Como soldados cibernéticos

Ataque cibernético não é uma questão que as empresas devem verificar se haverá, mas quando acontecerá. No mundo todo crescem as ocorrências desse tipo: no primeiro trimestre deste ano, foram 25 ataques acima de 100Gbps (gigabits por segundo, equivalente a 1000mbps, ou um bilhão de bits de dados), de acordo com estimativa da empresa desenvolvedora de softwares Arbor Networks. O custo médio anual do crime cibernético para as empresas nos Estados Unidos foi de US$ 12,7 milhões, o que representa um aumento de 96% desde o início da coleta de dados em 2010. Mas não é só de ataques cibernéticos que as organizações precisam se precaver. É de algo ainda mais simples e cotidiano: o vazamento de informações por acidente.

Uma das maiores preocupações das companhias, especialmente aquelas do setor financeiro e de capital aberto, é a segurança com que os dados discutidos pelos conselhos são tratados. O cuidado com o tema é de vital importância, pois esses grupos desempenham papel fundamental no processo de gestão, já que defendem os interesses dos acionistas ao definir estratégias de longo prazo, por exemplo. Os conselheiros se tornar assim de grande relevância para a governança corporativa, mas enfrentam problemas para desenvolver seu trabalho.

Segundo o Ponemon Institute, quase metade (43%) das empresas norte-americanas tiveram suas informações violadas em 2014. Em 39% dos casos, os alvos foram os dados sigilosos. No Brasil, um recente levantamento mostrou que três em cada quatro companhias se sentem vulneráveis a ataques cibernéticos. Para piorar, uma pesquisa global da Consultoria McKinsey, com 1.597 conselheiros, mostrou que eles são muito menos preparados de que deveriam.

O e-mail pode parecer uma solução fácil, mas é geralmente insegura e propensa a erros. O controlador da ferramenta de pesquisa mais famosa do mundo, por exemplo, esclarece, em seu termo de serviço, que não deve haver nenhuma expectativa “razoável” de que o conteúdo de seu serviço de e-mail gratuito seja privado. E uma vez que uma mensagem é enviada a um diretor, a companhia perde o controle sobre ele e não pode impedir que seja encaminhado a outros. Além disso, o e-mail pode, ironicamente, levar de volta ao papel. Os diretores acabam imprimindo os anexos, e não só voltam as inconveniências da papelada que motivaram a passagem para o digital, como também perdem a formatação de um pacote ou pasta-fichário encadernado para a diretoria – o que pode interromper o fluxo de uma reunião.

Aplicativos de leitura de documentos e serviço de nuvem pública de compartilhamento de arquivos ainda não oferecem segurança em nível corporativo. Um dos mais conhecidos, embora esteja protegido por recursos de segurança como criptografia e autenticação de dois fatores, foi hackeado com êxito, comprometendo arquivos e endereços de e-mail privados. Segurança cibernética deve ser uma obsessão do Conselho de Administração. Todos os seus membros precisam se preocupar em proteger as informações da companhia e demonstrar que, mais do que boa vontade, são soldados insistentemente diligentes nos processos e controles que garantem o sigilo dos dados estratégicos e confidenciais.

Na prática, porém, isso não é levado a sério por um número esmagador de empresas. Por essa razão, as revisões, atualizações e aprimoramento das políticas e programas de segurança cibernética raramente ou nunca acontecem. Ou seja, a realidade é muito diferente do que seria recomendável, do que deve ser uma gestão competente, que implica avaliações e avanços sistemáticos, frequentes e bem planejados, inclusive para gerenciar eventuais situações de crise.

Para enfrentar essa situação, novas ferramentas tecnológicas desenvolvidas permitem aos empresários e demais acionistas manterem o controle completo sobre todos os dados e atualizações das reuniões do Conselho de Administração e dos diretores, mesmo em dispositivos móveis como smartphones e tablets e prometem reduzir o risco de entrega de materiais confidenciais a pessoas erradas. Entre as soluções, estão portais de segurança corporativa que possibilitam a centralização de documentos, processos e comunicações para acesso dos agentes de governança da empresa.  Conselheiros, executivos e membros de comitês ou comissões podem acessar, dentro do sistema de governança, versões digitais dos documentos utilizados em reuniões de conselho, em uma única plataforma.

*Diretor da Diligent no Brasil.