significativos, incluindo extorsão, recuperação de dados, interrupção da rede, responsabilidade civil, além de multas e penalidades cíveis e administrativas, especialmente em conformidade com a LGPD.
Muitas vezes, só tomamos conhecimento do vazamento de dados de uma empresa quando este atinge uma magnitude significativa e causa danos substanciais. Buscando aumentar a transparência nesse processo, no final de julho, a SEC (CVM americana) divulgou os novos requisitos sobre os comunicados dos incidentes e a gestão dos riscos cibernéticos para todas as empresas de capital aberto listadas em bolsa.
Após várias sugestões do setor privado, a SEC definiu as regras que as empresas serão obrigadas a cumprir a partir de dezembro. A principal dela é que todos os incidentes materiais de segurança cibernética vivenciados pelas empresas deverão ser divulgados em até quatro dias úteis. Veja bem, estamos falando de incidente; por menor que seja, de qualquer natureza, deverá ser comunicado – a não ser que a divulgação represente risco de segurança no território americano. Mas, no geral, o vazamento de informações e ataques cibernéticos devem seguir o que diz a norma.
Além disso, as empresas precisarão divulgar, anualmente, informações relevantes sobre sua gestão, estratégia e governança de riscos de segurança cibernética. A Comissão também adotou regras que exigem que os emissores de valores mobiliários privados estrangeiros façam divulgações equivalente após as violações cibernéticas.
A nova regra também fez alterações no conteúdo da divulgação. As empresas agora são obrigadas a divulgar os aspectos materiais da natureza, escopo e momento do incidente, seja nas questões operacionais, em relação aos clientes investidores e ao mercado em geral. Já os detalhes técnicos não são mais necessários, pois a divulgação poderia ser vantajosa aos próprios invasores.
Outro ponto é que empresas deverão descrever como seus conselhos de administração estruturam processos para supervisionar riscos de segurança cibernética e como estas informações estarão descritas nos relatórios aos investidores. Também vão ter que relatar como tratam o risco cibernético como parte geral de sua estratégia geral de negócios, planejamento financeiro e alocação de capital, bem como detalhar as formas e os objetivos dos seus programas de gerenciamento de risco.
Dessa forma, a regra da SEC busca facilitar a identificação do impacto financeiro de eventuais incidentes para o mercado como um todo. Esse impacto não é pequeno, como indicado pelo Reported Claim Index, que revelou que os prejuízos globais causados por ransomwares, no ano passado, totalizaram U$ 20 bilhões. Para o próximo ano, as estimativas apontam para prejuízos na ordem de U$ 42 bilhões, com projeções de atingir a marca de U$ 265 bilhões até 2031.
Para as empresas que já tinham conhecimento desta regulamentação e implementaram programas efetivos de gerenciamento de riscos, bem como sua quantificação, aderir às normas até dezembro não será uma tarefa tão árdua. Porém, para aquelas que não iniciaram ainda, será uma corrida contra o tempo.
É provável que o Brasil – assim como outros países do mundo – deva seguir o modelo proposto pelos Estados Unidos e implementar regulamentações similares em poucos meses. Lembrando que, empresas brasileiras listadas nas bolsas americanas, deverão cumprir de imediato as diretrizes estabelecidas nessa regulamentação.
Atualmente, empresas públicas apresentam documentos sobre segurança cibernética aos investidores. Mas é claro que, tanto as organizações como os investidores se beneficiariam se esses documentos fossem preparados de forma mais consistente, comparável e útil para a tomada de decisões. Ao obrigar que as empresas divulguem informações materiais sobre segurança cibernética, as regras atuais beneficiarão os investidores, as empresas e os mercados que os conectam.
As empresas se deparam com desafios significativos na proteção de seus dados sensíveis e críticos. Por isso, é primordial que elas implementem medidas de segurança cibernética abrangendo controles preventivos, detectivos e responsivos, além de conduzirem auditorias regulares para identificar vulnerabilidades. Também é essencial engajar os funcionários e cultivar uma cultura que enfatize a importância da proteção de dados próprios, da empresa e de clientes. A partir de agora, empresas e gestores não podem mais encarar o risco cibernético apenas como um problema técnico; ele deve ser considerado como uma questão de governança. Todos os líderes devem estar comprometidos e alinhados para evitar que incidentes, independentemente de sua magnitude, resultem em grandes implicações.
Ana Albuquerque é advogada e possui 25 anos de carreira em empresas relevantes de setores financeiros, legais e de seguros. Atua na WTW desde 2015 e, em 2019, assumiu a posição como diretora de Linhas Financeiras e Cyber Risk.
