Custo de negligenciar a cibersegurança vai além do caixa da empresa

O Brasil enfrenta uma onda crescente de ataques cibernéticos, com 356 bilhões de tentativas registradas em 2024, conforme dados da CNN. A questão central é: a falta de investimento adequados em cibersegurança já causa perdas significativas. É preciso agir para proteger dados e reputação. A cibersegurança deixou de ser uma opção para se tornar uma necessidade urgente. Negligenciar investimentos nessa área pode ter consequências graves.  De acordo com projeção da PwC, o custo médio de um ciberataque pode atingir US$ 5,3 milhões no caixa da empresa, sem contar os demais prejuízos de reputação, e o Chief Information Security Officer (CISO) ainda pode responder criminalmente pela passividade. O custo é altíssimo. 

Nos últimos dias, soubemos do que alguns veículos da imprensa estão noticiando como o maior vazamento de dados da história, com mais de 16 bilhões de senhas e credenciais expostas do Google, Apple, Facebook, Telegram e até de serviços governamentais. Independentemente de serem dados novos ou oriundos de outros vazamentos, com essa abundância de informações, os criminosos podem direcionar seus ataques para pessoas físicas, jurídicas ou instituições públicas. Incidentes dessa natureza, quando confirmados, podem colocar em risco a reputação da empresa e a proteção dos dados de seus usuários e clientes.

OS CISOs estão na mira da justiça em casos de ciberataques. Em 2023, a Securities and Exchange Commission (SEC) dos EUA acusou a SolarWinds e seu CISO, Timothy Brown, de fraude e falhas de controles internos relacionadas à riscos e vulnerabilidades cibernéticas conhecidas, que levaram ao notório ataque à cadeia de suprimentos em 2020. A SEC alegou que Brown estava ciente dos riscos, mas não os resolveu ou os escalou adequadamente dentro da empresa, além de fazer declarações enganosas aos investidores. Joseph Sullivan, ex-CISO da Uber, foi condenado por obstrução da justiça e ocultação de um crime grave por seu papel em encobrir uma violação de dados massiva que ocorreu em 2016. Ele não reportou o incidente às autoridades regulatórias e tentou pagar a hackers para que o caso permanecesse em sigilo. O conselho desaprovou a atitude. No entanto, a alternativa de pagar aos cibercriminosos não foi inédita. Há quatro anos, um ransomware nas sedes da JBS dos EUA, Canadá e Austrália custou US$ 11 milhões à empresa, que pagou aos criminosos para que não vazassem informações. Outro exemplo marcante foi o ataque à Colonial Pipeline, em 2024. A divisão de oleodutos da empresa norte-americana teve seu sistema invadido, resultando na interrupção do fornecimento de combustível para todo o sudeste dos EUA. A companhia foi forçada a pagar um resgate aos criminosos – valor não divulgado, mas certamente alto. 

Esses incidentes comprovam a importância do tema. Estabelecer e manter um programa robusto de segurança cibernética, com políticas e procedimentos de segurança claros e abrangentes, alinhados com as melhores práticas e regulamentações relevantes é o primeiro passo para realizar uma gestão responsável dos riscos cibernéticos, mas não é só isso. Investir em ações que tenham como foco aprimorar a postura de segurança é fator crítico de sucesso para a estratégia de segurança das organizações. Outro ponto crucial é fomentar o desenvolvimento da cultura de segurança organizacional, promovendo a conscientização de todos os colaboradores. As iniciativas de conscientização e educação devem alcançar do mais alto escalão da organização até os parceiros de negócios e clientes para que assim todo o ecossistema da companhia amadureça com o tema. 

A cibersegurança deve fazer parte da estratégia de qualquer empresa que deseja solidez no mercado. A omissão ao tema abre uma lacuna enorme para riscos. Implementar e manter um programa de segurança eficaz traz tranquilidade para os executivos e segurança reputacional. Em um mundo em que dados são ativos valiosos e os ataques estão cada dia mais sofisticados , a proteção contínua é uma necessidade estratégica. Diante de um cenário cada vez mais complexo, a pergunta que toda empresa deve se fazer é: ‘podemos arcar com o custo da negligência?’. O risco cibernético é um risco estratégico e tem potencial de comprometer a continuidade dos negócios.