Todos em uma empresa devem estar envolvidos com a segurança da informação. Do estagiário ao CEO. Cuidar da segurança da informação não é apenas função da equipe de segurança e da TI, afinal, falhas de segurança podem ser causadas por qualquer funcionário e os hackers não estão preocupados com quem os "ajudou" a entrar na empresa. Querem apenas encontrar uma porta aberta e ganhar dinheiro. Claro que quanto mais alta a patente, mais fácil ter acesso a dados confidenciais.
Dessa forma, todas as lideranças precisam conhecer os desafios de segurança enfrentados pela empresa e qual a sua real capacidade de enfrentar tais ameaças. Obviamente, alguns profissionais precisam estar mais antenados ao que acontece que outros. Assim, o papel dos diretores financeiros e dos CFOs (Chief Financial Officer), muitas vezes, ultrapassa a barreira do financeiro.
Como são responsáveis pelas finanças da empesa, controlam metas e orçamentos, consequentemente, em caso de vazamentos ou brechas de segurança, os custos cairão sobre seus colos. Apesar da responsabilidade pela segurança cibernética ser do CISO e de outros especialistas responsáveis pela estratégia de defesa, é extremamente importante que o CFO entenda que novas prioridades afetam diretamente os negócios e o faturamento da empresa e que ele também é responsável por identificar áreas que precisam de alcançar excelência operacional relacionada a segurança da informação.
Uma brecha de segurança pode resultar em custos altíssimos para a empresa, e não apenas financeiros. E os riscos aumentam ainda mais com a implementação da LGPD (Lei Geral de Proteção de Dados), que entra em vigor no próximo ano.
Privacidade acima de tudo
A meta da LGPD é garantir a privacidade dos dados pessoais e permitir que o usuário tenha controle sobre o que as empresas fazem com suas informações. A lei obriga às empresas a criarem um Comitê de Segurança da Informação que tem a função de analisar processos internos e corrigi-los caso seja necessário, sob o risco de multas pesadas. Assim, o CFO deve, além de participar do Comitê, estar familiarizado com os processos de conformidade da empresa e questionar o que é feito em relação à segurança da informação.
O CFO também precisa lidar com o possível impacto financeiro e de desempenho que uma violação pode causar e estar atento às novas normas regulatórias que podem se sobrepor ao processos de conformidade financeira.
É preciso entender que as áreas de TI e financeira compartilham de metas correlatas à proteção de dados e que cada decisão de investimento em segurança deve ser tomada em conjunto pelas áreas para garantir os recursos sejam alocados corretamente e para garantir a redução de riscos com possíveis falhas de segurança.
Entendendo o risco
No Relatório de Risco de Dados Globais de 2018, a Varonis constatou que 58% das empresas têm mais de 100 mil pastas abertas a todos. Além disso, a grande maioria das empresas também não monitora como, quando e por quem os arquivos são acessados. Essa incapacidade é uma gigantesca brecha de segurança e bate de frente com uma das diretrizes da LGPD, que diz respeito exatamente à segurança dos dados em poder das empresas.
Obviamente que o CFO não precisa ser especialista em segurança cibernética, mas ele precisa saber quais perguntas fazer à equipe de segurança para entender o risco e tomar as decisões corretas sobre proteção de dados.
- Quem acessou dados financeiros da empresa nos últimos 30 dias?
- Quais dados em posse da empresa não estão adequadamente seguindo as normas do LGPD?
- A empresa é capaz de detectar acessos incomuns aos dados confidenciais?
Respondidas as questões e entendendo a real situação da empresa, é possível analisar o custo-benefício para que as decisões corretas sejam tomadas para reduzir o risco de falhas e garantir a perfeita alocação dos recursos. O CFO precisa estar atento, ainda, aos impactos de longo prazo que uma falha de segurança pode causar na reputação da empresa, na opinião dos clientes e stakeholders e no que é preciso fazer para reverter os possíveis danos de reputação e financeiros.
Carlos Rodrigues, vice-presidente da Varonis para América Latina.