Edgar Pacheco D’Andrea — Sócio da PwC e líder das práticas de Cyber, Privacidade e Governança, risco e compliance de TI
Com o mundo cada vez mais conectado, as empresas terão de repensar sobre as novas ameaças as quais estão submetidas, bem como suas vulnerabilidades. ransomware (vírus que sequestra dados), ataques de hackers, vazamento de informações, espionagem industrial são alguns dos chamados riscos cibernéticos (cyber risks) que já se tornaram assuntos recorrentes no noticiário nacional e internacional.
Foi para preparar os conselheiros diante deste cenário que, no dia 06/11/2017, foi realizado o 69º Encontro dos Conselheiros Certificados IBGC, em São Paulo. Para entendermos melhor o assunto, o Instante IBGC conversou com Edgar Pacheco D’Andrea, sócio da PwC e líder para as questões de cyber, privacidade e governança de TI, que foi o palestrante do evento.
Por que os chamados cyber riskstêm ganho mais atenção do mundo?
Os cyber risks passaram a ter mais visibilidade conforme o mundo foi se tornando mais tecnológico e mais conectado a um ecossistema. Antes, as empresas que não eram do ramo financeiro tinham alguma exposição via web. Então os procedimentos de proteção aos servidores eram básicos e resolviam a maioria dos problemas. Hoje em dia, qual empresa não tem celular para os seus executivos ou para sua força de venda? Quais empresas não permitem a conexão de seus funcionários ou seus terceirizados a arquivos importantes via internet? Ou mesmo, têm os servidores associados aos robôs nas fábricas de automóveis ou aos robôs de venda das empresas de varejo? Temos acompanhado muitos ataques aos servidores que controlam a temperatura dos fornos de siderúrgicas, ou que controlam aparelhos de tomografia. Hoje, não apenas a Tecnologia da Informação e Comunicação (TIC) que está conectada, mas a chamada Tecnologia da Operação também. Todas as empresas estão mais expostas a esses riscos. E é importante que todos os executivos e conselheiros prestem atenção: agora, a questão da privacidade de dados já não é mais um problema de tecnologia, mas de toda a organização.
Quais são as principais fontes desses ataques?
Existem três motivações principais de ataques. A primeira é a disputa entre nações, como vimos entre a Rússia e os Estados Unidos (EUA) na eleição do presidente Donald Trump. Às vezes, esse ataque entre países pode atingir uma empresa, como foi o caso do ataque da Coreia do Norte aos EUA e Japão, que foi feito por meio da Sony, motivada por um filme satírico sobre o ditador Kim Jong-un. Esse modo de disputa entre países é algo moderno, de certa forma, lembra uma “Guerra Fria cibernética”. Outra fonte de ataques são os ativistas, como os Anonymus. Eles têm como propósito levantar uma bandeira, defender uma causa, e para isso, atacam uma organização. E isso não acontece apenas com organizações com problemas ambientais, trabalhistas e envolvidas em corrupção. Acompanhamos um caso em que uma empresa de planos de saúde foi atacada, pois não estava autorizando a cirurgia de uma criança. O crime organizado já é outra classe. Tradicionalmente, os bancos e empresas de cartão de crédito sempre tiveram algum problema com cópias de cartões, roubo de dados etc. Nesse setor, é possível converter mais rapidamente uma senha em dinheiro. Hoje em dia, também observamos roubo de conhecimento e informações de empresas dos mais variados ramos, dados como cadastro de clientes, fórmulas de fabricação, protocolos de venda. E o crime organizado usa isso para chantagear ou vender os dados para um concorrente. Muitas vezes, a fraude é cometida por pessoas que estão dentro da organização, ou seja, um funcionário que, por algum motivo, resolve praticar uma fraude para obter um ganho pessoal. Pode ser alguém que tenha acesso aos pagamentos, à prestação de contas e despesas, ou que tenha acesso aos fornecedores ou poder de negociação. O número referente a esses tipos de caso vem aumentando significativamente. Se essa pessoa está ligada ao crime organizado ou está atuando individualmente, é sempre preciso analisar e investigar mais profundamente.
Que tipo de ação podem ser feitas para mitigar esses riscos?
A primeira coisa a ser feita é superar a percepção errada de que os ataques cibernéticos estão voltados para bancos e cartões de crédito. Algumas empresas ainda não acordaram para esse problema. Para essas organizações, eu sugiro que repensem essa percepção. Qualquer empresa pode, sim, ser um alvo de ataques a qualquer momento, basta estar conectada. Quem poderia imaginar que alguém iria fazer um ataque ao hospital do câncer de Barretos? Ou a um berçário? Mas esses ataques aconteceram. O alvo não era o berçário, mas foi programado um ataque geral que também acertou o berçário. Todas as companhias estão conectadas no mundo, por mais que seja uma empresa low profile. Agora, para aquelas que já acordaram para esse risco e que estão querendo caminhar, eu sugiro que não trate isso apenas como uma questão de TI. Segundo, elas devem analisar qual o perfil de risco da empresa: da estrutura, do operacional e mesmo dos próprios executivos. Você pode sofrer um ataque por ter com um conselheiro de administração com exposição política. Terceiro, essas empresas devem se perguntar o que querem proteger. Não faz sentido pensar numa proteção total, que seria tecnicamente impossível e engessaria demais as operações. É preciso criar um programa, não uma ação ou um plano. É importante ter pessoas internas e uma auditoria interna capacitadas e, se possível, ter auditores externos para analisar todo esse processo. E isso não é uma tarefa fácil.
Quais perguntas um conselheiro de administração precisa fazer para saber se a empresa está atenta a esses riscos?
Essa é a pergunta do milhão. A primeira questão importante para o conselheiro é saber qual é a área que cuida dos cyber risks. Que tipo de estrutura organizacional essa área tem? Qual a visão dos responsáveis sobre esses riscos? Achar que é um problema apenas de TI, é uma visão ultrapassada. O conselheiro precisa ficar atento. Essa área ou organização precisa ter um olhar amplo dos riscos cibernéticos, dos investimentos para mitigá-los e que possa tratar essa questão como um programa de proteção. A segunda questão que o conselho deve fazer é um debate mais aprofundado sobre quais os riscos internos e externos. As empresas mais maduras conseguem, com base nesse mapeamento, trabalhar com uma lógica de prevenção. A terceira questão para o conselheiro é em que medida os possíveis processos de inovação e transformação digital das empresas contemplam uma análise criteriosa dos riscos cibernéticos.
Como fazer com que esse tema esteja na pauta do conselho?
É um tema atual muito importante para os conselheiros. Eles precisam dar atenção para isso, garantir que esse debate esteja na pauta regularmente. Uma maneira é ter algupem que fale sobre o programa de segurança cibernética, como estão os avanços, se teve alguma invasão com questões relevantes. A nossa percepção é que os reguladores estão cada vez mais rígidos e exigentes com esse tema. Debater essas questões o quanto antes é também se adiantar a essa preocupação dos reguladores. Tem uma questão que os conselheiros precisam levar em conta com o debate sobre cyber risk. Como é um assunto que tem um viés técnico profundo, dá a impressão que eles não podem contribuir. Mas nem tudo é técnico. Tem uma questão que é organizacional, e envolve pessoas e processos. Todos os programas de prevenção a riscos cibernéticos passam por tecnologia, pessoas e processos. Ainda que não dominem a questão técnica, quando se analisa pelo enfoque de pessoas e processos, os conselheiros podem navegar um pouco mais confortáveis nessa questão e contribuir com a expertiseque eles já possuem.
(Pedro Malavolta)
Publicado originalmente em 01/11/2017 no Instante IBGC, newsletter exclusiva para associados do instituto
