A segurança cibernética surgiu para combater o crescente uso criminoso de computadores e redes, que causa muitos prejuízos às operações e à reputação das organizações. Sendo assim, é crucial analisar como as empresas têm lidado com este tema tanto internamente quanto no relacionamento com os clientes e fornecedores. De acordo com o Relatório de Custo de Violação de Dados da IBM, o custo médio global de uma violação em 2023 chegou a U$4,45 milhões, o que representou um aumento de 15% em três anos.
Esses números mostram que a prevenção e a mitigação dos impactos em segurança de dados são essenciais para a sobrevivência dos negócios, por isto defendo que esse tema é uma questão de governança que deve estar no radar do Conselho de Administração e de Gestão dos C-Levels das organizações. É papel da liderança se preocupar (e muito) com a conduta ética dentro da empresa, pois ela é fundamental para garantir a proteção dos dados pessoais dos usuários e evitar o uso indevido deles por empresas ou indivíduos mal-intencionados, mas arrisco dizer que isso não acontece sempre.
Justamente em organizações cujos líderes falham na formação de uma cultura ética de respeito, engajamento e confiança é que eu identifico práticas de riscos cibernéticos que podem ser avaliadas em uma analogia com os sete pecados capitais: avareza, gula, inveja, ira, luxúria, preguiça e soberba. Eles foram definidos pela igreja católica e revisados por São Tomás de Aquino no século XIII e são utilizados, além da religião, nas artes, na literatura, na psicologia comportamental e no marketing, porque estão relacionados aos vícios humanos. Listo a seguir minha análise dos pecados capitais da segurança cibernética:
- Soberba: achar que a organização está imune a ataques cibernéticos ou que não precisa investir em segurança cibernética. Isso pode gerar uma falsa sensação de segurança e expor a organização a riscos desnecessários.
- Avareza: querer economizar nos recursos destinados à segurança cibernética ou usar soluções inadequadas ou obsoletas. Isso pode comprometer a eficácia e a atualização das medidas de proteção e facilitar a exploração de vulnerabilidades pelos invasores.
- Inveja: desejar os dados ou as informações de outras organizações ou indivíduos e tentar obtê-los de forma ilícita ou antiética. Isso pode configurar um crime cibernético e violar a privacidade e os direitos dos envolvidos.
- Ira: reagir de forma agressiva ou impulsiva diante de um ataque cibernético ou de uma situação de conflito. Isso pode prejudicar o gerenciamento de crise e a tomada de decisão racional e proporcional.
- Luxúria: buscar prazer ou satisfações imediatas na internet sem se preocupar com as consequências ou riscos. Isso pode expor os dados e as informações pessoais ou profissionais a golpes, fraudes, vírus, etc.
- Gula: acumular ou consumir dados ou informações em excesso ou desnecessariamente. Isso pode sobrecarregar os sistemas de informação da organização e dificultar o controle e a gestão dos dados.
- Preguiça: negligenciar ou ignorar as normas e os procedimentos de segurança cibernética da organização. Isso pode facilitar o acesso de estranhos a dados importantes da organização.
Para ilustrar, cito um caso que presenciei: o presidente de uma empresa e diretores que, por normas de controle da organização, têm que aprovar todos os dias diversas atividades operacionais usando os sistema de controle, se vêem sobrecarregados de trabalho. Para evitar atrasos nos processos, entregam senhas para que subordinados de confiança aprovem pagamentos, compras, despesas de viagem, promoções etc. Neste tipo de organização de supercontrole, na qual dirigentes têm que aprovar tudo, terceirizar essa tarefa é uma violação grave das normas estabelecidas e, quando o mal exemplo vem da liderança, práticas antiéticas se disseminam.
Fortalecer a cultura para não correr riscos
Tanto para o exemplo citado, quanto para evitar incorrer nos pecados capitais da segurança cibernética, o ideal seria a organização identificar seu perfil de cultura para gerar mais confiança na delegação de tarefas e na organização como um todo. Claudia Pitta, palestrante e conselheira no Instituto Brasileiro de Governança Corporativa (IBGC), estabeleceu uma Escala da Cultura Ética em que, a depender das atitudes ou valores da empresa, pode ser cultura tóxica ou disfuncional; cultura de conformidade; cultura de integridade; e cultura de sustentabilidade.
Percebo que uma cultura ética tóxica é capaz de gerar consequências negativas para a segurança cibernética. Nesse tipo de cultura, a discriminação, a negligência, o desrespeito e a falta de transparência, além do foco exclusivo nos resultados, podem levar os participantes da organização a agirem de forma oculta, furtiva e descumprirem as normas estabelecidas de segurança, seja por falta de engajamento, baixo reconhecimento ou até reações de retaliação à organização. Muitos dos ataques hackers são provocados por colaboradores com acesso aos sistemas da organização.
É curioso que, justamente como forma de conter essas atitudes, algumas empresas contratem hackers profissionais para testar erros em processos cometidos por funcionários, causando vulnerabilidades ou até ataques. É a cultura do medo, ao invés de práticas de treinamento e conscientização. À primeira vista, a cultura mais focada no compliance parece ser a mais indicada para mitigação de riscos cibernéticos, por suas características de liderança burocrática, comando e controle. Entretanto, o incentivo à denúncia, a busca de culpados e a punição sem reeducação, abre flancos para a falta de comprometimento e zelo dos colaboradores nos cuidados que mitigam os riscos cibernéticos.
Sendo assim, acredito que as culturas baseadas na integridade e sustentabilidade são as que promovem o melhor ambiente de prevenção de riscos cibernéticos, pela confiança e respeito aos colaboradores, equidade, segurança psicológica e exemplo da liderança consciente. E nesse processo de cultura ética o posicionamento da liderança diante do tema é essencial. Os líderes dentro de uma organização são os espelhos de conduta para os demais membros. Assim, o exemplo auxilia na disseminação de uma cultura de prevenção e de segurança cibernética em uma visão ampla do tema.
Durval Jacintho, Engenheiro Eletrônico e Mestre em Automação Industrial pela Universidade Estadual de Campinas (UNICAMP) e consultor internacional em tecnologia pela DJCon, com 37 anos de experiência C-Level no mercado de tecnologia e telecomunicações. Conselho de Administração certificado pelo Instituto Brasileiro de Governança Corporativa (IBGC) e membro da Comissão de Ética do IBGC e da Comissão de Inovação do Capítulo São Paulo Interior. Integra o Comitê de Gestão do Hub da Gestão e o Chief.group.