Uncategorized

Ameaças cibernéticas e a segurança do conselho

Os membros do conselho e os principais executivos das empresas são responsáveis por assegurar o valor de sua marca — e hoje esse valor está associado à segurança, isto é, à segurança cibernética.

Porém, menos de um quarto dos membros do conselho “confiam muito” na capacidade de a gerência atuar em relação às ameaças à segurança cibernética, conforme demonstrado por um relatório especial intitulado “Managing Cyber Risk: Are Companies Safeguarding their Assets?”, publicado pela revista Governance Security da NYSE. Este não é um assunto recorrente nas salas de reunião, dizem os especialistas, mas deveria ser.

Não que os riscos não sejam conhecidos: O custo do crime cibernético à economia global chegou a USD 455 bilhões por ano em 2014 e segue em ritmo de crescimento, conforme um estudo realizado pela MacAfee, “Net Losses: Estimating the Global Cost of Cybercrime”. No entanto, o verdadeiro custo de uma segurança cibernética falha vai além das perdas financeiras diretas: em 189 empresas que passaram por um ataque cibernético, 79% dos executivos relataram uma queda de reputação externa, 78% relataram uma queda na produção e 75% relataram a perda de confiança dos funcionários, conforme pesquisa realizada em 2015 pela Deloitte/Symantec, “Winning the Cyberwar: Enabling UK Business Now and in the Future”.

“Todas as organizações, comerciais ou não, têm informações que são valiosas para uma entidade externa, seja um concorrente, seja uma organização criminosa. E onde há valor, há um incentivo para os hackers obterem suas informações. Você precisa admitir que está sob ataque constante”, disse Ayal Vogel, presidente da AMID Strategies, consultoria de segurança cibernética e física. “Ainda assim, quando a segurança cibernética é discutida no conselho, normalmente a preocupação é sobre a proteção das informações do cliente, não sobre comunicações internas e propriedade intelectual.”

A desconexão

De acordo com o relatório especial da NYSE, cerca de 48% dos membros do conselho “se preocupam com o fato de não saberem o suficiente para fazer as perguntas certas.

Em geral, a publicidade se concentra nas notícias, que frequentemente envolvem histórias de roubo de cartão de crédito, fotos de celebridades expostas ou vazamentos políticos. Os casos mais comuns são os de roubo de dados de produtos e outro tipo de propriedade intelectual, dados de funcionário e de mercado.

“A tecnologia está mudando cada vez mais rápido e as empresas estão lutando para acompanhar o ritmo”, diz o relatório da NYSE. “Os diretores corporativos podem sentir que a proteção contra 100% das ameaças cibernéticas é impossível.”

Mas, segundo a NYSE, o e-mail cria riscos à segurança: não há controle sobre o conteúdo de um e-mail enviado. Mensagens podem ser encaminhadas para a pessoa errada. Os anexos podem ser duplicados. Os usuários não têm controle sobre os servidores onde o e-mail é armazenado ou pelos quais ele passa.

Além disso, os gerentes de TI a cargo da segurança cibernética da empresa frequentemente relutam em compartilhar preocupações sobre a segurança de dados corporativos com o conselho. O relatório Deloitte/Symantec mostra que, em 70% das empresas pesquisadas, os tomadores de decisão de TI não se sentem confortáveis com o plano de segurança de dados da empresa.

No entanto, os funcionários a cargo da segurança de dados podem não se sentir confortáveis monitorando a adesão dos membros do conselho às diretrizes da empresa. Dois terços disseram à NYSE que sua equipe de TI sênior se reporta apenas “ocasionalmente” ao conselho. É por isso que apenas um quarto dos diretores “confiam muito” na capacidade de lidar com um ataque cibernético.

Como proteger as informações do conselho

Os dados do conselho devem ser idealmente armazenados em local conhecido, separado dos outros dados da empresa. Um portal para conselhos hospedado pode oferecer uma solução melhor do que um armazenamento em nuvem comercial. O compartilhamento de documentos em um portal para conselhos hospedado, que só pode ser acessado por usuários autorizados pelo administrador do sistema, que atribui diferentes direitos e funções (p.ex., somente leitura, editar, compartilhar), pode limitar o risco de perder o controle de anexos enviados por e-mail. Usar um portal para conselhos com um esquema rígido de autorização significa que o administrador não perderá o controle dos documentos, mesmo que uma senha de acesso de usuário tenha sido roubada. Nesse caso, o administrador do sistema pode apenas negar o acesso a esse usuário.

O administrador também pode bloquear o acesso ao portal ou a documentos específicos em uma base ad hoc, por exemplo, quando um executivo estiver viajando para o exterior e o administrador tiver motivos para acreditar que a conexão da rede com o portal, daquele local, pode estar comprometida. A equipe responsável pelo portal para conselhos pode interromper o acesso do executivo ao portal durante a estadia dele naquela área de risco.

“Os métodos testados e aprovados de compartilhamento de documentos confidenciais pode colocar seus dados em risco”, explica Vogel, da AMID Strategies. “Mesmo organizações de pequeno e médio porte precisam repensar a forma como armazenam dados e como os dados são compartilhados interna e externamente. O conselho precisa dar o exemplo.”

BLOGS EM DESTAQUE