Enquanto algumas das maiores empresas do mundo – Google, Apple e Microsoft, por exemplo – se unem para pedir ao governo norte-americano reformas e restrições nas atividades de vigilância pela internet, no Brasil a preocupação com a segurança da informação parece caminhar a passos brandos no ambiente corporativo. Bastaria citar a invasão da NSA aos dados da Petrobrás, uma das gigantes brasileiras, para sugerir a fragilidade local perante potenciais ciberataques. A questão, no entanto, é bem mais profunda do que os poços petrolíferos da estatal.
Resultados preliminares de uma pesquisa realizada pela Alvarez & Marsal com 150 executivos seniores de empresas brasileiras mostra que 20% dos entrevistados não sabem quem é o responsável pela segurança da informação em suas organizações. Outros 28% acham que o assunto é apenas de responsabilidade de TI. Além disso, um estudo da Symantec e do Ponemon Institute aponta que as companhias nacionais perderam R$ 2,64 milhões em 2012 com violação de dados (erros humanos e falhas de sistemas). Estamos falando de um dos principais riscos enfrentados por empresas de todos os portes e em todo mundo, com prejuízos milionários, e quase a metade dos executivos brasileiros patinam em relação a processos e responsabilidades sobre cibersegurança.
Em outras palavras, mesmo com os últimos vazamentos de informação no país (espionagem e ações de hackers em sites do governo), os líderes empresariais brasileiros parecem estar com a cabeça presa ainda no século passado. Enquanto isso, os ataques pela internet se tornam cada vez mais complexos e difíceis de evitar.
Essa inércia dos executivos é perigosa. Neste ano o Brasil terá a Copa do Mundo e, em 2016, a Olimpíada. Quantias significativas de dinheiro circularão pelo país e, certamente, serão alvo de fraudes cibernéticas. Além disso, com o contínuo aumento no número de ataque cibernéticos – em 2012 houve um crescimento de 42% segundo estudo Internet Security Threat Report 18, da Symantec – a maioria das organizações no mundo enfrentará uma crise nesse sentido em algum momento. Portanto, as empresas precisam reconhecer que serão atacadas e estar prontas para responder com rapidez e eficácia. Só assim elas criarão a base para uma segurança cibernética mais inteligente, que não seja encarada como um custo para a organização, mas como uma sólida estratégia para o futuro dos negócios.
Por fim, a pesquisa da Alvarez & Marsal ainda revela que 47% das empresas brasileiras afirmam que existe um baixo nível de diálogo entre as equipes de segurança e os executivos. Em um mundo moderno, onde as partes estão cada vez mais próximas e conectadas, manter essa divisão é como estacionar no tempo. Qualquer organização que delega apenas ao CISO (Chief Information Security Officer) ou ao CIO (Chief Information Officer) a responsabilidade sobre a cibersegurança está se enganando. A segurança da informação é um assunto que deve envolver tanto a área de TI como os executivos do nível C (presidência e diretoria executiva), que precisam estar ativamente envolvidos para criar uma ponte entre os negócios, a tecnologia e o comportamento voltado à segurança, necessário em todos os níveis e da parte de todos os funcionários. Esse já é o pensamento de muitas das grandes empresas globais, e está na hora de o empresário brasileiro acordar para a nova realidade da cibersegurança.
William Beer, sócio da Alvarez & Marsal
Essa cultura ainda está em formação no Brasil, algumas empresas que já adotaram o processo de Conscientização da Segurança da Informação entre colaboradores e gestores, estão percebendo os benefícios que essa nova postura traz e estão fazendo questão de mostrar para os seus mercados que seus dados são tratados de maneira segura, ética e baseada em regramentos jurídicos atuais, minimizando riscos operacionais e conquistando o respeito no mundo empresarial.