Em junho último participei do Fórum Anual para Conselheiros do IFC (International Finance Corporation / Banco Mundial), e lá tive a oportunidade de aprender e me atualizar em diversos temas que têm crescente impacto no dia-a-dia das empresas, além de serem de extrema relevância para análise e discussão nos respectivos Conselhos. Entre esses temas e palestras realizadas, uma das que considerei mais interessante e oportuna – pelo tema, riqueza de dados e forma de abordagem – foi a do professor Michael Parent, sobre Riscos Cibernéticos.
Citando dados e informações principalmente do mercado norte-americano, ele destacou fatos e tendências recentes que chamaram a atenção de todos os presentes. Selecionei alguns deles, que destaco na sequência:
- Em 2019, o FBI trabalha com a expectativa de um incidente cibernético (“cyber-incident”) a cada 14 segundos nos EUA, com custo médio estimado em USD 6,5 Milhões;
- Os setores-alvo com maior incidência desses ataques nos EUA são os de Saúde, Educação e Público, com respectivamente 27, 18 e 13% dos ataques registrados; o professor Parent mencionou, nesse caso, que a “lógica” nessa hierarquia se deve à busca de grandes bancos de dados com riqueza de informações dos consumidores por parte dos “hackers”;
- Já em termos globais, ele indicou que o número de “invasões via internet” (“hacks”) está estimado em 30 bilhões para o ano de 2019, devendo crescer para 50 bilhões em 2025 e atingir 500 bilhões em 2050; além do processo de digitalização por que passa e deverá continuar passando a sociedade atual, o professor Parent também citou a maior utilização e penetração da “internet das coisas” (IoT), com a crescente conexão dos objetos cotidianos com a internet, como um fator crítico que deverá levar a esse substancial crescimento de invasões ao longo das próximas décadas;
- Segundo o professor Parent, a demora no posicionamento e resposta por parte de considerável parte das empresas de médio e grande porte, quando têm que lidar com situação crítica nessa área, se deve tanto a uma capacidade e conhecimento limitados em relação ao tema quanto por questões pertinentes à cultura e processo de comunicação em relação a como lidar com o assunto e exposição tanto interna quanto externamente.
Diante desse cenário, as principais recomendações sugeridas para as empresas foram as seguintes:
1) Investir anualmente montante equivalente a 2% da sua Receita Total para lidar preventivamente com o tema, com a alocação de 70% dos recursos em hardwares e softwares específicos e atualizados, mais promoção de treinamentos com especialistas no tema para toda equipe, e os restantes 30% na contratação de seguros para os principais riscos cibernéticos identificados em levantamentos específicos;
2) Implantar um programa de resiliência cibernética que contemple não somente a Arquitetura e Sistemas, mas também (minimamente) a capacidade de defesa a ataques passivos e ativos;
Quanto à atuação dos Conselhos, foi mencionada, em primeiro lugar, a urgência na inclusão do tema nas respectivas agendas de forma prioritária e sistemática. Além de uma completa revisão e análise da situação atual da empresa em relação ao tema, deve-se avaliar também os riscos potenciais – legais, financeiros, etc. – que uma eventual “quebra” nos respectivos sistemas de segurança poderá acarretar, e quais os desdobramentos e ações que deverão ser implementados para lidar com um cenário de crise. Essa recomendação leva em consideração os diversos e recentes casos envolvendo algumas corporações que têm se confrontado com a quebra de seus sistemas de segurança e visto os dados de seus clientes expostos e divulgados de forma criminosa, com forte e negativo impacto financeiro e – em alguns casos – de imagem e reputação de forma muito séria.
