Na última semana estive no evento Tenchi Day 2023, que reuniu membros de conselhos, líderes de negócios e profissionais responsáveis por cyber segurança de diversas organizações. O debate entre os distintos grupos foi muito interessante, embora o assunto em comum fosse cyber segurança e seus impactos em diferentes áreas das empresas. O que vi é que o entendimento entre as áreas técnica e financeira/negócio é completamente distinto, o que é extremamente preocupante.
Apesar do tema ter ganhado mais atenção da alta gestão diante dos incidentes que têm ocorrido com diversas empresas brasileiras, pelo aumento do escrutínio regulatório com o surgimento de leis e regulações, como a LGPD, ANEEL, GDPR e, mais recentemente, de empresas com exposição ao mercado de capitais americano, o assunto traz responsabilidade ao conselho na supervisão do risco cibernético, incluindo a materialidade de suas perdas.
Hoje, todas as empresas, independentemente do ramo que atuam, possuem a dependência de algum tipo tecnologia. No entanto, os investimentos voltados ao gerenciamento deste crescente risco ainda são vistos como um custo e não como necessidade e até mesmo investimento. Quando o incidente ocorre, a responsabilidade fica associada ao profissional de TI.
Um dos painelistas citou que, em uma determinada empresa em que atuou como conselheiro, comentou que certa vez havia conversado com o CISO a respeito da segurança da empresa, e se esse poderia garantir que a empresa não seria atacada, já que havia alocado recursos e feito testes de tentativa de invasão – conhecidos como Pentest no mundo de tecnologia – o que prontamente ele afirmou que sim.
Dias depois, a empresa foi vítima de um incidente, com paralização de atividades e consequências severas ao negócio. O membro do conselho disse, então, ter se sentindo traído pelo CISO e que não entendia como isso poderia ter acontecido. A verdade é que profissionais não técnicos em TI ainda têm dificuldade de entender que não existe bala de prata em cyber segurança – o cenário cibernético está em constante mudança e, por mais que uma empresa invista em segurança de TI, ela nunca estará 100% segura. Como se trata de um risco de natureza evolutiva e permanente, este precisa ser tratado e monitorado, já que novas vulnerabilidades, conhecidas como Zero Day, surgem todos os dias; aliás, estima-se que mais de 1.500 delas são lançadas a cada mês!
Apesar de vítima, errou também o CISO, talvez por receio de que o conselheiro não visse valor nos investimentos feitos na área – a alta gestão está sempre preocupada com o retorno de investimento – então, como justificar algo que não pode ser visto e, muitas vezes, até mensurado, como é o caso de cyber segurança? Eu acredito que essa seja a realidade de diversos profissionais da área, que têm receio em dar voz sobre qual é o status atual de maturidade de sua organização. Muitas vezes, isso se dá por não saberem traduzir em linguagem simples e objetiva o que precisam; outros até sabem e têm ótimas intenções e preocupações, mas por restrição orçamentária ou até mesmo de apoio na adoção de melhores práticas, acabam não conseguindo fazer o que é necessário para compor um nível de maturidade mínima, nos padrões de governança reconhecidos.
Vejo em minhas tratativas diárias o quanto empresas, mesmo de grande atuação, carecem de maturidade diante dos padrões requeridos e buscam o Seguro como uma tentativa de transferir essa responsabilidade – o que, de fato, nenhum segurador irá assumir sem que certos critérios sejam implementados.
Se faz muito necessário que o risco de cyber seja visto como algo da responsabilidade de todos, já que a frequência de perda é muito maior para um evento cibernético do que para os perigos tradicionais, como um incêndio, quebra de máquinas e outros riscos em que são feitos investimentos e até mesmo seguro.
Em cyber não deve ser diferente, precisamos nos aproximar com um mesmo objetivo coletivo para a organização, que é proteger os ativos, sejam eles físicos ou digitais, falar uma linguagem comum para promover o entendimento entre ambas as partes e, como disse um dos panelistas do lado dos CISO´s – não é sobre nós ou eles, é sobre algo que vai afetar a todos, inclusive o ganho financeiro, a reputação e, possivelmente, até mesmo a competividade. E é aqui que a sua empresa precisa ver os custos de segurança cibernética como um investimento e não um gasto.
Marta Helena Schuh, diretora de Cyber Insurance na Howden Brasil.
