Pesquisa da NightDragon e a Diligent, de setembro deste ano, mostra que 88% das empresas do S&P 500 atualmente não possuem executivo com experiência especializada em segurança cibernética em seu conselho de administração, e 57% não têm pessoal com especialização semelhante em outras áreas.
Nesse mesmo período, pesquisa da Abrasca e The Security Design Lab no Brasil, com 109 empresas de capital aberto, identificou que 42% das companhias não possuem um executivo responsável pela segurança da informação e 46% delas não possuem um comitê de segurança.
Globalmente, as grandes companhias enfrentam desafios diários com ataques cibernéticos patrocinados por Estados, grupos de hackers independentes e organizações criminosas. Incidentes como vazamentos de dados em larga escala, ransomware e espionagem digital, demonstram a amplitude das ameaças, e a sofisticação da Inteligência Artificial (IA) aumenta ainda mais esse desafio.
Entre os grandes players no mundo focados na questão de segurança cibernética, os Estados Unidos, por meio das agências governamentais, têm um amplo e sólido trabalho focado no desenvolvimento de mecanismos de cibersegurança, destaca o advogado Washington Fonseca, mestre em Direito pela PUC-SP, professor de Direito Civil, vice-presidente para as Américas da rede BGI Global, sócio da área Empresarial e Internacional do Fonseca Moreti Advogados.
“A SEC (U.S. Securities and Exchange Commission), agência independente responsável por proteger e regular o mercado de capitais americano, poderia ser o órgão responsável por exigir que as empresas divulguem as violações e as estratégias de mitigação de riscos em seus relatórios anuais e a Comissão de Valores Mobiliários dos EUA”, destaca Fonseca.
No Brasil, falta cultura para o desenvolvimento desse tipo de defesa que é tão importante. O Laboratório Fleury, por exemplo, sofreu três tentativas de ataques cibernéticos às suas bases de dados, sendo duas delas bem-sucedidas, com sequestro de dados. O laboratório foi vítima de extorsão de hackers russos, tendo sido exigido resgate reaver suas informações, lembra Fonseca.
“Observamos que as empresas brasileiras não têm tido muito cuidado e precaução com o desenvolvimento desse tipo de segurança. As grandes corporações multinacionais atuam de maneira global e, obviamente, têm trazido essa proteção para suas filiais, mas para as empresas locais, isso não é muito efetivo ainda”, diz ele.
A principal legislação sobre segurança no ambiente digital no Brasil é a Lei Geral de Proteção de Dados, que estabeleceu diretrizes para proteção e privacidade dos dados pessoais sensíveis que são tratados por uma empresa ou instituição, seja pública ou privada.
“Quando se fala em LGPD, estamos nos referindo a uma lei genérica, mais ampla, que cuida da proteção de dados pessoais, mas não trata especificamente da prevenção de ataques hackers. Sem sombra de dúvida, a presença de um executivo com experiência em cibersegurança na alta direção da empresa, atuando exclusivamente no planejamento da segurança digital, é imprescindível para evitar situações como a do Fleury”, conclui Fonseca.