Av. Pres Juscelino Kubitschek 1726, Cj. 151 São Paulo / Itaim bibi +55 11 3016-2121
Portal IBEF SP

Cibersegurança: Por que o CFO deveria estar fazendo perguntas (e quais fazer)?

Engana-se quem pensa que cibersegurança é tema de TI. Elencando entre os 7 maiores riscos globais pelo Fórum Econômico Mundial em 2022, o assunto faz parte da governança do negócio e pode ser crítico para sua resiliência. Daí a importância de o CFO, enquanto executivo com responsabilidade estatutária e fiduciária pela organização, estar atento ao gerenciamento e mitigação.

O tema foi discutido na live “Cybersecurity: Uma visão holística”, realizada em 17 de fevereiro pelo IBEF-SP. O evento teve como convidados: Joaquim Campos, VP Cloud & Data Platform da IBM para a América Latina; Marcello Zillo Neto, Chief Security Advisor Latam da Microsoft; e Raymundo Peixoto, Senior VP da Dell Technologies para a América Latina. O painel foi moderado por Paulo Mendes, VP da Diretoria Executiva do IBEF-SP e VP Global de Finanças na SAP.

“Já foi o tempo em que o CFO cuidava apenas dos resultados financeiros. Está aí a agenda ESG e de transformação digital para mostrar que esse escopo cresceu. E, certamente, cybersecurity subiu nessa agenda, empurrado pela pandemia e todas as forças recentes que ocorreram”, destacou o VP Global de Finanças da SAP.

Danos milionários – No Brasil, o custo médio da violação de dados para as empresas foi de R$ 6,15 milhões – aumento de 5% em relação a 2020, segundo dados da IBM Security. No mundo, o custo médio foi de US$ 4,2 milhões, informou Joaquim Campos, VP Cloud & Data Platform da IBM para a América Latina.

E atenção: o custo do incidente pode impactar o negócio na mesma proporção que toca a área de tecnologia. “Cerca de 50% desses custos, em nível global, estão relacionados com a área de TI – a atividade de resposta pós-violação e investimentos necessários para se detectar o incidente. A outra metade são custos todos relacionados ao business e notificação”, ressaltou Joaquim.

O prazo para identificar o ataque é diretamente proporcional aos estragos que podem ser feitos. No Brasil, a média é de 276 dias para identificar uma violação de dados e 120 dias para conter, frente a 212 e 72 dias na média global.

“Fraude como serviço” – Além de crescer em números, o cibercrime evoluiu no modelo de negócios, alertou Marcello Zillo Neto, Chief Security Advisor Latam e Diretor de Customer Success Cybersecurity para o Brasil da Microsoft. Em 2021, ocorreram 24 trilhões de ataques diários, segundo o Microsoft Digital Report – 8 vezes mais que os 3 trilhões registados em 2019.

Esses crimes, inclusive, podem ser encomendados. Na deep web (camada de sites não indexados por mecanismos de busca) já existe a venda de Fraud As a Service (fraude como serviço). É possível contratar ataques de sequestro de dados (ramsomware), comprometimento de dispositivos, negação de serviços (DOS), entre outros, disse Marcello.

75% das empresas serão impactadas – Hoje a tecnologia não apenas “ajuda” as empresas na produtividade; em muitos negócios ela “é” a própria linha de produção, observou Raymundo Peixoto, Senior VP da Dell Technologies para a América Latina. Ele citou dados do Gartner com a previsão de que, até 2025, 75% das empresas sofrerão um ataque bem-sucedido.

O impacto financeiro pode ser tremendo, acrescentou o executivo. Uma estimativa também do Gartner aponta que os custos globais relacionados aos cibercrimes em 2021 foram de até US$ 6 trilhões.

E se os dados mostram que há uma “pandemia cibernética”, como notou Marcello, os CEOs estão atentos a esse fato, complementou Raymundo. O executivo da Dell observou que a segurança de dados está entre as duas maiores preocupações dos líderes de negócios atualmente, perdendo apenas para a pandemia de covid-19.

Como o CFO pode atuar

Entendidos os riscos, o que o líder de finanças deve ter em mente e como pode atuar em relação a esse tema? Até 2025, segundo previsão da Gartner, 40% das empresas terão um cybersecurity board ligado ao Conselho de Administração, composto por membros internos e externos.

Como estamos investindo? – Com relação às práticas para o CFO, Marcello Zillo sugeriu, primeiro, olhar para o investimento feito em cibersegurança, não apenas em quantidade, mas em qualidade (se não há lacunas ou áreas cinzentas entre as tecnologias utilizadas).

“A pergunta é: estamos protegendo as joias da coroa com o maior potencial que possuímos do ponto de vista de processo e ferramentas?”, complementou Joaquim. Ele ressaltou a importância de averiguar se os locais onde os dados financeiros (e outros críticos para o negócio) estão presentes possuem os níveis de segurança adequados.

Quando a tecnologia foi otimizada? – Joaquim acrescenta que, além de questionar se o orçamento de cibersegurança é suficiente e quais os benchmarks utilizados para sua composição, é necessário trabalhar na sua otimização. Afinal, a complexidade e diversidade de soluções utilizadas podem não só dificultar seu gerenciamento, como ampliar os custos gerados por uma violação de dados.

“As correções significam: ter um ambiente mais seguro, reduzir gastos, e eventualmente liberar orçamento para fazer outros investimentos com segurança da informação”, completou o executivo da Microsoft. Outra questão a avaliar é se vale terceirizar ou não essa área – e em que medida fazê-lo.

Quem é o responsável? – Outro passo é identificar quem responde pela área de segurança dentro da empresa. Segurança não é mais um assunto só de TI; é um assunto de resiliência organizacional – e isso tem que estar refletido na estrutura da empresa, destacou Marcello. “Onde está o responsável? Pode ser uma pessoa de risco, de compliance, mas precisa ter um dono dessa pasta. Inclusive, ele terá que representar isso frente ao board e responder as perguntas que o CFO vai fazer”.

Outra questão importante, para acompanhamento do board, é definir as métricas utilizadas para mensurar o nível de resposta a um eventual ataque, sendo um exemplo o MTTR (Main Time To Recovery).

Precisamos de um seguro? – Outra pergunta importante a ser feita é se a empresa possui seguro contra riscos cibernéticos e se há necessidade de tê-lo, afirmou Marcello. Mas o seguro sozinho não é solução. Práticas higiênicas devem ser parte do dia a dia dos funcionários, como proteger as identidades digitais (ex: autenticação de dois fatores) e garantir os mesmos níveis de segurança para todos os dispositivos utilizados na ponta (end-point), utilizando princípios como o “Zero Trust”.

O tema de segurança das empresas tende a acelerar com a Lei Geral de Proteção de Dados – que obriga o reporte dos incidentes – e deve ser ponto de atenção, inclusive, na avaliação de riscos de operações de fusão e aquisição, notou o executivo da IBM.

Temos um plano de reação? – Sofrer um ataque cibernético, não é mais uma questão de “se”, mas de “quando”, observaram os convidados. A empresa estará preparada para reagir rápido e mitigar os danos?

Raymundo Peixoto enfatizou que ter um plano de reação ao ataque é um assunto de board e deve envolver toda a empresa. “Não é um tema do CISO (Chief Information Security Officer). Não é um tema de tecnologia. Tecnologia é um pedaço de um plano muito mais estruturado de processos e de pessoas para que isso aconteça”, disse o Senior VP da Dell.

É preciso ter todos envolvidos e treinados, completou Joaquim. “Se uma violação de dados acontecer, qual é o seu plano para falar com o cliente? Qual é o plano com a área jurídica? E com a área de comunicação? O que o CEO dirá quando receber a ligação de um jornal?”.  Como ele vai reagir?”, notou. “São perguntas importantes, do ponto de vista de negócio, e o CFO pode ter um papel preponderante de provocar essa discussão”, concluiu.

Clique aqui para assistir ao vídeo da live com esses e muitos outros insights sobre o tema!

Compartilhe:

Deixe um comentário