A crescente digitalização das empresas ampliou significativamente sua exposição a incidentes de segurança. Embora muitos desses eventos tenham origem em ataques externos, a realidade demonstra que suas causas mais relevantes estão, na maioria das vezes, dentro das próprias empresas. Com isto, o incidente de segurança deixou de ser problema estritamente técnico e representa risco concreto à operação, à reputação e à própria continuidade do negócio.
Incidentes de segurança podem ser originados de causas internas ou externas, e podem gerar severos impactos na vida da empresa que usa a tecnologia no dia a dia de suas atividades, especialmente se os considerarmos sob a ótica jurídica.
A digitalização ampliou assustadoramente a exposição das empresas a riscos que não são apenas tecnológicos, mas também jurídicos, operacionais e reputacionais.
Durante muito tempo, acreditou-se que incidentes de segurança eram essencialmente provocados por ataques externos, mas na atualidade essa visão está superada. A realidade demonstra que os ataques vêm de fora, mas os incidentes nascem dentro das organizações.
Isso ocorre porque falhas de desenvolvimento, configuração, uso e governança criam o ambiente ideal para que ameaças externas sejam bem-sucedidas.
Mais do que um problema técnico, o incidente de segurança é um evento com consequências operacionais, financeiras, reputacionais e jurídicas, que pode comprometer o funcionamento e até a existência da empresa.
Causas internas
No plano interno, as principais causas de incidentes de segurança estão relacionadas a credenciais comprometidas, erro humano, privilégios de acesso excessivos, falta de treinamento e conscientização e ausência de governança e processos.
Assim, o uso indevido de logins e senhas — muitas vezes compartilhados —, o envio de dados para destinatário incorreto, a atribuição de acessos além da necessidade do cargo e a falta de políticas, controles e monitoramento acabam por causar consequências sérias e, por vezes, devastadoras para a organização.
Causas externas
No âmbito externo, ataques de phishing e de engenharia social, ransomware, exploração de vulnerabilidades, ataques à cadeia de fornecedores e ataques automatizados representam a outra grande vertente por onde os incidentes de segurança acontecem.
Dessa forma, ataques explorando o comportamento humano, sequestro de dados e paralisação de operações, ausência de correção de falhas técnicas já conhecidas, incidentes originados de terceiros que mantêm relação ou negócio com a organização e tentativas persistentes e massivas de invasão completam o quadro de problemas que podem ser acarretados à organização.
O ponto em comum: governança
Mas, apesar de terem origens distintas, todas estas causas têm como ponto em comum a ausência ou deficiência na governança no uso da tecnologia, pois em muitas empresas o erro ainda comum é tratar segurança como um problema técnico.
O ataque continua tendo origem externa, mas a vulnerabilidade é interna e a responsabilidade por saná-la é, inevitavelmente, jurídica: a empresa não é julgada pelo fato de sofrer um ataque, mas por sua capacidade de demonstrar que tenha adotado medidas preventivas, tenha treinado seus colaboradores, tenha implementado controles adequados e tenha estruturado sua governança.
Um incidente de segurança não é um problema de TI, mas sim um evento que pode interromper, comprometer ou encerrar uma organização: em razão dele, clientes e receita podem ser perdidos, operações podem ser interrompidas, a reputação pode ser arranhada, litígios e multas, perda de valor patrimonial ou mesmo falência podem ocorrer.
Responsabilidade jurídica da alta direção
Do ponto de vista jurídico, a alta direção é a responsável por verificar e eliminar vulnerabilidades, desenvolver e implementar governança tecnológica, treinar seu pessoal, realizar testes de intrusão e auditorias periodicamente, dentre outras providências, o que encontra respaldo:
-
No Código Civil, que manda que aquele a quem caiba administrar a sociedade, no exercício dessas funções, tenha o cuidado e a diligência que todo homem ativo e probo costuma empregar na administração de seus próprios negócios (art. 1.011).
-
Na Lei das Sociedades Anônimas, que estabelece a administração da companhia como dever do conselho de administração e da diretoria, ou somente a esta, conforme dispuser o estatuto (art. 138), constando ainda que o administrador responde civilmente pelos prejuízos que causar à companhia quando agir com dolo ou culpa — mesmo que dentro de suas atribuições e poderes —, ou quando agir com violação da lei ou do estatuto (art. 158).
Conclusão
Por fim, para impedir ao máximo possível que os incidentes nasçam dentro da organização, cabe à alta direção zelar pela segurança da informação, com programa de governança e riscos cibernéticos, políticas e planos de resposta a incidentes e continuidade de negócios, treinar seus colaboradores, parceiros e fornecedores para evitar neles quaisquer condutas involuntárias ou intencionais e verificar periodicamente a existência de vulnerabilidades humanas ou técnicas, adotando e incrementando as medidas técnicas e administrativas que o caso exija.
Afinal, mais do que proteger sistemas, trata-se de proteger a própria capacidade da organização de continuar existindo, operando e gerando valor, pois em um ambiente onde a tecnologia permeia todas as atividades, a governança deixa de ser uma escolha e passa a ser condição de sobrevivência.
