O IBEF-SP realizou, em conjunto com a KPMG, a terceira live da série “CFO Trends” no último dia 2 de dezembro. O evento abordou a importância dos temas de Cyber Security e da Resiliência Operacional para evitar danos financeiros e reputacionais, garantindo a continuidade dos negócios das organizações.
O painel foi moderado por Magali Leite, vice-presidente IBEF Conecta, e contou com as participações de Jean Paraskevopoulos, sócio-líder de Clientes e Mercados da KPMG no Brasil e na América do Sul, e Leandro Augusto, sócio-líder de Cyber Security e Privacy da KPMG no Brasil e na América do Sul.
Transformação digital e segurança cibernética –Jean Paraskevopoulos destacou que a última pesquisa realizada pela KPMG, CEO Outlook 2021, apontou que a transformação digital foi acelerada durante a pandemia de Covid-19, tornando-se um fator crítico para o crescimento das organizações. “É desnecessário dizer o quanto as ameaças cibernéticas, cada vez mais frequentes e ousadas, limitam o desenvolvimento e a inclusão digital das empresas, tornando-se um risco financeiro e à reputação das organizações. A questão não é mais se, mas quando o ataque acontecerá”, alertou o sócio da KPMG.
Resiliência operacional – Segundo Leandro Augusto, no passado os ataques eram destinados a roubos de informação e a sua utilização pontual. Contudo, hoje esses eventos afetam diretamente a resiliência operacional das organizações e, por consequência, sua continuidade sistêmica, tecnológica e os objetivos críticos de negócios. “O tema de resiliência operacional em Cyber nasceu em 2017 quando infraestruturas do mercado financeiro globais começaram a questionar a capacidade do mercado em operar globalmente dado um evento de segurança cibernética”, contextualizou o especialista.
Diferenças fundamentais – Segundo Leandro, segurança cibernética se refere à proteção da informação e dos sistemas de informação contra acesso não autorizado, uso, divulgação, interrupção, modificação ou destruição para fornecer confidencialidade, integridade e disponibilidade da informação. Já a segurança cibernética é a capacidade de defender ou proteger o uso do ciberespaço de ataques cibernéticos.
“A diferença está no escopo e na amplitude dos controles. Segurança da informação se faz em casa, em um ambiente muito restrito. Quando se amplia para negócios digitais, para ecossistema de fornecedores, se aumenta a superfície de atuação. Compreender essa diferença é muito importante para que possamos entender como funcionam as nossas estruturas de controles internos e as estruturas de segurança da companhia”, esclareceu.
Monitoramento e ataques – Leandro Augusto destacou que os ataques estão cada vez mais sofisticados em seu planejamento e execução, com criminosos usando técnicas de espionagem. “Os hackers monitoram as empresas o tempo todo. Se eles decidirem atacar uma companhia, primeiramente, começam a coletar dados e a estudar a organização, em seguida escolhem os melhores métodos e definem os alvos e objetivos para, então, materializar o ataque”.
Segundo Leandro Augusto, frente ao crescente número de violações de dados ou segurança, a cibersegurança não pode mais ser apenas domínio da área de TI, devendo as equipes de segurança garantirem que as pessoas em todas as partes da organização entendam os riscos e o impacto para os negócios. “A segurança cibernética não é mais somente um problema de TI, pelo simples fato que hoje tudo acontece no ciberespaço, em conexões de internet”.
Papel do CFO – Atento aos riscos de toda a empresa, o CFO pode avaliar a viabilidade da estratégia de segurança cibernética e facilitar seu alinhamento à estratégia do negócio. Leandro elencou seis informações fundamentais necessárias para uma correta avaliação. O executivo precisa saber:
1- Se a organização possui uma estratégia de segurança cibernética abrangente que integra pessoas, processos e elementos de tecnologia do risco cibernético;
2- O nível de tolerância ao risco da organização;
3 – Onde o orçamento de segurança da informação é investido e se é suficiente;
4 – O impacto financeiro e de reputação se as operações de negócios foram interrompidas por um incidente cibernético;
5 – Qual o plano de resposta a ataques e a última vez que eles foram testados;
6 – Qual o ativo de informação mais valioso no negócio.
“Somente 3% das informações que achamos serem valiosas nas empresas são realmente as chamadas ‘joias da coroa’, isto é, aquelas que vão quebrar o nosso negócio. Esse percentual de 3% é algo que temos que ter muita atenção”, alertou o sócio da KPMG
Gestão de riscos – Leandro Augusto destacou que o CFO tem acesso a dados sensíveis e importantes da empresa, tais como os planos estratégicos, as receitas, os investimentos, as propostas de fusões e aquisições, previsões e outras informações que podem fornecer uma vantagem competitiva à organização. No século XXI, as empresas são dependentes das funções de cibersegurança, de forma que os CFOs e as equipes financeiras devem assumir mais responsabilidades pela estratégia da empresa, incluindo as referentes à segurança cibernética.
“O CFO não é um gestor do risco cibernético, mas é um gestor financeiro do impacto e das previsões que são fundamentais e diretamente ligadas aos investimentos em segurança. É preciso entender quais direcionamentos estão sendo dados aos investimentos”, esclareceu o sócio da KPMG.
Responsabilização do CFO – Os impactos dos riscos cibernéticos são crescentes e a transparência sobre os controles internos será cada vez mais exigida. Em 2021 foi emitida a primeira sanção aplicada pela Securities and Exchange Commission (SEC) por más práticas de segurança cibernética, inclusive, com uma responsabilização do CFO, pois é esse executivo quem assina os documentos entregues ao órgão.
“Esse foi um marco importante porque foi a primeira sanção oficial aplicada por um regulador nos Estados Unidos especificamente para questão de segurança cibernética”, alertou Leandro. “Cada vez mais essa será uma atribuição não só do CFO, mas das linhas de defesa da companhia, a transparência sobre os controles internos”.
