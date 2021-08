Desde o início do mês a LGPD passou a permitir multas às empresas que não estiverem em conformidade. Os valores das penalidades podem chegar a 50 milhões de reais, e a LGPD também autoriza punições que podem incluir a interrupção do funcionamento do negócio. À medida em que a sociedade vai se tornando mais informada sobre a vida digital, o tratamento inadequado dos dados é visto com mais gravidade. Em pouco tempo seus impactos sobre as empresas serão tão negativos quanto os derramamentos de óleo foram para a Exxon e a British Petroleum, anos atrás.

Vazamentos podem comprometer os resultados e a credibilidade de qualquer empresa. Mas eles são apenas um dos riscos que precisam ser endereçados por uma governança de dados adequada. Muito mais visíveis, nos últimos tempos, têm sido os ataques de ransomware, que acontecem ao ritmo de um a cada 11 segundos em todo o mundo.

Estima-se que o prejuízo global por ataques como os sofridos recentemente pela JBS ou pela Colonial Pipeline, nos Estados Unidos, chegue a 20 bilhões de dólares no ano. Os resgates pagos pelos dados variam, em média, entre 350.000 e 1,4 milhão de dólares. Pior: somente 8% dos que pagam conseguiram reaver a totalidade dos dados. Cerca de 29% não recuperam sequer a metade do que foi encriptado pelos cibercriminosos.

Ninguém duvida que as invasões e vazamentos de dados são um risco enorme. O que as transforma num problema de ESG é que a imensa maioria deles seria prevenida com uma boa governança digital. Uma que levasse a adotar defesas eficientes e estabelecer regras e procedimentos, mas, principalmente, a garantir que sejam seguidos de verdade pelos funcionários e fornecedores.

Nas grandes empresas é comum que as equipes recebam treinamentos anticorrupção e anti-assédio moral e sexual. Mas não são tão comuns treinamentos sobre os riscos de adiar a atualização do sistema operacional, de espetar pen drives suspeitos nos computadores corporativos, nem sobre como atender o telefone se o chamador pode ser um cibercriminoso fazendo engenharia social. O fator humano é um dos pontos mais vulneráveis da segurança cibernética. Está longe de ser o único.

Quando se analisa o histórico de episódios de cibersegurança, outras falhas de governança saltam aos olhos: 59% das vulnerabilidades de infraestrutura exploradas por criminosos possuem correção disponível há mais de um ano, de acordo com o relatório de ameaças da GAT Infosec. Frequentemente, seriam corrigidas com uma simples atualização de sistema. Que se diga, é um tanto comum encontrar casos de empresas onde vulnerabilidades conhecidas desde 2004 ainda não foram remediadas.

No final do ano passado o Fórum Econômico Mundial, em parceria com as quatro grandes empresas de auditoria e contabilidade (Deloitte, EY, KPMG, PWC) propôs um padrão global para as informações sobre ESG. Elencou como prioritários os temas envolvendo mudanças climáticas e... gestão de dados.

Entre as questões mais relevantes a serem abordadas, listou “cibersegurança, o uso e a governança da inteligência artificial e do machine learning, a privacidade, e todas as questões ligadas à propriedade, armazenamento e utilização de dados“. Sugeriu que os conselhos das empresas se envolvessem ativamente nessa governança, já que as consequências da perda de dados ou falhas dos sistemas podem fatais para os negócios.

O tema começou a ganhar peso. Em relatório da gestora de recursos Architas, varejistas de 11 países citaram proteção de dados e cibersegurança entre as questões de ESG mais urgentes. Outra pesquisa, do braço de asset do Royal Bank of Canada, mostrou que, para investidores institucionais, cibersegurança era a principal preocupação de ESG ao se analisar uma companhia.

O alarme tocou de vez com o ataque de ransomware à Colonial Pipeline, o principal oleoduto dos EUA, que distribui 45% do combustível consumido na costa Leste. Após o incidente, a S&P Global divulgou um boletim considerando que “ciberataques, com as perdas e disrupções a eles associados, estão aumentando em severidade e frequência, o que solidifica a cibersegurança entre as principais preocupações de ESG”. Orientou também as companhias a irem além da simples segurança de TI e “avaliar o risco cibernético a partir de perspectivas informadas de engenharia”.

Mark Schwartz, estrategista empresarial da Amazon Web Services, escreveu em seu blog que a garantia da segurança e da privacidade são obrigações de qualquer negócio socialmente responsável, e elementos chave do ESG. Mas as implicações cibernéticas das três letras vão muito além disso, e chegam ao ponto de demandar que o código que os programadores desenvolvem reduza a pegada de carbono das empresas e de seus produtos. Realmente, em um mundo onde os dados são o novo petróleo, só podemos esperar que a governança sobre eles evolua cada vez mais, para o bem de todos.

*Leonardo Militelli é CEO da GAT InfoSec, empresa de soluções de governança e gestão para riscos cibernéticos