• O Escritório
    • Sobre
    • Memorial GAA Jaú
    • Pro Bono
    • Startup
    • Contato
  • O que fazemos
    • Áreas de atuação
    • Profissionais
    • Canal de Denúncias
    • Newsletter
    • Eventos
  • Conteúdos
    • Notícias
    • Destaques
    • Ebooks
    • Na Mídia
  • Seja um dos nossos
    • Vagas
Gomes Altimari Advogados
PT EN CN
#Governança Corporativa  #Notícias

Ataques cibernéticos entram na agenda da governança

31 de julho de 2023

O Brasil é um dos países com o maior número de ataques cibernéticos do mundo. Na América Latina, o país lidera o ranking de casos de ataques do tipo DDoS, quando o invasor deixa os recursos de um sistema indisponíveis para os usuários. Houve mais de 285 mil ocorrências (39% de toda a região) desse tipo no segundo semestre de 2022, segundo a empresa especializada em cibersegurança Netscout System. Para especialistas, não é mais uma questão de ‘se’ as empresas forem atacadas, mas sim de ‘quando’.

Não à toa, a cibersegurança foi apontada como uma das cinco prioridades de conselhos de administração pela consultoria EY para 2023, e as falhas em segurança cibernética colocadas entre os 10 maiores riscos elencados pelo Fórum Econômico Mundial. Nesse contexto, o link entre o tema e o ESG (sigla em inglês para falar de questões ambientais, sociais e de governança corporativa) tem ficado cada dia mais claro.

“Os riscos cibernéticos já estão no topo da agenda de CEOs e integrantes da alta liderança. Afinal, uma eventual vulnerabilidade na segurança de dados ou nos sistemas de uma companhia pode trazer consequências em diferentes âmbitos: reputacional, operacional, legal e financeiro”, comenta Reinaldo Fiorini, sócio sênior e Managing Partner da consultoria McKinsey no Brasil. Para ele, uma boa governança – um dos aspectos de ESG – deve levar em consideração a segurança cibernética, a qual também precisa estar ligada às áreas de negócios.

Mercedes Stinco, coordenadora da comissão de gerenciamento de riscos corporativos do Instituto Brasileiro de Governança Corporativa (IBGC), destaca que os investimentos na área estão intimamente ligados à governança corporativa.

“Diante de um contexto de negócios cada vez mais complexo, com interdependência global e tecnológica, é imperativo que as organizações aumentem seu grau de resiliência e estejam preparadas para momentos de crise”, comenta. A executiva diz que as empresas falham em questões gerenciais, como a ausência ou ineficácia de processos, procedimentos e e controles que poderiam minimizar o risco de ser vítima de um ataque. Algumas falhas são lapsos em atualizações de seus sistemas (‘patch management’), gestão ineficiente de acessos, não rastreamento das informações e não observância da gestão de segurança da informação aplicada a fornecedores e parceiros.

A falta de cuidado na conexão de sistemas com parceiros é outro ponto de atenção, de acordo com Vanessa Fonseca, diretora da prática de privacidade e proteção de dados da Accenture Brasil. Um relatório do Ponemon Institute e da IBM com 550 empresas atacadas em 2022 mostra que 17% delas tiveram violação causada por um parceiro atingido. “Conhecer melhor os fornecedores é benéfico em vários aspectos, que vão de prevenção de ataques a entender se estão cumprindo todas as leis trabalhistas em suas contratações”, diz.

Aí reside, porém, um obstáculo: como garantir que eles invistam em softwares de segurança, pessoas treinadas e tenham um plano de resposta a incidentes quando forem atacados? “Existe a barreira financeira. Em muitos casos, as grandes empresas precisam pagar para seus fornecedores cuidarem de privacidade, investirem em segurança e treinarem funcionários”, destaca Fonseca.

Sugere ainda que os contratos incluam cláusulas de segurança de dados e as empresas identifiquem o grau de exposição a informações dos terceirizados, podendo criar controles adicionais e verificação in loco.

A farmacêutica Pfizer é uma das empresas que já entenderam os riscos e, além de adotar práticas internas de segurança, tem política para parceiros de negócio. Um exemplo é a aplicação dos “testes de penetração”, simulações de ataques cibernéticos consentidas nos sistemas de possíveis novos parceiros para avaliar vulnerabilidades.

Marisa Marques, líder de client partner na Pfizer Brasil, conta que a empresa ficou ainda mais rigorosa em segurança digital nos últimos anos, em função do forte avanço da digitalização. “Pacientes e profissionais de saúde confiam que seus dados são coletados e utilizados de forma responsável. Como a confiança se consolida como o grande capital reputacional da nossa era, qualquer rompimento no pacto de segurança entre uma companhia e stakeholders põe em xeque a governança corporativa”, comenta Marques.

No setor de energia, também a digitalização que ajuda no ganho de eficiência amplia as vulnerabilidades. “Além do risco para operação remota de usinas, as informações digitais contêm dados críticos dos negócios da empresa, de clientes, de colaboradores, dos parceiros e das entidades com as quais nos relacionamos”, diz Carlos Sussmann Wagner, gerente de cibersegurança do grupo de energia AES Brasil. O executivo conta que, para evitar e mitigar riscos cibernéticos, é feito um monitoramento intensivo dos serviços e sistemas, testes e simulações e revisões constante nos processos para tentar se antecipar aos atacantes. Também investe em educação para colaboradores e parceiros.

“Muitos problemas são causados por funcionários e ex-funcionários descontentes, que fazem campanhas de difamação em redes sociais, tentam eles mesmos invadir os sistemas ou até ajudam invasores externos com login e senha e outras informações”, diz Camila Borba Lefèvre sócia da área de tecnologia e comunicação do Vieira Rezende Advogados. Neste caso, ter ambientes inclusivos, respeitosos, políticas de remuneração atrativas, entre outras políticas que engajam os funcionários pode fazer a diferença.

Práticas que ajudam a prevenir ataques do tipo ransomware (*)

  • Fortalecer a proteção da segurança cibernética para ativos-chave: ativos vitais devem ser protegidos mais fortemente do que os menos importantes.
  • Envolver todos os funcionários: cada colaborador tem um papel a desempenhar na proteção da empresa por meio de práticas como o compartilhamento de informações confidenciais por canais seguros e ferramentas confiáveis para trocas de arquivos. Exercícios de segurança cibernética e outros esforços também apoiam na conscientização sobre os riscos que que suas ações podem criar e como mitigá-los.
  • Treinamento do quadro de funcionários com base no conceito de micro-segmentação, que significa treinamento de maneira personalizada, considerando cada papel na atuação da crise
  • Usar “defesas ativas”: as empresas líderes em segurança cibernética usam tecnologias avançadas para identificar sinais que podem indicar um ataque iminente, como tentativa de login e tráfego de redes de locais incomuns.
  • Autenticação de vários fatores: mitigando a possibilidade de obtenção do acesso aos sistemas por meio do sequestro de senhas.
  • Filtrar conteúdo da web e e-mail: remover o conteúdo suspeito antes que ele possa ser acessado.
  • Fazer regularmente simulações e montar o planejamento das respostas a ataques cibernéticos: permite compreender capacidades e vulnerabilidades da empresa e capacidade de tomar decisões do time de executivos sob pressão.
  • Elaborar um manual de resposta a crises a partir de insights obtidos nos treinamentos e recomendados por consultorias especializadas.

(*) Ransomware é um tipo de ataque que sequestra dados de pessoais e arquivos do computador de uma vítima ou informações sigilosas de companhias e ameaça publicá-las e cobra resgate.

Fonte: VALOR ECONÔMICO

Últimas Publicações

Nova decisão do STJ: CDC não se aplica à relação com empresas de cartões
Prova técnica x redes sociais: TST define prevalência do laudo pericial
Infraestrutura digital ganha incentivo: MP cria regime especial de tributação para datacenters

Fale Conosco

*Em respeito à lei e à sua segurança, protegemos seus dados pessoais. Acesse nossa Política de Privacidade.
Artigos Relacionados
Nova decisão do STJ: CDC não se aplica à relação com empresas de cartões
Prova técnica x redes sociais: TST define prevalência do laudo pericial
Infraestrutura digital ganha incentivo: MP cria regime especial de tributação para datacenters
Carbono Oculto: como falhas de governança ainda geram riscos legais para empresas
Contato

Marília

R. Pernambuco, 1032 – Banzato
17515-120
  • +55 (14) 3433-5931

São Paulo

Av. Engenheiro Luís Carlos Berrini, 105 – 6°andar - conj. 609 - Ed. Thera Office, Brooklin
04571-010
  • +55 (11) 3253-1502

Jaú

R. Tenente Navarro, 59 – Chácara Braz Miraglia
17210-010
  • +55 (14) 3626-5283

Maringá

Av. Carneiro Leão, 563 - conj. 1602 - Zona 01
87014-010

  • +55 (44) 3025-0350
Gomes Altimari Advogados
gaa@gomesaltimari.com.br
Desenvolvido por Mustache
Política de privacidade, acesse aqui.
Utilizamos cookies para oferecer uma melhor experiência aos nossos visitantes. Ao continuar utilizando o site, você concorda e está ciente do uso. Acesse nossa página de política de privacidade   clicando aqui   e saiba mais.
Aceito
Manage consent

Privacy Overview

This website uses cookies to improve your experience while you navigate through the website. Out of these, the cookies that are categorized as necessary are stored on your browser as they are essential for the working of basic functionalities of the website. We also use third-party cookies that help us analyze and understand how you use this website. These cookies will be stored in your browser only with your consent. You also have the option to opt-out of these cookies. But opting out of some of these cookies may affect your browsing experience.
Necessary
Sempre ativado
Necessary cookies are absolutely essential for the website to function properly. These cookies ensure basic functionalities and security features of the website, anonymously.
CookieDuraçãoDescrição
cookielawinfo-checkbox-analytics11 monthsThis cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional11 monthsThe cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary11 monthsThis cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others11 monthsThis cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance11 monthsThis cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy11 monthsThe cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.
Functional
Functional cookies help to perform certain functionalities like sharing the content of the website on social media platforms, collect feedbacks, and other third-party features.
Performance
Performance cookies are used to understand and analyze the key performance indexes of the website which helps in delivering a better user experience for the visitors.
Analytics
Analytical cookies are used to understand how visitors interact with the website. These cookies help provide information on metrics the number of visitors, bounce rate, traffic source, etc.
Advertisement
Advertisement cookies are used to provide visitors with relevant ads and marketing campaigns. These cookies track visitors across websites and collect information to provide customized ads.
Others
Other uncategorized cookies are those that are being analyzed and have not been classified into a category as yet.
SALVAR E ACEITAR