A aceleração dos processos de transformação digital do pós-pandemia associados ao aumento dos preços de resgates por ataques de ransomware e novas regulamentações (SEC, CISA/CIRCIA, BACEN/4.893 e CVM/135) provocam uma imediata demanda por mais conhecimento no âmbito de tomada da decisão corporativa
Segundo a pesquisa do Gartner Group, cerca de 40% dos conselhos terão um comitê dedicado a riscos cibernéticos em 2025. Os dados são expressivos se comparados aos 10% de 2020. Outro ponto importante é que o aumento dos resgates contra-ataques por ransomware e as cadeias de valor atingirão 63% das empresas contra 45% em 2019. Isso significa que o patamar aceitável de prejuízos financeiros ultrapassou qualquer modelo de provisionamento inicial disparando o alarme dos conselhos para o aprofundamento sobre a dimensão e os impactos dessas ações.
Os dados do estudo ainda mostram que cerca de 83% das empresas sofreram incidentes cibernéticos, em 2021, a um custo médio de U$ 4.35 milhões de dólares, o mais elevado dos últimos 17 anos. Em 2021, o FBI recebeu mais de 800 mil comunicações de ataques que geraram uma perda estimada de U$ 6.9 bilhões. O total acumulado nos quatro anos anteriores foi de 480 mil casos.
Estas questões estão muito aderentes aos requisitos da Resolução da CVM Nº135, de 10 de junho deste ano, em especial nas Seções V e VI, envolvendo os procedimentos de identificação das aplicações críticas aos negócios das organizações financeiras até a clara comunicação ao mercado do impacto dos incidentes e invasões.
Também nos EUA, a SEC (Securities and Exchange Commission) através do decreto de 9 de março deste ano impõe à todas as empresas de capital aberto medidas mais rígidas de implementação de controles e procedimentos de comunicação ao mercado sobre qualquer tipo de incidente cibernético que tenha ocorrido e que possa a vir, de alguma forma, a afetar a operação normal da organização.
Especificamente, segundo o decreto: “Hoje, a segurança cibernética é um risco emergente com o qual as empresas públicas devem lidar cada vez mais. Os investidores querem saber mais sobre como estão gerenciando esses riscos crescentes. Muitas destas empresas já fornecem divulgação de segurança cibernética aos investidores. Entendemos que as demais empresas e investidores se beneficiariam se essas informações fossem exigidas de maneira consistente, comparável e útil para a tomada de decisão. Temos o prazer de apoiar esta proposta porque, se adotada, irá fortalecer a capacidade dos investidores de avaliar as práticas de segurança cibernética e relatórios de incidentes das empresas públicas”.
As empresas terão de descrever no documento chamado 10-K as seguintes políticas de gestão de riscos:
- descrição das diretrizes principais dos seus programas de segurança cibernética;
- de que forma terceiros (consultores e fornecedores) interagem com a rede de dados e têm acessos às informações;
- quais são as medidas de prevenção de incidentes, detecção e mitigação;
- plano de continuidade dos negócios e recuperação de desastres (ataques) na situação de invasões bem-sucedidas;
- como o risco cibernético pode impactar a operação dos negócios do ponto de vista financeiro;
- estratégias das linhas de negócios e planejamento alinhadas com os programas de segurança cibernética;
- quais são as práticas de governança corporativas e nível de conhecimento do tema pelo conselho de administração e/ou comitês de assessoramento; e
- informar incidentes reconhecidos (invasões e/ou roubo de dados) em até quatro dias úteis.
São várias as medidas para poder responder à todas estas requisições e evitar multas e demais penalidades, além de exposição negativa da marca à imprensa e ao mercado. Abaixo as quatro principais:
- revisitar todas as políticas, práticas e efetividade dos programas de segurança cibernética da organização;
- revisitar a estrutura de governança com a qual o conselho recebe e toma decisões sobre o tema;
- aumentar o nível de conhecimento dos níveis executivos sobre o impacto do risco cibernético;
- minimizar ao máximo a exposição de riscos a SEC e o mercado.
Além da SEC, outro órgão regulador a CISA (Critical Infrastruture Security Agency) assinou um decreto também em Marco tornando lei a criação da CIRCIA (Cyber Incident Reporting for Critical Infrastruture Act) para os 16 setores econômicos considerados críticos, incluindo o mercado financeiro. Neste, as organizações são obrigadas a comunicar:
– em até 72 horas qualquer tipo de incidente cibernético; e
– em até 24 horas situações envolvendo pagamento de resgates por ataques de ransomware.
As penalidades podem ser:
– a CISA pode emitir um mandado para requerer as divulgações dos incidentes ao público; e
– falhas neste cumprimento podem resultar em ações judiciais do DOJ (Departament of Justice).
São incontáveis as situações em que o CISO (Chief Information Security Officer) apresenta ao conselho de forma detalhada as exposições para a aquisição de tecnologias de segurança usando linguagem e material eminentemente técnico e, mesmo tendo toda a argumentação justificada, são simplesmente recusadas. Existe uma clara questão de uniformidade na linguagem de comunicação comum onde os vários interlocutores simplesmente não associam os benéficos aos custos.
Entre as múltiplas tecnologias de segurança disponíveis no mercado, sempre surge o tema de como o conselho pode tomar as decisões baseado nos níveis de riscos aceitáveis, decidir sobre os residuais e ter um processo estruturado baseado em números (valores financeiros) de toda a complexidade do ambiente digital. Neste contexto, surgiu a metodologia FAIR (Factor Analysis of Information Risk), desenvolvida por um ex-CISO, Jack Jones, tinha a missão de enfrentar as mesmas perguntas sobre o ROI (Retorn of Investment) dos projetos e respectivos custos para o conselho da entidade financeira que atuava.
A disseminação mundial da FAIR é uma das possibilidades mais viáveis para criar esta comunicação efetiva e subsequente processo de tomada de decisão sobre o apetite para riscos e toda temática exposta acima entre as áreas técnicas (CISO e CIO) os comitês de riscos e auditoria até chegar ao conselho dentro de um processo moderno e crescente para a gestão efetiva dos riscos cibernéticos numa economia em frenético processo de transformação digital das organizações.
Artigo escrito por Leonardo Scudere, que é general manager Latin America na vArmour
