Algum tempo atrás, o presidente do conselho da IOSCO (Organização Internacional de Comissões de Valores Mobiliários), Greg Medcraft, previu que o próximo grande choque financeiro, denominado "Evento Cisne Negro", resultaria de sucessivos ataques cibernéticos a protagonistas do mercado financeiro, assim, prejudicando a estabilidade e integridade dos sistemas financeiros.
No mesmo sentido, há alguns anos, os Estados Unidos já consideravam a guerra cibernética sua principal ameaça à segurança nacional. Não por menos, o Departamento de Defesa norte-americano criou sua própria divisão de combate aos crimes cibernéticos. Da mesma forma, o Fórum Econômico Mundial (WEF) apontou os ataques cibernéticos de larga escala como um risco global de alto impacto.
Os ataques cibernéticos têm aumentado em número, sofisticação e complexidade ao longo dos últimos anos, tornando-se um risco sistemático que pode resultar em imensuráveis (ou mesmo irreparáveis) danos financeiros e de imagem para uma organização, seja ela integrante da iniciativa privada ou da administração pública. Exemplo disso, é a recente confirmação, pelo FBI, de ataque de hackers ao sistema eleitoral dos Estados Unidos, ou mesmo os recorrentes ataques aos sistemas internos de prefeituras brasileiras.
As ameaças cibernéticas ocorrem por uma série de razões, nem todas relacionadas ao potencial de ganho financeiro, podendo configurar-se pelo vazamento de informações estratégicas e sigilosas, falha na responsabilidade de gestão e proteção de dados de terceiros, furto de bens intelectuais (criações, fórmulas, invenções, etc.), manipulação de mercado pela propagação de informações via mídias sociais e comunidades dedicadas, dentre outras.
Pesquisa PwC
Pesquisa do Estado Global de Segurança da Informação conduzida pela PWC em 2016 revelou que o número total de incidentes de segurança cibernética detectados em 2015 foi 38% superior aos 42,8 milhões de incidentes em 2014. A pesquisa também mostrou que, desde 2009, os incidentes de segurança aumentaram em 66% ao ano (taxa de crescimento anual composta). No entanto, esses números não levam em conta os incidentes que não são detectados ou não são reportados e, portanto, não representam o número total de incidentes cibernéticos. A pesquisa estimou que cerca de 71% dos riscos de segurança não são detectados.
Fonte: PWC, Global State of Information Security Survey: 2016As origens destas ameaças também podem ser diversas: relacionamento/conexão com terceiros não confiáveis; exploração de plataformas de informação e comunicação não certificadas pela empresa; pouca efetividade ou má configuração de sistemas de firewall; ausência ou falha na capacitação profissional resultando em ação ou omissão que ocasiona acesso a redes por onde passam conhecimentos estratégicos; imprecisão das metodologias de monitoramento ou mesmo dos testes de segurança (hacking ético); intempestividade no tratamento de inconsistências, dentre outras.
Não restam dúvidas de que as vulnerabilidades de uma organização, algumas vezes, resultado da descoordenação de ações direcionadas à administração de riscos para detecção e resposta a incursões cibernéticas, comprometem a confiabilidade na capacidade das mesmas em adotarem processos e procedimentos eficazes de segurança da informação. Como resultado, observa-se a fuga de capital pelo receio de perda de investimento de desenvolvimento/criação e a perda da confiança pelo consumidor.
E as perdas não param por aí e podem ser diretas e indiretas, como: custo de oportunidade; despesas adicionais para proteção de redes; dispêndios para recuperação de dados, redes e sistemas após ataques; custo legal (multa, ações, advogados), isso sem falar dos danos à reputação e todos os recursos aplicados ao gerenciamento de crise.
Cybercrime
O Centro de Estudos Estratégicos e Internacionais estimou que o custo anual do cybercrime para a economia global pode variar de US$ 375 bilhões a US$ 575 bilhões.
Serviços Financeiros
O Relatório de Investigações de Violação de Dados da Verizon de 2015 observa que o setor de serviços financeiros está entre os três principais setores afetados por ameaças cibernéticas.
Fonte: Verizon, Data Breach Investigations, 2015
Diante destes inimigos invisíveis (hackers, crakers ou mesmo concorrentes e terroristas), o foco das organizações deve ser a ampliação dos seus sistemas de governança e compliance, além de dedicarem esforços à revisão dos requisitos mínimos de gestão operacional, o que deve ser feito (i) por meio de testes periódicos que incluam auto avaliações e também avaliações respondidas por integrantes do mercado; (ii) benchmarking, a fim de compreender como outros agentes relacionados à indústria estão gerindo os desafios cibernéticos; (iii) fornecimento de informações às autoridades competentes no intuito de identificar oportunidades para melhorar a resiliência cibernética e, consequentemente, o relacionamento entre a indústria e o governo (agentes reguladores/fiscalizadores), além de garantir o atendimento das obrigações legais; (iv) pelo preparo de guias orientativos para funcionários, terceiros e clientes.
Além disso, como parte integrante do sistema de governança e compliance, tem se demonstrado prudente, o implemento e gerenciamento em tempo real de um Programa de Inteligência de Ameaça e de Compartilhamento de Informações (Real-time threat-intelligence and information-sharing Program), que permitirá à organização fazer a interconexão entre múltiplos sistemas de modo a relacionar, analisar e contextualizar as informações de variadas fontes apontando potenciais ameaças e permitindo, como efeito, uma abordagem preventiva ao invés de reativa.
GABRIELA ALVES GUIMARÃES
é sócia da Syard Consultoria Empresarial especializada em Fraude, Investigação e Compliance. Bacharel em Direito pela Fumec/MG, com dual MBA em Gestão Empresarial pela FGV/ BRA e Ohio University/ USA, certificada pela SCCE como Certified Corporate Compliance & Ethics Professional - International (CCEP-I).
gag@syard.com.br