Dentre as diversas áreas de conhecimento que tem impactado de forma significativa o mundo dos negócios, Governança Corporativa e a Tecnologia de Informação (TI) tem sido algumas das mais relevantes. Embora em muitas empresas ainda sejam tratadas de forma distinta (com péssimas consequências), as duas áreas de conhecimento têm sido forçadas a uma abordagem conjunta em face dos requisitos cada vez maiores das empresas.
Pelo lado da Governança Corporativa, que na sua essência é o estabelecimento de princípios de gestão que preservem o valor e garantem a perenidade da empresa, a Gestão de Riscos Corporativos vem ganhando mais espaço e cada vez mais sendo fator crítico de sucesso nas organizações. Associada inicialmente a questões de crédito e financeiras, evoluiu para agregar aspectos regulatórios, ambientais e, por fim, tecnológicos.
No lado da TI, a adoção de novas tecnologias como Computação em Nuvem (Cloud Computing), Computação Móvel (Mobile Computing), Internet das Coisas (Internet of Things –IoT), abre oportunidade de maior eficiência nas organizações. Aspectos como redução de custos, maior velocidade na implementação de sistemas, escalabilidade e até benefícios ambientais trazem, no entanto, associados riscos importantes que tem na maioria das vezes passado desapercebido ou cuja gestão é transferida para a área de TI.
A falta de transparência de alguns fornecedores, falta de interoperabilidade das plataformas, mudanças radicais na operação dos sistemas, aspectos contratuais que eliminam as vantagens de escalabilidade e em especial a área de Segurança da Informação são tópicos que necessariamente devem sair do âmbito exclusivo de TI e ter atenção dos Conselhos de Administração e dos Executivos responsáveis pela gestão das empresas.
Modelos de Gestão de Risco Corporativo e Cloud Computing
Organismos internacionais com o COSO (Committee of Sponsoring Organizations of the Treadway Comission), que de algum tempo vêm se preocupando com estabelecer padrões para a Gestão de Risco Corporativos, incluíram a preocupação com a adoção de Cloud Computing pelas organizações no seu escopo. Já em 2012 publicava orientações de como utilizar o modelo de Gestão de Risco COSO para a avaliação de riscos quando adotando Cloud Computing nas suas diversas modalidades (SaaS, Paas, IaaS).
A definição de objetivos e planos de ação antecipadamente aumenta as chances de sucesso em qualquer projeto. Não é diferente na adoção de sistemas em Cloud. Um plano bem desenvolvido, que claramente defina os objetivos desta adoção levará a empresa a tomar decisões de maneira mais assertiva.
Algumas organizações veem análise de risco e programas de governança como opcionais quando se tratando de adotar a tecnologia Cloud. Mesmo aquelas que já incorporaram a Gestão de Riscos Corporativos a suas políticas de Governança, em muitos casos ainda não tem a análise de riscos cibernéticos (cyber risks) e a adoção de novas tecnologias incluídas nesta prática.
Risco para Executivos de todos os níveis – Não há sistema completamente seguro
A adoção de tecnologias que fazem uso intensivo da Internet (Mobile, Cloud, IoT) agregou a segurança de informação como ponto fundamental para as empresas. A adoção da tecnologia Cloud e outras ligadas a Internet é inexorável, portanto resta estar preparado para fazer frentes as ameaças decorrentes desta adoção (cyber threats).
Infelizmente, a prática tem mostrado ainda a fragilidade das organizações frente a este tipo de ameaça. Mais do que isso em muitos casos a utilização de procedimentos e tecnologias disponíveis poderia em muitos casos ter mitigado os impactos dos ataques cibernéticos (cyber attacks).
Com a chamada "CEOs cuidado: violações de dados agora podem custar o seu emprego", matéria da Bloomberg Business de Maio de 2014 iniciava artigo sob o caso da rede varejista Target. A empresa, vítima de um ataque de hackers que tiveram acesso a 40 milhões de cartões de crédito e dados de 70 milhões de clientes, teve Greg Steinhafel, CEO e Presidente do Conselho com 35 anos de empresa, demitido pelos acionistas.
Ainda em 2014, Luis Aguilar, comissário da SEC (a CVM americana), alertava em palestra na NYSE (bolsa de valores de Nova Iorque) sobre a responsabilidade do Conselho de Administração e dos Executivos em estabelecer planos de gestão de risco corporativo, incluindo segurança da informação, acompanhando e garantindo a sua execução.
Métodos para fazer frente as ameaças – Gestão de Riscos Corporativos e Cyber Security
A implementação de planos de gestão de risco para adoção de Cloud Computing e outras tecnologias, que coloquem as informações e operação da empresa na Internet, requer combinação de perfis e áreas de conhecimento diversas. É comum que Conselhos de Administração e Executivos responsáveis pela gestão das organizações não tenham o perfil para definir, aprovar ou mesmo acompanhar atividades de gestão de risco associadas a estas tecnologias.
A criação de Comitês de Risco, já existentes em algumas empresas, ou mesmo de um comitê específico para tal fim é uma recomendação de organismos que definem práticas de Governança Corporativa e de órgão de controle nos Estados Unidos.
No Brasil esta preocupação começa a se estabelecer em grandes organizações, usualmente ligada somente a área de TI. No que tange a médias empresas ainda está aberta grande lacuna sendo estas as mais vulneráveis. A perspectiva é de que com a maior utilização de tecnologias que tenham como meio básico a Internet os problemas, não só de segurança, tendam a um crescimento exponencial.
Odair Aguiar, fundador da Doxa Advisers.