Ataques cibernéticos, violação de dados, vazamento de informações – ameaças que assombram as organizações e as pessoas. Essas ocorrências estão entre os oito principais riscos globais apontados pelo Global Report Risk 2023, do Fórum Econômico Mundial, e causam prejuízos financeiros e reputacionais em todo o mundo. O custo médio global de uma violação de dados é estimado em US$ 4,45 milhões – um aumento de 15,3% em três anos –, segundo estudo da IBM publicado este ano.
Conforme o levantamento Cost of a Data Breach, no Brasil, o custo por violação foi de US$ 1,38 milhão, em média, muito atrás de países como Estados Unidos (US$ 9,94 milhões), mas nem por isso menos preocupante. Além de crime, violação de dados fragiliza operações e põe em risco informações estratégicas e sigilosas das organizações, com repercussão no negócio e na imagem da empresa.
Fernando Carbone, sócio responsável pela prática de Serviços de Segurança da IBM Consulting na América Latina, chama a atenção para os vieses desse custo. “Para uma empresa de porte grande, US$ 5 milhões pode não representar nada, depois se recupera”, afirma. “Mas o impacto reputacional é imensurável e, só depois, você vai perceber os impactos financeiros indiretos, como a perda de clientes, por exemplo.”
Segurança como habilitador de negócios
Um dos maiores desafios nas empresas, atualmente, é superar a percepção de que segurança cibernética é custo para a organização e passar a considerá-la como um habilitador de negócios, diz Carbone. Daí a importância de posicionar a cibersegurança não somente depois que um problema ocorre. É preciso considerá-la estrategicamente desde o planejamento dos novos ecossistemas, prevendo a aquisição de produtos e soluções de segurança, implementação de controles, além da inserção de uma equipe de segurança nos squads de desenvolvimento, entre outras inciativas.
De acordo com Carbone, falta ainda uma conscientização maior sobre o impacto financeiro do abalo reputacional causado por este tipo de ação criminosa, considerando o tempo em que uma paralisação pode ser sustentada e o período necessário para restabelecer a operação, bem como a repercussão junto aos parceiros de negócios.
Como o Ciso (Chief Information Security Offices) pode contribuir junto ao CEO e ao board:
1. Educar, mostrar a problemática e os impactos inerentes da empresa no mapa de risco;
2. Elucidar o problema em termos de perdas financeiras e de marca;
3. Discutir o risco quantitativo até para justificar a projeção de orçamento em soluções de proteção.
Essa agenda ganha um componente mais agudo com o avanço da Inteligência Artificial (IA), que, apesar dos inúmeros benefícios, requer atenção em relação às ameaças que provoca. Uma pesquisa da EY com 1,2 mil CEOs, por exemplo, aponta que quase dois terços (65%) avaliam que é preciso atuar mais para lidar com os riscos sociais, éticos e criminais inerentes ao futuro alimentado por IA – considerando aspectos como ataques cibernéticos e desinformação. Publicado em julho de 2023, o relatório mostra ainda que um número semelhante de entrevistados teme que sejam insuficientes as ações em curso para gerenciar as implicações significativas e as consequências não intencionais da IA sobre empresas e sociedade.
E, o que fazer, se a organização for vítima de um ataque cibernético, um vazamento de dados? Para Carbone, a prevenção e a preparação para um ataque são sempre o melhor caminho, mas é preciso admitir que em algum momento a empresa poderá ser comprometida e, portanto, verificar o quão preparada está para tratar a situação.
Se a empresa tem tudo isso, vai estar preparada para um impacto menor, porque tratará a situação de forma mais rápida, mais correta, mais robusta. Se não tem, sofrerá mais com o tempo de restauração, com a falta de informação, com a tomada de decisão errada, com a comunicação não fluindo muito bem.
O que o plano tem de prever, se o pior acontecer:
- Temos um programa de resposta incidente?
- O time está bem treinado?
- Os procedimentos estão bem definidos?
- Temos as ferramentas necessárias?
- Dispomos de uma empresa que nos suporte já lincada com o nosso plano?
- Temos um programa de gestão de crise que atinge o nível executivo, com esses executivos treinados?
Na vida real
Da linha de frente da segurança de informações, Fernando Carbone relata como os líderes das organizações se sentem e lidam em situações de ciberataque e, adicionalmente, recomenda como agir nessas situações:
A agonia de quem sofre um ciberataque
“Lidero essa linha de serviços da IBM e já liderei, por muitos anos, uma unidade X-Force, que é um time de especialistas, espalhados no mundo, responsável por atuar nos grandes incidentes junto aos clientes. Nos últimos anos, eu estive presente em todos os grandes incidentes, acompanhando, de alguma forma, como aconteceu, qual foi o início do problema, o nível de maturidade da empresa em relação à ciber, como foi a tratativa e a evolução pós-incidente. Não é cenário de filme, é real o desespero de executivos importantes que tinham de estar com foco em outras questões do negócio, paralisados, falando de tecnologia, de ataque hacker, porque operações gigantescas foram paralisadas. É uma situação muito ruim, real, e a gente precisa tratar da melhor forma na balança custo-benefício, olhando tendência, mercado, o negócio.”
O impacto quando a estrutura deixa de existir
“Três ou quatro ficaram marcados pela complexidade, pelo tamanho, pelo impacto. Hoje são clientes que eu cuido diretamente, grupos econômicos importantes do Brasil. Eu vi grandes operações paralisadas por completo, por semanas, sete, 10 dias, sem saberem o que responder ao mercado, ao cliente, com toda a cadeia produtiva impactada, prejuízos incalculáveis. Peguei grandes grupos econômicos dos setores de health care, industrial, transportes, energia, e-commerce, setor financeiro, que pararam a operação. Mas o que mais me impacta é quando o pessoal chega para trabalhar e aquela infraestrutura não existe mais e as pessoas não sabem o que fazer.”
As recomendações para o CEO
“A colaboração e o compartilhamento de informações entre as empresas que já passaram por isso é importante. Um CEO, que foi vítima de um ataque cibernético de grandes proporções e a empresa fez investimentos expressivos para evitar a reincidência, costuma me perguntar: ‘O meu muro está mais alto, estou mais seguro?’. É difícil responder se você está 100% seguro, porque essa máxima não existe. Mas temos elementos para mostrar que, por causa dos controles implementados, é muito mais difícil acontecer uma situação. O CEO tem de olhar sempre desse ponto de vista: como está o muro, quanto investe, se recebe informação do time, se a empresa trata a questão de forma adequada. São questões que o Ciso (Chief Information Security Office), o CIO (Chief Information Office) e outros executivos precisam levar para ele para que ele se sinta confortável.”
Christianne Schmitt é editora do Reputation Feed
christianneschmitt@ankreputation.com.br