O risco escondido de cibersegurança no processo de avaliação de ativos

1

Os tempos mudaram, e ter contabilidade, jurídico e RH em dia não é o suficiente para ter sua empresa bem avaliada em eventual operação de compra e venda ou de atração de investimentos. Para que ela se torne mais atrativa é obrigatória a preocupação com os riscos escondidos de cibersegurança.

 

Incidentes de segurança da informação têm o potencial de causar altíssimos prejuízos financeiros, além daqueles irreparáveis envolvendo a imagem e reputação da empresa. Não é à toa que os crescentes ataques de ransomware, que geram a suspensão das operações das empresas afetadas, têm deixado não somente os CISOs de cabelo em pé, mas também os CIOs, CFOs, e os CEOs. O processo de avaliação precisa envolver esses riscos, muitas vezes esquecidos ou menosprezados.

 

Mas, que riscos são esses, e como fazer para evitá-los?

 

Alguns dos principais riscos escondidos, e muitas vezes ignorados no processo de avaliação são descritos abaixo.

 

Sistemas Comprometidos

 

Segundo uma recente pesquisa da IBM, o tempo médio para se identificar e conter um ataque cibernético é de 280 dias, tempo durante o qual os computadores da empresa ficam sujeitos a diversos usos maliciosos, dentre eles: participar de botnets com finalidade maliciosa e/ou criminosa, minerar criptomoedas, consumindo recursos e energia pagos pela empresa, hospedar conteúdo ilegal etc. Integrar um computador comprometido à sua estrutura pode abrir espaço para uma movimentação lateral que afeta seus ativos atuais.

 

A mitigação desse risco não é simples. São medidas importantes a realização de varredura de segurança, a avaliação do firewall e de dispositivos de rede, e as avaliações de consumo de recursos.

 

Ausência de políticas e processos

 

A manutenção da segurança da informação depende da execução de processos bem definidos e baseados em políticas que atendam às demandas do negócio e que estejam alinhadas com as melhores práticas e padrões de mercado. A ausência de processos formais e maduros pode dificultar a continuidade das operações de segurança e elevar o risco do ambiente, principalmente em situações de integração de equipes. A concentração de conhecimento em pessoas, e não em políticas e processos pode levar a dificuldades em manter o ambiente funcionando e a empresa operando de forma satisfatória.

 

Para mitigar esse risco é importante implementar na empresa, no mínimo, uma robusta política de segurança da informação e processos de gestão de acessos; gestão de atualizações; gestão de vulnerabilidades; gestão de backup; e gestão de incidentes.

 

Equipe sem treinamento

 

De nada adianta implementar excelentes políticas e processos, se o time de colaboradores da empresa (em sua integralidade, não apenas a equipe de TI) não tiver conhecimento de seus termos ou não implementá-los na prática.

 

A maior parte dos incidentes de segurança da informação ocorre por conta de falhas dos próprios funcionários da empresa. Assim, uma agenda de treinamentos reciclados de tempos em tempos é fundamental para os cuidados de uma empresa com segurança da informação.

 

Risco de fornecedores e parceiros

 

Nesse mesmo sentido, parceiros e fornecedores podem gerar um risco para a empresa, caso não mantenham o seu mesmo grau de zelo com a segurança da informação. Eventuais informações mantidas em segurança pela empresa poderão estar sujeitas a grandes riscos assim que compartilhadas com parceiros e fornecedores.

 

Não conformidade legislativa

 

valuation de uma empresa levará em consideração a conformidade com toda a legislação a ela aplicável. A adequação à Lei Geral de Proteção de Dados (LGPD), ao Marco Civil da Internet e outras normas envolvendo a segurança da informação e proteção de dados é ponto chave dentro de uma due diligence para a compra e venda ou injeção de investimentos em uma empresa.

 

Vale lembrar que uma das sanções administrativas previstas pelo descumprimento da LGPD é de 2% do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, por infração. E isso apenas no âmbito administrativo, podendo haver condenações ainda mais gravosas na esfera judicial.

 

Parque desatualizado (HW e SW)

 

Um parque desatualizado é a porta de entrada mais fácil para cibercriminosos, pela existência de uma grande vulnerabilidade causada pela inexistência das mais recentes atualizações de segurança.

 

Tal risco também impactará negativamente a avaliação de uma empresa em processo de compra e venda.

 

Software sem o devido licenciamento

 

É comum que, mesmo dentro das empresas que se preocupem com o tema, exista alguma divergência na quantidade de licenças de software adquiridas e efetivamente utilizadas por seus colaboradores.

 

Além de problemas de segurança de informação das cópias inadvertidamente replicadas ou indevidamente instaladas, cria-se o risco das penalidades pela violação de direitos de propriedade intelectual.

 

Há julgados que determinam a sanção pelo uso de software sem licença, quando não for possível quantificar as cópias usadas indevidamente, no valor de 3 mil cópias. Quando temos um Pacote Microsoft Office, com o custo mínimo por volta de R$ 250 a cópia, a conta pode ficar bem salgada.

 

Para mitigar esse risco, recomenda-se a realização de auditoria de software para verificar as cópias sendo usados e o número de licenças disponíveis, e buscar a regularização de forma imediata.

 

Assim, para a melhor avaliação de uma empresa quando de sua compra e venda ou atração de investimentos, a segurança da informação é um relevante fator a ser levado em consideração. A falta de apreço com a matéria poderá gerar a falta de atratividade a investidores e a desvalorização do negócio. Da mesma forma, caso o comprador ou investidor não se atente à importância dos cuidados mantidos com a segurança da informação pela empresa-alvo, poderá ter de arcar com uma série de riscos não contingenciados.

 

Luiza Sato, advogada, sócia da área de Proteção de Dados, Direito Digital e Propriedade Intelectual do ASBZ Advogados e Eduardo Sanches, responsável pela segurança da informação e privacidade da Mutant.

1 COMENTÁRIO

DEIXE UMA RESPOSTA

Por favor digite seu comentário!
Por favor, digite seu nome aqui

This site is protected by reCAPTCHA and the Google Privacy Policy and Terms of Service apply.