Gestão de Risco

SEGURANÇA CIBERNÉTICA - RELATO SOBRE PROTEÇÃO DE DADOS DIGITAIS TORNA-SE CRUCIAL PARA AS EMPRESAS por Daniela Rocha

O mundo é plano. Os avanços da tecnologia da informação modificaram a dinâmica empresarial. Por outro lado, qualquer companhia que mantém interfaces virtuais de negócios como e-commerce, armazena cotidianamente dados estratégicos e de seus clientes ou, ainda, tem a tecnologia como aliada em seus processos, está sujeita a possíveis ataques de hackers, contaminação por vírus, vazamentos ou roubo informações, entre outros.

Em 2014, dentre as 30 maiores companhias listadas na BM&FBovespa, apenas 14 informaram nos seus relatórios anuais os investimentos específicos na gestão de riscos cibernéticos. Embora ainda seja um universo pequeno, houve uma evolução significativa de 13% sobre o ano anterior. O levantamento foi realizado pelo escritório PPP Advogados e apresentado durante evento promovido pela Revista RI em parceria com a Diligent Boardbooks, empresa que oferece soluções de segurança na informação para Conselhos de Administração.

“O patrimônio das companhias está cada vez mais vinculado aos dados digitais. Então, é preciso demonstrar aos acionistas e demais stakeholders o quanto está se investindo para protegê-lo”, ressalta Patricia Peck Pinheiro, advogada especialista em Direito Digital e Segurança Cibernética do escritório PPP Advogados.

Segundo ela, há uma tendência no Brasil e em diversos outros países, especialmente nos desenvolvidos, de se entender que os investimentos em segurança digital representam proteção da reputação da companhia e de seus ativos intangíveis, assim como, dos financeiros. “Cada vez mais, não indicar nos relatórios os investimentos em segurança da informação fará com que os acionistas interpretem que não há preocupação consistente com essa questão, o que impactará negativamente na credibilidade das empresas”, acrescenta Patricia.

Sandra Guerra, presidente do Conselho de Administração do Instituto Brasileiro de Governança Corporativa (IBGC) avalia que mais do que mostrar uma “foto” no tradicional relatório anual, o espaço mais apropriado para abordar a política e os investimentos em gestão de riscos cibernéticos é o relatório integrado, que reúne finanças, sustentabilidade e governança. “Esse relatório funciona como um “filme”, uma história de criação de valor da companhia. Neste caso, logicamente, a intenção não é desvendar as iniciativas de proteção cibernética, porque são estratégias de segurança. Porém, deve-se comunicar que há monitoramento de riscos, alocação adequada de recursos e treinamentos contínuos”, afirma Sandra.

Paulo Conte Vasconcelos, sócio diretor da ProxyCon, empresa de assessoria em Governança Corporativa, defende que as áreas de Relações com Investidores se envolvam com a questão da segurança dos dados das empresas. “É necessário que se capacitem e divulguem o tema”, acrescenta. A demanda dos investidores e dos consumidores a respeito dos cuidados das empresas com informações é crescente.

Top Down
A advogada Patricia Peck diz que a segurança da informação depende do compromisso do alto escalão na condução e patrocínio de medidas que visam mitigar riscos e reduzir incidentes. Tal necessidade de uma postura proativa é cobrada pela SEC (Securities and Exchange Commission), órgão regulador do mercado de capitais americano, e segue como tendência global. Desta forma, quanto mais elevados os cargos dos gestores, mais intensos devem ser os seus treinamentos para que consigam orientar os colaboradores. Além disso, estima-se que 20% dos altos executivos detêm 80% das informações confidenciais de uma companhia. Por isso, também precisam estar “blindados”.

Quanto aos conselheiros de administração, o papel é supervisionar todo gerenciamento de riscos operacionais, no entanto, nem sempre eles estão capacitados para enxergar a dimensão das potenciais ameaças digitais, avalia a especialista.

De acordo com Jeffry Powell, vice-presidente executivo da Diligent Boardbooks, nos Estados Unidos, 48% dos conselheiros não sabem exatamente como a área de TI trata os riscos. “Os membros do conselho de administração devem verificar continuamente se a empresa está protegida de ameaças graves. Se a empresa sofrer algum tipo de ataque que abale a sua reputação e o andamento dos negócios porque não teve salvaguarda implementada, eles podem ser responsabilizados”, alerta Powell. Trata-se da responsabilidade fiduciária. Aqui no Brasil, as punições são pesadas – multas e de um a cinco anos de reclusão, caso não exerçam adequadamente as funções permitindo que a companhia tenha sérios problemas (veja quadro sobre as responsabilidades dos administradores e punições cabíveis).

A presidente do IBGC, Sandra Guerra, diz que o grau de conscientização do conselho de administração em relação à segurança cibernética é maior em companhias que estão mais expostas pelas atividades que exercem como as do setor financeiro. O IBGC tem liderado um debate sobre os riscos vinculados aos dados digitais e a responsabilidade dos administradores, envolvendo 14 entidades ligadas ao mercado de capitais e governança. O instituto tem incorporado o tema no treinamento de gestores e conselheiros e, no ano que vem, lançará manuais atualizados de gerenciamento de riscos, incluindo os cibernéticos. Sandra ressalta que a gestão desses riscos não está restrita à área e ao conhecimento tecnológico, mas envolve um entendimento do modelo de negócio da empresa para detecção das vulnerabilidades e implementação de medidas adequadas para evitar ataques.

Reputação em baixa e prejuízos financeiros
Nos últimos anos, uma enorme quantidade de invasões revelou informações estratégicas e pessoais e causou severos prejuízos para várias empresas globalmente. “Nos Estados Unidos, 43% das companhias sofreram algum tipo de violação de dados no ano passado. A Sony Pictures foi uma delas”, destaca, Jeff Powell, VP da Diligent Boardbooks.

Em fevereiro deste ano, a co-chairman da Sony Pictures Entertainment, Amy Pascal, pediu demissão, poucos meses depois que a empresa foi vítima de um ataque. No entanto, Amy acabou sendo contratada por uma produtora do grupo. Em novembro de 2014, hackers vazaram informações como salários de atores e atrizes, e-mails entre a diretoria e até filmes inéditos. A companhia vivenciou uma situação complicada relacionada ao filme “A Entrevista”, que satiriza o líder o norte-coreano Kim Jong-un. Autointitulado de Guardians of Peace (Guardiões da Paz) o grupo criminoso fazia menção ao ataque terrorista de 11 de setembro e pedia para que as pessoas não assistissem ao filme. Por conta das ameaças, a pré-estréia em Nova York teve que ser cancelada. A Coreia do Norte negou o ataque cibernético neste caso.

Em setembro do ano passado, a varejista americana Home Depot, de produtos para o lar, foi vítima de ataque hacker e dados de 56 milhões de cartões de créditos de seus consumidores foram expostos. O número superou até mesmo a investida criminosa nos sistemas da varejista Target em 2013, quando dados de 40 milhões de cartões de clientes foram vazados. Na Target, o prejuízo foi de pelo menos US$ 150 milhões.

Entre os dias 18 e 20 de agosto deste ano, hackers divulgaram dois pacotes com informações dos usuários do “site de traição” Ashley Madison, que promove encontros de pessoas para casos extraconjugais. O primeiro com quase 10 GB, incluía e-mails, transações de cartões de crédito e até perfis completos de mais de 37 milhões de usuários de todo o mundo. Já o segundo, com 13 GB, continha arquivos e mensagens internas da empresa. O CEO do site, Noel Bierdman, se demitiu em meio ao escândalo. O vazamento de dados do primeiro pacote gerou situações embaraçosas e até catastróficas. No Canadá há investigações a respeito de supostos suicídios de dois usuários. “A empresa apresentava bom desempenho e até iria realizar um IPO em Londres este ano, mas foi prejudicada”, comenta Paulo Conte Vasconcelos, da ProxyCon.

Segundo Vasconcelos, os criminosos se atualizam constantemente e alteram suas técnicas. A Kaspersky, empresa de segurança digital, identificou em 2013, a existência 200 mil novos malwares diariamente, isto é, programas que causam danos ou roubo de informações.

Um primeiro ataque aos usuários brasileiros de WhatsApp foi verificado pela Kaspersky no mês passado. Os criminosos estavam enviando links maliciosos de phishing (isca) que prometiam descontos de R$ 500 nas redes de supermercados do Extra e Carrefour. Este golpe é similar aos modelos aos aplicados aos usuários de WhatsApp fora do País, com o oferecimento de cupons de descontos na cafeteria Starbucks ou nas varejistas Zara e H&M.

A Verizon, uma das maiores empresas de telecomunicações do mundo, aponta que 62% dos ataques cibernéticos levam, em média, dois meses para serem detectados. Porém, 75% dos hackers são exitosos e levam cerca de 15 minutos para penetrarem nas empresas. Calcula-se que apenas na China, há uma base de 180 mil espiões cibernéticos. Por isso, os investimentos em software de segurança são crescentes mundialmente. A Gartner, empresa americana de pesquisa e consultoria tecnológica, estima que alcançará US$ 94 bilhões em 2017. Em 2012, foram US$ 20 bilhões.

Responsabilidade dos administradores

Lei das S/A (6.385/76), a SOX (EUA) e outras Leis impõe aos administradores e membros do conselho:

- dever de ética (Lei 12.846/2013)

- dever de diligência (art. 153)

- dever de zelar pelos fins sociais e interesses da Companhia (art. 154)

- dever de lealdade (art. 155 e Lei 9.279/96, art. 195, XI e XII)

- dever de sigilo – seja próprio por subordinados ou terceirizados (art. 155, § 2º e Instrução CVM 358, Lei 8.666/90, art. 90)

- dever de informar (art. 157)

Art. 1016 do CC - Responsabilidade solidária dos administradores

- os administradores respondem solidariamente perante a sociedade e os terceiros prejudicados, por culpa no desempenho de suas funções.

Responsabilidade (Lei nº 6.385/76, arts. 11 e 27-D)

- crime de revelação e/ou utilização de informação relevante ainda não divulgada, por qualquer pessoa que a ela tenha tido acesso, com a finalidade de auferir vantagem, para si ou para outrem, no mercado de valores mobiliários.

- pena para o Executivo ou Conselheiro: reclusão de 1 (um) a 5 (cinco) anos e multa, de até 3 (três) vezes o montante do dano financeiro causado.

- pena para Companhia: punição administrativa pela CVM.