Os tempos mudaram, e ter contabilidade, jurídico e RH em dia não é o suficiente para ter sua empresa bem avaliada em eventual operação de compra e venda ou de atração de investimentos. Para que ela se torne mais atrativa é obrigatória a preocupação com os riscos escondidos de cibersegurança.
Incidentes de segurança da informação têm o potencial de causar altíssimos prejuízos financeiros, além daqueles irreparáveis envolvendo a imagem e reputação da empresa. Não é à toa que os crescentes ataques de ransomware, que geram a suspensão das operações das empresas afetadas, têm deixado não somente os CISOs de cabelo em pé, mas também os CIOs, CFOs, e os CEOs. O processo de avaliação precisa envolver esses riscos, muitas vezes esquecidos ou menosprezados.
Mas, que riscos são esses, e como fazer para evitá-los?
Alguns dos principais riscos escondidos, e muitas vezes ignorados no processo de avaliação são descritos abaixo.
Sistemas Comprometidos
Segundo uma recente pesquisa da IBM, o tempo médio para se identificar e conter um ataque cibernético é de 280 dias, tempo durante o qual os computadores da empresa ficam sujeitos a diversos usos maliciosos, dentre eles: participar de botnets com finalidade maliciosa e/ou criminosa, minerar criptomoedas, consumindo recursos e energia pagos pela empresa, hospedar conteúdo ilegal etc. Integrar um computador comprometido à sua estrutura pode abrir espaço para uma movimentação lateral que afeta seus ativos atuais.
A mitigação desse risco não é simples. São medidas importantes a realização de varredura de segurança, a avaliação do firewall e de dispositivos de rede, e as avaliações de consumo de recursos.
Ausência de políticas e processos
A manutenção da segurança da informação depende da execução de processos bem definidos e baseados em políticas que atendam às demandas do negócio e que estejam alinhadas com as melhores práticas e padrões de mercado. A ausência de processos formais e maduros pode dificultar a continuidade das operações de segurança e elevar o risco do ambiente, principalmente em situações de integração de equipes. A concentração de conhecimento em pessoas, e não em políticas e processos pode levar a dificuldades em manter o ambiente funcionando e a empresa operando de forma satisfatória.
Para mitigar esse risco é importante implementar na empresa, no mínimo, uma robusta política de segurança da informação e processos de gestão de acessos; gestão de atualizações; gestão de vulnerabilidades; gestão de backup; e gestão de incidentes.
Equipe sem treinamento
De nada adianta implementar excelentes políticas e processos, se o time de colaboradores da empresa (em sua integralidade, não apenas a equipe de TI) não tiver conhecimento de seus termos ou não implementá-los na prática.
A maior parte dos incidentes de segurança da informação ocorre por conta de falhas dos próprios funcionários da empresa. Assim, uma agenda de treinamentos reciclados de tempos em tempos é fundamental para os cuidados de uma empresa com segurança da informação.
Risco de fornecedores e parceiros
Nesse mesmo sentido, parceiros e fornecedores podem gerar um risco para a empresa, caso não mantenham o seu mesmo grau de zelo com a segurança da informação. Eventuais informações mantidas em segurança pela empresa poderão estar sujeitas a grandes riscos assim que compartilhadas com parceiros e fornecedores.
Não conformidade legislativa
O valuation de uma empresa levará em consideração a conformidade com toda a legislação a ela aplicável. A adequação à Lei Geral de Proteção de Dados (LGPD), ao Marco Civil da Internet e outras normas envolvendo a segurança da informação e proteção de dados é ponto chave dentro de uma due diligence para a compra e venda ou injeção de investimentos em uma empresa.
Vale lembrar que uma das sanções administrativas previstas pelo descumprimento da LGPD é de 2% do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, por infração. E isso apenas no âmbito administrativo, podendo haver condenações ainda mais gravosas na esfera judicial.
Parque desatualizado (HW e SW)
Um parque desatualizado é a porta de entrada mais fácil para cibercriminosos, pela existência de uma grande vulnerabilidade causada pela inexistência das mais recentes atualizações de segurança.
Tal risco também impactará negativamente a avaliação de uma empresa em processo de compra e venda.
Software sem o devido licenciamento
É comum que, mesmo dentro das empresas que se preocupem com o tema, exista alguma divergência na quantidade de licenças de software adquiridas e efetivamente utilizadas por seus colaboradores.
Além de problemas de segurança de informação das cópias inadvertidamente replicadas ou indevidamente instaladas, cria-se o risco das penalidades pela violação de direitos de propriedade intelectual.
Há julgados que determinam a sanção pelo uso de software sem licença, quando não for possível quantificar as cópias usadas indevidamente, no valor de 3 mil cópias. Quando temos um Pacote Microsoft Office, com o custo mínimo por volta de R$ 250 a cópia, a conta pode ficar bem salgada.
Para mitigar esse risco, recomenda-se a realização de auditoria de software para verificar as cópias sendo usados e o número de licenças disponíveis, e buscar a regularização de forma imediata.
Assim, para a melhor avaliação de uma empresa quando de sua compra e venda ou atração de investimentos, a segurança da informação é um relevante fator a ser levado em consideração. A falta de apreço com a matéria poderá gerar a falta de atratividade a investidores e a desvalorização do negócio. Da mesma forma, caso o comprador ou investidor não se atente à importância dos cuidados mantidos com a segurança da informação pela empresa-alvo, poderá ter de arcar com uma série de riscos não contingenciados.
Luiza Sato, advogada, sócia da área de Proteção de Dados, Direito Digital e Propriedade Intelectual do ASBZ Advogados e Eduardo Sanches, responsável pela segurança da informação e privacidade da Mutant.
[…] FONTE: TI INSIDE […]