Riscos cibernéticos ganham prioridade na agenda corporativa
Especialistas discutem como os conselhos de administração têm contribuído para a proteção de dados
Riscos cibernéticos tornam-se prioridade na agenda corporativa

Ilustração: Julia Padula

Inovação e tecnologia hoje são imprescindíveis para qualquer empresa, não importa seu segmento de atuação. Nesse cenário de coleta, armazenamento e processamento de dados com importância crescente, o manejo de informações precisa ser cauteloso, por carregar consigo uma infinidade de riscos de segurança. Não à toa, em agosto deste ano o governo federal sancionou a Lei Geral de Proteção de Dados (LGPD). Ela estabeleceu regras para o uso de dados pessoais por empresas públicas e privadas, que terão até fevereiro de 2020 para se adaptar à nova legislação.

Pois qual seria o papel dos boards nessa transição? Eles estão preparados para lidar com questões de segurança e proteção de dados? Como podem trabalhar em conjunto com as áreas de tecnologia da informação (TI) das empresas? Essas e outras questões foram tratadas no Grupo de Discussão “Riscos cibernéticos no topo das organizações”, promovido pela CAPITAL ABERTO no último dia 27 de novembro. Participaram do debate Edgar D’Andrea, sócio da PwC; Fabio Ferreira Kujawski, sócio do Mattos Filho Advogados; Marta Helena Schuh, especialista em risco cibernético da JLT Brasil; e Márcio Nunes, diretor geral de certificação digital e CIO da Valid.

CAPITAL ABERTO: Qual o panorama atual do risco cibernético a que as organizações estão expostas?

Edgar D’Andrea: Tecnologia e risco cibernético nascem juntos e andam juntos, e é importante que essa dinâmica seja observada de maneira sistemática. O que temos visto é uma grande onda de ataques cibernéticos, inclusive associados ao crime organizado. Na última década houve ataques bastante violentos, sendo os mais recentes associados a sequestros de dados. Na chamada deep web existe um grande mercado de compra e venda desses dados roubados. Mas percebemos, nos últimos três anos, que o risco não está apenas nos ataques cibernéticos em si. Há casos de modelos de negócio que foram construídos sem o cuidado da proteção de dados, o que permitiu vazamentos de informações importantes. Também houve uso indevido de informações pessoais por parte de empresas, sem que as pessoas cujos dados estavam sendo utilizados soubessem o que estava acontecendo. É preciso lembrar também dos vazamentos que ocorrem por falta de controle interno das companhias. Um exemplo está na possibilidade de um funcionário copiar um cadastro para depois vendê-lo.

CAPITAL ABERTO: E esses ataques e vulnerabilidades levam os conselhos a dar mais atenção à questão da segurança?

Edgar D’Andrea: As empresas e, por consequência, os conselhos, começam a observar dimensões diferentes da exposição ao risco cibernético. Olhando para trás: em muitos vazamentos ou ataques cibernéticos, a companhia e os clientes fecharam acordos privados, sem que houvesse preocupação da sociedade em relação à questão. Hoje, quando há um evento desses, os reguladores têm total preocupação, e já chegam a agir antes mesmo que se efetive o roubo ou o vazamento de informações. Clientes e consumidores também estão muito mais atentos, pois acompanham esses casos e cobram com mais afinco as empresas com as quais se relacionam. As mídias sociais são uma ferramenta importante de engajamento da sociedade em torno do assunto. O Ministério Público, por exemplo, hoje se posiciona e pede informações sobre todo vazamento de informações, independentemente da existência de uma lei específica. Por isso, a proteção passa a ser importante dentro de uma perspectiva muito mais ampla, não interessando apenas às áreas de TI.

Muitos vazamentos ou ataques cibernéticos, a companhia e os clientes fecharam acordos privados, sem que houvesse preocupação da sociedade em relação à questão — Edgar D’Andrea

CAPITAL ABERTO: Como tem sido a resposta dos clientes a esses ataques?

Edgar D’Andrea: Uma pesquisa em inteligência do consumidor feita pela PwC mostra que 85% dos clientes dizem não estar dispostos a fazer negócio com empresas em que deixaram de confiar e que não tratam bem os dados que fornecem.

CAPITAL ABERTO: Como a nova lei se encaixa nesse contexto?

Edgar D’Andrea: A LGPD é complexa e bastante positiva, pois suscita certa disciplina das empresas. A lei cobra das empresas que coletam e tratam dados em território nacional proteção de informações. O prazo de adaptação é de 18 meses e, em caso de descumprimento, penas serão aplicadas por uma autoridade nacional reguladora ainda não escolhida. A lei determina que toda empresa designe uma pessoa — o chamado DPO (data protection officer) — para cuidar dessa questão, tanto interna quanto externamente. Ela também define o que é privacidade, estabelece as bases para a coleta de dados pelas empresas e garante o direito do titular da informação. Haverá muitas empresas com novas formas de funcionamento em função dessa legislação.

Marta Helena Schuh: As empresas geralmente veem o investimento em segurança como um custo, não como algo que realmente tem retorno. Todo mundo está preparado para investir em inovação, em ferramentas que vão gerar melhora operacional. Mas quando se fala em segurança, o conselho não vê a questão como um investimento necessário para a companhia, apenas como um custo.

Edgard D’Andrea: Sempre que houver um incidente envolvendo privacidade, o DPO deverá estar preparado para comunicar à autoridade nacional. Além disso, a empresa precisará ter uma conexão com o Ministério Público, que cobrará imediatamente as ações para que se identifique a causa e um posicionamento da empresa — por exemplo, entrará em contato com as pessoas prejudicadas? Portanto, a partir de fevereiro de 2020 existirá uma nova dinâmica, que vai exigir das empresas criação e mudança de processos, além de um plano de ação. O grande desafio será pensar sobre privacidade desde o início de cada projeto — é o chamado privacy by design. A lei torna essencial uma ação multidisciplinar, com gestão de risco, compliance, tecnologia, segurança, negócios e muitas outras áreas trabalhando em conjunto para a proteção adequada de dados. O conselho e os executivos também precisam estar envolvidos para viabilizar o orçamento necessário para o cumprimento da lei.

CAPITAL ABERTO: Como os conselhos hoje entendem a segurança de dados?

Edgar D’Andrea: O primeiro questionamento que escutamos muito dos conselheiros é como avaliar o nível de prontidão da empresa em relação aos riscos cibernéticos, à legislação e à própria resiliência cibernética, no sentido de como reagir aos ataques e retomar as ações. É necessário que o conselho mantenha o foco nas informações corretas, o que pode ser alcançado por meio de um painel de controle abastecido pelos executivos, uma espécie de dashboard. Muitas empresas não têm esse desenho, por tratarem a questão da ameaça cibernética de forma bastante operacional. O conselheiro precisa começar a exigir informações mais precisas e polidas para poder tomar suas decisões. Pesquisa feita pela PwC mostrou que 39% dos executivos[1] dizem estar muito seguros de que a empresa identificou claramente os ativos digitais mais valiosos, ou seja, apenas essa parcela está confortável nesse ponto. Um quarto deles tem pouca ou nenhuma confiança de que as empresas mapearam suas potenciais ameaças. Ainda segundo a pesquisa, 63% não têm certeza se a empresa está fornecendo ao conselho métricas adequadas. O estudo também verificou que, no Brasil, 73% das empresas citam a inovação e a transformação digital como prioridades em termos de segurança cibernética. Outro estudo, também feito por nós, da PwC, concluiu que 72% dos conselheiros da amostra veem uma clara necessidade de mais expertise sobre segurança cibernética; 33% dizem não ter esse conhecimento, mesmo precisando dele; 39% afirmam que o que têm é insuficiente.

 


Leia também

Inteligência no uso de dados 

O “não” da LGPD as empresas já têm 

GDPR, versão brasileira 


CAPITAL ABERTO: Como é feita a comunicação entre as áreas de TI das empresas e os conselhos de administração? Quais tipos de métricas devem ser apresentados?

Márcio Nunes: A grande pauta dos conselhos de administração é a sobrevivência do negócio a curto, médio e longo prazos. Portanto, segurança e risco entram nessa questão. Temos o desafio de fazer um trabalho intenso de mapeamento do risco estratégico, o que inclui o risco cibernético. Seja por força de lei e regulamentação ou não, esses aspectos fazem parte da preocupação com a perenidade da empresa.

A escolha do tipo de dashboard ou do detalhamento a ser apresentado depende muito da cultura de cada empresa. Deve ser considerado o entendimento dos integrantes do conselho sobre a segurança cibernética. É necessário um equilíbrio, pois todo processo de comunicação deve fazer a mensagem chegar adequadamente.

CAPITAL ABERTO: Na prática, como funciona esse trabalho de comunicação com o conselho, considerando que as áreas de TI já têm um grande volume de tarefas?

Márcio Nunes: Primeiramente é necessário que se desenhe um mapa do risco: quem é processador, quem é controlador, quem é operador das informações. Muitas vezes o conselho não entende muito bem essas relações. “Somos uma empresa prestadora de serviços. Recebemos dados de um cliente, mas armazenamos ou não?”, se perguntam os conselheiros, que nem sempre entendem esses detalhes operacionais. O conselheiro compreende que a empresa tem clientes, receita, um processo, um negócio, necessidade de conformidade, mas agora vai precisar agregar mais camadas de entendimento para perceber quais são os riscos inerentes a tudo isso. O conselho precisa saber se a empresa guarda dados, de que forma faz isso, se há política de tratamento de informações. As empresas com multinegócios, ou que acumulam características de segmentos diferentes, acabam tendo um desafio maior — apesar de a segurança ser algo transversal, existem segmentos e nichos. Em uma empresa mononegócio, embora lidar com a questão não seja necessariamente mais fácil, existe um contêiner um pouco mais estabelecido. De qualquer maneira, são desafios de comunicação e de governança corporativa.

CAPITAL ABERTO: O Brasil já seguia a norma da União Europeia para proteção de dados, e na sequência vieram uma resolução do Banco Central e a LGPD. A regulação é bem-vinda?

Fabio Ferreira Kujawski: As leis de proteção de dados têm aspectos positivos, mas também representam desafios para as companhias. O aspecto bom de uma lei dessa natureza é que a ausência de uma legislação faz as empresas não saberem exatamente o que podem ou não fazer com dados pessoais, e isso é bastante ruim. Continuaremos a enfrentar questões relacionadas a privacidade e, sem uma legislação, fica a cargo do Judiciário estabelecer certos pontos. O Judiciário não é a entidade adequada para regulação da privacidade. Portanto, a existência de uma lei gera segurança jurídica. Por outro lado, ela também envolve diversos desafios de adaptação para as empresas, que devem criar políticas de uso de dados. O tema da privacidade ainda é muito recente não apenas no mundo corporativo, mas na sociedade brasileira. Com exceção de setores como o financeiro e o de saúde, que já estavam sob regulamentações específicas, as empresas — e as pessoas, os clientes — não tinham preocupação com essa questão até meados de 2013, quando estourou o caso do vazamento de dados da NSA [agência de segurança nacional americana].

O Judiciário não é a entidade adequada para regulação da privacidade. Portanto, a existência de uma lei gera segurança jurídica — Fabio Ferreira Kujawski

Houve uma tramitação longa de projetos de lei de proteção de dados no Brasil. A demora até foi benéfica, por ter tornado nossa legislação muito parecida com a europeia, que entrou em vigor em maio de 2018. O lado bom de a norma da Europa ter se tornado o padrão internacional é o fato de as empresas trocarem informações entre continentes: a semelhança entre leis cria uma régua única em relação à gestão e ao tratamento de dados. Por outro lado, há o desafio do empoderamento do titular de dados a respeito de suas informações pessoais — até então tratadas como ativos das empresas. A legislação nova muda isso: os dados pertencem às pessoas e não às empresas.

CAPITAL ABERTO: Para o conselho, fica mais fácil ou difícil tratar do tema diante da existência de mais regras para se cumprir?

Fabio Ferreira Kujawski: A lei brasileira é complexa. Existe uma questão concorrencial importante. Qualquer instituição que for fazer o processo de adaptação se perguntará se realmente deve apagar aqueles conjuntos de informação que não mais poderá usar, se o concorrente fará a mesma coisa, se perderá uma oportunidade de negócio, de marketing. Cada empresa terá um apetite a risco diferente. A lei ainda tem muitos pontos em aberto, como o legítimo interesse para tratamento de dados, por exemplo. O processo todo ainda levará bastante tempo, e as empresas precisarão se posicionar, tomando decisões em sua estratégia de adaptação.

CAPITAL ABERTO: Como esse novo conjunto de regras mexe com a noção de responsabilidade? Ela passa a recair mais sobre os conselheiros da empresa?

Fabio Ferreira Kujawski: Sabemos que, em companhias abertas, existe uma certa divisão de responsabilidades por área — cada um responde pela sua, inclusive no conselho. A LGPD leva para os conselhos a preocupação com uma nova dinâmica na gestão de dados. Em relação a vazamentos, existe uma questão extremamente complexa: identificar em que medida representa um fato relevante que deva ser comunicado ao mercado. Há, aqui, duas dimensões distintas: a legislação do mercado de capitais, que se concentra na proteção da comunidade acionária, e a lei de proteção de dados, que se preocupa com o titular das informações. Assim, seria um incidente de segurança necessariamente um fato relevante a ser reportado dentro da lógica do mercado de capitais? Pode ser que sim, pode ser que não. Talvez se configure um cenário em que seja preciso informar a autoridade de proteção de dados, mas não o mercado. Já o contrário é algo bastante difícil de acontecer.

CAPITAL ABERTO: Quando falamos sobre esse assunto pela primeira vez em um Grupo de Discussão da CAPITAL ABERTO, contávamos nos dedos os casos de vazamento de informação. Hoje a questão está disseminada. Onde ainda se peca no tratamento, e até mesmo na diferenciação dos casos? Falamos muito da proteção do dado do cliente, mas também há o lado dos riscos operacionais.

Marta Helena Schuh: Acredito que, às vezes, o board não entende onde os riscos estão dentro da empresa. Então, os administradores deixam isso sob a responsabilidade da área de tecnologia, que muitas vezes não comunica quais são as suas necessidades — ou até comunica, sem ser devidamente ouvida. Nessa dinâmica, o conselho acaba não entendendo a dependência que a empresa tem em relação à tecnologia. Seja uma companhia que de fato armazene e maneje dados de clientes ou uma que tenha processos mais industriais: todas dependem de tecnologia para seu funcionamento. A partir do momento em que isso falha, consequentemente há danos de perda de receita e de custos relacionados ao incidente a ser mitigado. É só quando ocorrem falhas que o conselho, em grande parte dos casos, passa a cobrar mais atenção e melhorias da área de tecnologia. O que tenho visto na maioria das vezes é falta desse acompanhamento. Obviamente, houve grande acréscimo de cases de vazamento. Situações como as da Equifax, que sofreu com um vazamento de cerca de 140 milhões de dados que provocou a demissão de todo o comitê executivo. Uma empresa enorme de capital aberto afetada por negligência com o armazenamento e a segurança das informações, seu core business — para quem não conhece, a empresa é o equivalente ao serviço de proteção ao crédito no Brasil. Se o conselho e os executivos não cumpriram seu papel de entender onde estão os riscos e proteger a empresa houve negligência. É isso que precisamos fazer as empresas entenderem no Brasil também.

[1] Foram entrevistados mais de 9,5 mil executivos de negócios e TI, vice-presidentes e diretores de Segurança da Informação de empresas de 75 setores pela Global State of Information Security Survey 2018, conduzida através da Internet entre abril e maio de 2017.


Leia também

Como tributar dados 

Direito digital busca dar conta do avanço da tecnologia

GDPR terá impactos sobre auditorias brasileiras 


Para continuar lendo, cadastre-se!
E ganhe acesso gratuito
a 3 conteúdos mensalmente.


Ou assine a partir de R$ 34,40/mês!
Você terá acesso permanente
e ilimitado ao portal, além de descontos
especiais em cursos e webinars.


Você está lendo {{count_online}} de {{limit_online}} matérias gratuitas por mês

Você atingiu o limite de {{limit_online}} matérias gratuitas por mês.

Faça agora uma assinatura e tenha acesso ao melhor conteúdo sobre mercado de capitais


Ja é assinante? Clique aqui

mais
conteúdos

APROVEITE!

Adquira a Assinatura Superior por apenas R$ 0,90 no primeiro mês e tenha acesso ilimitado aos conteúdos no portal e no App.

Use o cupom 90centavos no carrinho.

A partir do 2º mês a parcela será de R$ 48,00.
Você pode cancelar a sua assinatura a qualquer momento.