por Sergio Lozinsky
A segurança da informação finalmente chegou à pauta do Board. Não é um feito pequeno. Por anos, ela foi percebida como um problema técnico, um desafio exclusivo da TI. Um estudo do Gartner de novembro do ano passado, com 273 empresas dos Estados Unidos, Europa e Ásia, mostra que 88% dos conselhos pesquisados já entendem a segurança cibernética como um risco comercial.
Embora não existam números específicos sobre o Brasil, é possível inferir que o resultado por aqui não seja muito diferente.
Porém, o tema ganhou relevância nos conselhos administrativos por um caminho invertido. Salvo raras exceções, não foi pelo trabalho de conscientização da TI que o tema alcançou os níveis executivos. O que aconteceu foi uma reação aos constantes ataques de ransomware às grandes empresas que ganharam espaço nos noticiários e nas redes sociais nos últimos dois anos.
No primeiro semestre de 2021, algumas companhias de energia dos Estados Unidos foram vítimas de um grupo de cibercriminosos russos. Além do custo do resgate, o ataque mostrou que o sistema de distribuição de energia do país estava vulnerável, a ponto de o tema se tornar pauta do governo federal.
Foi um primeiro sinal de alerta para as empresas brasileiras, mas, ainda assim, os ataques não tardaram a acontecer por aqui. E o fato de grandes empresas, especialmente de saúde e varejo, terem sido alvo acelerou a tomada de consciência.
O risco do prejuízo é real, evidentemente. A IBM patrocinou uma pesquisa do Ponemon Institute junto a 524 organizações, de 17 países, que sofreram vazamentos de dados entre agosto de 2019 e abril de 2020. O estudo apontou que o prejuízo total médio de um vazamento de dados foi de US$ 3,86 milhões.
Isso sem falar no prejuízo de imagem, cujo dano é imenso e difícil de ser mensurado.
Outra parcela de responsabilidade por essa evolução está na legislação. A Lei Geral de Proteção de Dados (LGPD) foi essencial para estimular investimentos preventivos e criar um senso mais agudo de responsabilidade para o tratamento dos dados. Reconheço que não tenho observado uma ação mais presente da autoridade pública no sentido de aferir o comportamento das empresas quanto à lei, mas isso não tem impedido a criação de um ambiente favorável ao tratamento seguro dos dados.
A LGPD também criou novos cargos e novas camadas de atuação nos organogramas. O Chief Information Security Officer (CISO) ainda não é uma posição muito presente nas organizações brasileiras e, quando existe, ela tende a fazer parte das atribuições de algum gestor da TI, ou do próprio CIO. Mas esse número baixo de executivos não quer dizer que o assunto não esteja sendo tratado em escala adequada.
A responsabilidade pela segurança pode estar delegada a alguém no nível gerencial ou até mesmo de coordenação, mas cada vez mais trata-se de um cargo caracterizado pela independência em relação à TI. É uma posição com autonomia para definir normas e regras de segurança que se aplicam à organização como um todo, e não apenas à área de tecnologia. Na verdade, mesmo quando está atrelada à TI, como acontece em algumas empresas, a independência também se faz valer.
Há, ainda, as organizações que terceirizam as operações de segurança, cabendo a um profissional interno a gestão desses serviços, o que exige certo grau de experiência e maturidade por parte desse gestor.
Como se vê, há uma tomada de consciência como nunca se havia visto antes. Porém, ainda subsiste uma certa ingenuidade (ou ignorância) no comportamento dos colaboradores. E-mails e aplicativos de troca de mensagens muitas vezes colocam em risco o trabalho da gestão de segurança da informação. Pessoas continuam respondendo a e-mails suspeitos e acessando sites maliciosos – não à toa, o phishing ainda é o golpe mais frequente.
Mas não são apenas os colaboradores que se beneficiariam de um esforço pedagógico mais apurado. A TI (ou a gestão de segurança) deve continuar avançando em seu trabalho de educação junto ao conselho. E esse educar não diz respeito às questões técnicas específicas. Tem muito mais a ver com a dimensão estratégica do tema.
Uma estratégia adequada para essa educação seria a TI ou um grupo de diretores primeiramente levar ao board uma mostra do grau de prontidão e de defesa que a empresa tem. Ou seja, mostrar tudo o que está disponível para evitar que um ataque aconteça, e o que poderá ser feito caso venha a acontecer. E, então, apresentar os investimentos adicionais que seriam necessários para elevar o grau de defesa e de resposta a níveis mais adequados.
Conquistado esse espaço, há um outro momento, que é o de mostrar que, apesar disso tudo, um ataque pode ter êxito, ou que podem ocorrer situações de contingências, como um incêndio em um datacenter, por exemplo. Cabe, então, apresentar como a empresa está preparada para esse tipo de ocasião. Quais as condições para recuperar a operação? Em quanto tempo? A que custo?
Essa é a hora de apresentar um quadro claro, em linguagem não-técnica, para deixar nítido que investimentos podem ser feitos para reduzir o tempo de resposta e o custo de recuperação de dados. São questões que variam de negócio para negócio – um banco não pode se dar ao luxo de ficar fora do ar por horas, enquanto outros empreendimentos talvez sejam capazes de suportar dois dias de atividades paralisadas sem prejuízo significativo.
Em todas essas etapas, sempre caberá deixar claro que não existe 100% de proteção. Porém, é possível chegar a um nível elevado de proteção, capaz de desestimular os ataques. E também é possível garantir um cenário de data recovery e retomada das operações com agilidade e segurança.
A educação é essencial, e se faz mais urgente nas empresas que estão investindo no aprimoramento da experiência do cliente, já que essa ação exige maior acesso a dados. Quanto mais se souber do cliente, mais satisfatória será a experiência (porém, mais sensíveis serão os dados necessários para tanto). Quando se aumenta o uso da automação e das tecnologias específicas, mais se entra em uma área cinzenta de captação e tratamento de dados.
O processo de obtenção e tratamento de dados sensíveis ainda está em evolução, tanto no aspecto técnico como ético. E o cenário vai se tornar mais complexo à medida que mais empresas começarem a querer conhecer melhor seus clientes. Em dado momento, pode acabar causando um conflito entre a necessidade de se manter seguro e a vontade de crescer. As empresas vão precisar analisar esse paradoxo se quiserem que seu negócio ofereça algo a mais e que seja mais competitivo, sem deixar de atuar em um nível elevado de segurança.
Apesar dos desafios, estamos em um momento saudável. Nunca houve uma janela de oportunidade tão grande como atualmente, em que há tempo, disponibilidade e dinheiro para pensar em segurança. E quanto mais digital uma empresa quiser se tornar, quanto mais 24/7 forem suas operações, quanto mais ela quiser estar presente em tempo real na vida de seus clientes, mais essa reflexão será necessária – ou melhor, mandatória.
Leia mais:
Open health x open banking: por que essa comparação pode afundar as expectativas?
Tratar a área de tecnologia como uma “tiradora de pedidos” é colocá-la em segundo plano, negando ...
As inovações proporcionadas pelo uso de IA estão a ponto de eliminar um dos maiores entraves para...
Se os conselheiros não estão sujeitos a indicadores, como saber se as decisões que estão apoiando...
Acompanhe a Lozinsky Consultoria nas mídias sociais
