Estadão - Portal do Estado de S. Paulo

Economia & Negócios

Discute

Estadão

Como a cibersegurança pode ajudar na gestão dos negócios?

0

10 de Maio de 2016 | 00:00
Atualizado 13 de Maio de 2016 | 15:42

Estadão

O ano de 2015 foi marcado pelo chamado “dano colateral”, segundo uma pesquisa global. O estudo apontou que ataques que miram não apenas dados financeiros, mas outras informações que podem afetar a vida das pessoas, como dados pessoais e endereço, estiveram em alta. 

Além dos ataques externos, uma outra pesquisa sobre segurança de informação, feita PwC, apontou que41% das 600 empresas ouvidas pela consultoria informaram que os funcionários atuais são os maiores causadores de incidentes de segurança da informação no Brasil. Tais incidentes vão desde o roubo de propriedade intelectual até o comprometimento de dados de clientes, o que levou 39% das empresas a relatar perdas financeiras após os ataques.

Em meio a esse cenário de riscos, a segurança da informação entrou no radar das empresas e tem se tornado uma das áreas que mais recebe investimentos. O quanto a cibersegurança precisa avançar no mercado brasileiro? Como a segurança da informação pode ser melhor aplicada na gestão de uma empresa? Como ela deve ser discutida com os conselheiros? Especialistas consultados pelo Estado dão sua opinião sobre o assunto. Deixe seu comentário e participe também da discussão.

Cibersegurança e governança corporativa: aliadas indissociáveis
Cibersegurança e governança corporativa: aliadas indissociáveis

Renato Opice Blum

Opice Blum

Os protagonistas da governança corporativa – sejam administradores, diretores ou gerentes, já têm bastante para se preocupar no cotidiano: intempéries e obstáculos diversos acontecessem nos processos de monitoramento, direção e incentivo ao crescimento da empresa.

Com todo “o cuidado e a diligência” - fundamentais no trato dos fluxos internos (Código Civil, artigo 1011), os stakeholders detêm, também, a árdua tarefa de zelar pela conformidade relacionada à legislação brasileira. Inegavelmente, a missão é herculesca, devendo ser considerado todo o complexo de bens materiais e imateriais que compõe o estabelecimento empresarial (Código Civil, artigo 1142).

Notoriamente, percebe-se que a atenção às políticas de uso e segurança de seu ativo físico é algo cuja cultura está naturalmente incorporada pelas empresas. Contudo, a dedicação aos bens imateriais e, mais especificamente, ao conglomerado que compõe o sistema tecnológico de uma empresa, nem sempre é assunto prioritário em termos de governança. Neste contexto, o sistema tecnológico, equivocadamente, é tratado apenas como ferramenta, e não como um bem independente, de valor agregado. 

A constatação é irônica: a lei brasileira - geralmente lenta e ultrapassada, reconhece a relevância dos sistemas, vide as regras contidas na legislação de proteção ao Consumidor (lei 8.078/90) e de uso da Internet (Marco Civil, lei 12.965/2014), entre outras. As normas de certificação se ocupam em tratar robustamente da matéria (séries da ABNT ISO 27000). Por outro lado, hackers em todo mundo igualmente descobriram este valor, sendo cada vez mais comuns as notícias de ataques de denial of service e ransomwares, com exigência de “resgates” consideráveis. 

Então, por que encontramos alguns atores da governança corporativa – de quem se espera a visão estratégica, essencial para a evolução dos negócios, que ainda enxergam as medidas de segurança da informação como meros custos adicionais a serem suportados (e preferencialmente reduzidos)?

Pois bem, a evolução da tecnologia claramente nos indica que hoje, a cibersegurança, além da óbvia característica de proteção contra eventuais danos, ainda impulsiona o sistema à otimização das comunicações, com eficiência na ordenação dos dados e disponibilidade das informações.  

É evidente que não nos referimos aqui à segurança restrita à instalação de firewalls e backups básicos, mas sim àquela global - que inclui cuidados desde a aquisição de hardwares e softwares, contratação de profissionais, gestão de dados, até a destinação final de resíduos tecnológicos. Esta cibersegurança, com providências “de ponta a ponta” não é medida que se encerra em si mesma, mas algo que pode contribuir com a eficiência dos processos empresariais e, ao final, crescimento dos negócios. 

Neste sentido, modernamente entende-se que muito mais do que uma porta com fechaduras e segredos, os sistemas de segurança podem ser uma sala privativa de estar, confortável para clientes e funcional para os colaboradores. Aliás, a forma como a empresa cuida de seus dados, traduz confiabilidade e estabilidade empresarial, com seriedade no cumprimento da lei. 

Vale registrar, portanto, que a ostensividade dos sistemas de segurança, além de ser útil para afugentar algumas classes de hackers, de quebra, pode atrair clientes preocupados com a proteção de seus dados. A segurança que se investe, outrossim, também é a confiança que se vende. 

Internamente, ferramentas de cibersegurança devidamente aplicadas e juridicamente embasadas, garantem a consistência de providências de monitoramento e confidencialidade.

Por fim, a proteção contra ataques e a manutenção de um sistema tecnológico estável e seguro para se trabalhar, representam a continuidade saudável das atividades empresariais, propiciando ambiente adequado “à valorização do trabalho humano e da livre iniciativa”, nos termos preconizados na Constituição Federal (artigo 170).

Renato Opice Blum,

Mestre pela Florida Christian University, advogado e economista; Professor coordenador do curso de Direito Digital do INSPER, presidente do Conselho IT, Compliance e Educação Digital da Fecomercio. 

Blindando os negócios contra ciberameaças
Blindando os negócios contra ciberameaças

Marcelo Lau

FIAP

Empresas enfrentam desafios constantes à proteção dos dados que são mantidos em sistemas computadorizados. Entretanto, os processos de negócio e as pessoas lidam também com informações que, em alguns casos, consistem em estratégias que precisam ser protegidas contra ameaças advindas do mundo cibernético. O  processo de condução saudável de empresas exige que elas sigam um rígido código de conduta, pois além de regras, normas e leis estabelecidas e exigidas por governos e segmentos de mercado, a segurança de informações se tornou parte essencial dos processos de Governança Corporativa.

Em um passado não tão distante, a preocupação maior das empresas era com a adoção e a implementação de controles em segurança que possibilitassem a identificação e a contenção de ameaças somente dentro das fronteiras físicas da organização. Atualmente, os desafios estão além destes limites, consistindo na adoção de medidas de vigilância constante dos sistemas que hoje são essenciais ao processo de negócio, incluindo aplicações móveis (como o WhatsApp, que é a ferramenta de comunicação não corporativa mais utilizada para processos de negócio), assim como redes sociais, como Facebook, LinkedIn, Twitter entre outros. A vigilância aplicada sobre estes sistemas mencionados consiste em identificar o que está sendo publicado para identificar potencial evasão de informações, assim como tentativas de acesso a estes sistemas por pessoas mal-intencionadas, que podem querer – por exemplo - sequestrar o perfil de sua empresa em uma destas redes sociais.

O sequestro de dados é um risco considerável nos dias de hoje. Também conhecido como Ransomware, consiste em cifrar dados de computadores tornando-os inacessíveis à empresa, liberando o acesso mediante o pagamento de determinado valor. Não importa o tamanho da empresa - todas podem vir a ser alvos deste problema. Não podemos considerar que as proteções tecnológicas tradicionais como antivírus sejam suficientes para identificar e detectar estas ameaças em tempo hábil.

O profissional que atuar neste cenário desafiador deverá estar preparado e em constante atualização para fazer frente às ameaças atuais e àquelas que estão para surgir, pois em momentos de situação econômica desfavorável, aumentam os riscos de exposição à potencial perda de integridade e disponibilidade de informações. Entretanto, a atuação deste profissional não deverá ser restrita aos aspectos técnicos da segurança da informação, pois o cenário atual exige que ele também possua conhecimentos de processos críticos da empresa para propor soluções adequadas ao tamanho e à importância dos negócios.

O segredo do sucesso da adoção de uma eficaz proteção às ciberameaças consiste em saber antecipar uma potencial concretização de incidentes em segurança por meio de controles eficazes a um custo acessível às condições atuais das empresas. 

 
Marcelo Lau,

Coordenador dos cursos de MBA em Gestão de Cibersegurança da FIAP. Mestre em Engenharia e Ciência Forense (Poli/USP), pós-graduado em Administração (FGV), engenheiro eletrônico (Escola de Engenharia Mauá). Autor de artigos e palestras relacionados à Segurança na área de TI em diversos canais especializados (e-Forensics Magazine, Infra Magazine). Atuou por mais de 12 anos em bancos brasileiros na área de Segurança da Informação e Prevenção à Fraude. Atualmente é diretor executivo da Data Security no Brasil.

Nuvem: simplicidade não elimina os riscos
Nuvem: simplicidade não elimina os riscos

Sérgio Marques

VERT

Nuvem. Este parece ser um conceito etéreo, sem forma. Uma entidade que não existe, carregada das informações de uma empresa. No entanto, por trás de um conceito aparentemente tão simples, repousa o perigo. Você sabe onde estão armazenadas as informações mais vitais da sua empresa? E quais são os procedimentos de segurança para mantê-las a salvo de invasores? Se você não for da área de TI, é provável que a sua resposta seja “não”.

Digo mais: como um integrante do conselho de administração de uma grande empresa, há a chance de você dar de ombros e pensar “não é uma preocupação minha”. Porém, este é um pensamento errado.

Além de dados de pagamento e fichas cadastrais dos clientes, as empresas também estão levando informações e planos estratégicos “para a nuvem”, que é muito mais terrena do que parece.  Quando falamos de “nuvem”, estamos nos referindo a um modelo de armazenamento de informações em locais físicos, espalhados em diversos servidores – que podem estar dentro de um ou mais Data Centers. Este espaço pode ser da própria empresa ou, como é muito comum, alocado como serviço em empresas espalhadas por todo o mundo.

Como um local físico, alguém pode pessoalmente entrar no Data Center e acessar aqueles dados, caso não haja um controle rígido de acesso, por exemplo. Já um invasor externo, um hacker, pode superar, via internet, a segurança deficiente ou desatualizada de um Data Center.

Nos dois casos, o intruso poderá visualizar informações sensíveis, como e-mails importantíssimos, análise de concorrentes ou, por exemplo, os detalhes de uma fusão ou aquisição – fatos que possuem impacto direto na gestão de uma empresa. Imagine se, por exemplo, a fusão entre Antarctica e Brahma tivesse sido vazada por hackers antes do anúncio para a CVM?

Bom, não precisamos ficar no campo das ideias para trazer outro exemplo. Em novembro de 2014 a Sony Pictures Entertainment foi alvo do ataque de hackers, que invadiram os computadores e servidores da empresa para vazar dados sensíveis para o mercado, incluindo até detalhes da operação brasileira. As informações tornadas públicas acabaram custando o cargo de Amy Pascal, vice-presidente da Sony Pictures, entre outras repercussões. No balanço da empresa, US$ 15 milhões foram reservados para os custos relacionais ao vazamento.

Porém, de nada adianta todo o cuidado contra invasões externas se não há também uma rígida governança interna na sua própria empresa, especificando qual cargo ou funcionário tem acesso a cada trecho das informações armazenadas na nuvem. Outro exemplo prático: o de um funcionário que visualiza, sem querer, uma pasta que não deveria ter acesso, descobrindo um plano de reestruturação que compreende demissões ou o fechamento de unidades. Mais uma vez, haverá impacto direto na gestão do negócio.

Por isso, na próxima vez que ouvir que os dados da empresa “estão na nuvem”, questione o departamento de TI. Onde está este servidor? Quem tem acesso a ele em seu local físico e entre os funcionários de sua própria empresa? Foram tomadas todas as precauções necessárias para evitar uma invasão?

O futuro de quaisquer companhias, como um todo, depende disso. 

Sérgio Marques,

Sérgio Marques é cofundador e presidente da VERT, empresa de soluções de Tecnologia da Informação e Comunicação (TIC) especializada no fornecimento e integração de tecnologias distintas, envolvendo os maiores fabricantes do mundo. Com profundo conhecimento técnico e experiência em clientes nos quais o ambiente de TI é missão crítica para os negócios, possui um portfólio de produtos e serviços organizado em quatro unidades: Infraestrutura de Tecnologia da Informação, Infraestrutura da Comunicação, Aplicativos de Negócios e Serviços Especializados.

Como falar ao conselho
Como falar ao conselho

Paulo Pagliusi

Deloitte

A perpetuidade do negócio deve ser o grande objetivo de seus administradores, e a Segurança da Informação (SI) tornou-se tema crucial para a sobrevivência das instituições. Hoje é bastante evidente que toda empresa fica vulnerável ao lidar com dados digitais, pois há sempre alguém querendo entrar em seus sistemas. É inegável também que Cibersegurança – a preservação da SI no ciberespaço – não abrange apenas tecnologia nem vale somente dinheiro; também custa às corporações tempo, conveniência, capacitação, liberdades, e assim por diante.

Assim sendo, esse tema não deve mais ser conduzido apenas no âmbito da Tecnologia da Informação, mas por meio de uma governança corporativa consciente e responsável. Tal consciência deve começar de cima, e o Conselho de Administração – como representante dos acionistas – deve fazer com que a empresa assuma papel efetivo no combate a ataques cibernéticos, violações e vazamentos de dados. Ela deve aproveitar oportunidades de melhoria na defesa e cumprir com suas obrigações perante seus representados, clientes, fornecedores, colaboradores e comunidades.

A ameaça cibernética é uma realidade no mercado e coloca em risco o que as instituições têm de mais valioso: a informação. A conhecida onda de violações de dados e ataques cibernéticos ao longo dos últimos anos levou muitos Conselhos a começar a fazer perguntas incisivas sobre as práticas de segurança da informação em suas empresas. Eles desejam conhecer as chances da empresa experimentar uma danosa violação na sua segurança, e o que está sendo feito para impedir isso.

A fim de que o Conselho possa enfrentar de modo eficiente e eficaz tais riscos cibernéticos, não basta simplesmente seguir o que dizem os legisladores ou os códigos de melhores práticas de governança corporativa. Diante de um mundo cibernético cada vez mais volátil, incerto, complexo e ambíguo, é preciso ir além. Se o ciberespaço externo mudou, ao invés de apenas confrontar esta realidade, os tomadores de decisão nas empresas precisam aproveitar o momento para realizar internamente as reformas que irão contribuir para um posicionamento mais sustentável no longo prazo.

Diante desse cenário, os CIOs e CISOs são cada vez mais chamados a responder a perguntas nas reuniões do Conselho. Para que o Conselho se sensibilize quanto a seu papel fundamental neste combate, é vital que tais executivos saibam se comunicar com clareza, foco, discernimento e objetividade quando chamados a falar, incentivando deste modo a necessária inclusão das questões de Cibersegurança no topo da agenda corporativa. Há três mensagens essenciais que os executivos precisam transmitir ao Conselho:

1. Criar uma lista sucinta dos quatro a seis principais riscos cibernéticos que a empresa enfrenta, com indicadores de risco sinalizando o nível de exposição a eles.

2. Identificar se os principais indicadores de risco estão tendendo para cima, para baixo ou permanecendo estáveis trimestre a trimestre.

3. Explicar como a empresa está gerindo riscos de segurança e mantendo-os dentro de limites aceitáveis.

Falar ao Conselho sobre Cibersegurança torna-se complicado pelo fato de que, em uma típica reunião de dois dias dos membros, costuma-se dedicar apenas 15 minutos a esse tópico. Por isto, é essencial aos CIOs e CISOs apresentar os poucos indicadores de risco mais importantes para os Conselheiros assimilarem, e dar-lhes tempo para suas perguntas.

Por derradeiro, convém lembrar que ninguém se beneficia por apresentar uma mensagem tendenciosa ao Conselho, positiva ou negativamente. É importante o Conselho obter uma visão equilibrada da segurança e postura de risco da empresa. Seus membros precisam entender, de modo tão transparente quanto possível, quais os principais riscos cibernéticos e o que a empresa está fazendo a respeito deles, para que possam fazer as perguntas certas para conduzir o processo.

 

Paulo Pagliusi,

Diretor da consultoria em Cyber Risk Services da Deloitte. É considerado um dos Consultores mais renomados do País, com experiência de mais de 20 anos atuando em gestão estratégica de Riscos Cibernéticos. Ph.D. in Information Security, pela Royal Holloway, University of London, com Mestrado em Ciência da Computação pela UNICAMP e extensão em Análise de Sistemas pela PUC-Rio. Presidente da Cloud Security Aliance (CSA) – Brazil Chapter e Vice-Presidente do ISACA Rio Chapter, onde obteve certificação CISM. Possui experiência acadêmica como professor de graduação e pós-graduação, em instituições como IBMEC, PUC-Rio e Universidade Damásio.

Outros Temas

Inspiração estrangeira ajuda no combate à corrupção no Brasil?

Inspiração estrangeira ajuda no combate à corrupção no Brasil?

Por que o 'desinvestimento' se tornou uma estratégia importante para as empresas?

Por que o 'desinvestimento' se tornou uma estratégia importante para as empresas?

Como as startups podem se tornar uma ferramenta de inovação para grandes empresas?

Novo Código Comercial: progresso ou retrocesso?

Novo Código Comercial: progresso ou retrocesso?

O Estadão deixou de dar suporte ao Internet Explorer 9 ou anterior. Clique aqui e saiba mais.