O termo risco digital é usado no contexto de descrever a postura global de cibersegurança de uma empresa, para saber o nível de risco cibernético com as medidas de segurança existentes. A segurança cibernética pertencia, tradicionalmente, quase que exclusivamente ao domínio da TI, uma das diversas áreas de um negócio, que hoje torna-se cada vez mais importante para a estratégia da empresa e para tomada de decisões.
O que antes era visto apenas como singular à TI, hoje engloba o próprio negócio: o mundo é digital, e isso permeia todos os aspectos das empresas, regendo velocidade, alcance, inovação e diversas possibilidades. Certamente hoje, a maneira como um CEO lida com a tecnologia da informação reflete a maneira como ele pensa sobre sua empresa e seu lugar no mercado contemporâneo.
É de suma importância que os líderes estejam a par do que acontece na área de TI como um todo, mas principalmente, que saibam dos riscos inerentes aos negócios e ativos existentes. Não é necessário tornar-se ser um expert em tecnologia, mas deve sim existir um meio-termo para um relacionamento cada vez mais interdependente que é o da gestão com a TI. E quando existe uma boa gestão de riscos, uma cultura de segurança, os benefícios vão muito mais além de evitar grandes incidentes de segurança.
Entenda cinco razões pelas quais você deve conhecer o risco digital, e como ele é um risco de negócio.
- Proteção ao cliente
Quando falamos de risco cibernético, logo pensamos nos dados e informações de clientes, principalmente com a chegada da LGPD. Sejam elas informações de crédito, prontuários, endereços e números de telefone, ou qualquer outro tipo de informação pessoal, o objetivo de uma violação de dados é adquirir e explorar essas informações de forma que possa ter um impacto sério na vida das pessoas a quem pertencem. Antes mesmo de aprofundar nos impactos de um vazamento de dados aos negócios, lembre-se que pessoas reais serão afetadas se seus dados forem comprometidos e que o processo para reverter esses danos pode ser estressante e caro. - Custo financeiro
Este é o mais óbvio. Violações de dados custam caro. Há tantos vetores impactados financeiramente por um incidente grave de violação de dados, pode ser um desafio listar todos eles, mas entre os principais estão: queda no valor das ações, investigações forenses, serviços de proteção de identidade para clientes afetados, iniciativas de RP e mídia (para recuperar reputação), despesas com consultoria jurídica e taxas, fora as possíveis ações e multas que podem ser movidas contra as empresa. Os custos financeiros indiretos incluem perda de clientes, tanto atuais quanto potenciais e remediação de cibersegurança.
Ataques menos graves também podem custar dezenas de milhares de dólares a uma empresa se ela não estiver preparada para lidar com incidentes. Vale dizer que à medida que o seguro cibernético se torna cada vez mais comum, os preços das apólices se tornam proporcionais à postura de segurança da empresa. As taxas para empresas com um nível menor de proteção serão mais altas e incidentes envolvendo violação de dados podem aumentar ainda mais os preços. - Proteção de produto e ativos
Além dos dados dos clientes, outro grande alvo de ataques cibernéticos são os ativos da empresa, dados de negócios proprietários, como planos, códigos, ou outras propriedades intelectuais, de estratégia ou de comunicação. Caso haja um vazamento ou se essas informações se tornarem públicas, a rentabilidade da empresa violada pode ser severamente prejudicada. Os ativos digitais são a força vital da maioria das empresas e sua divulgação indevida é um problema para o negócio como um todo, não apenas limitado à TI. - Reputação
As violações de dados recebem atenção da mídia, dado o impacto que causam às empresas vítimas, o que significa um período de tempestade de críticas e falta de confiança, que pode ser devastador. Se as pessoas associarem sua marca a um incidente de violação de dados, é improvável que optem por usar seus serviços ou produtos em um momento posterior, independentemente das medidas que você tomar desde o ocorrido.
Pode também implicar na decisão de atuais clientes a mudarem para concorrentes se sentirem que não podem mais confiar em uma empresa não cuida de seus dados e informações. Além disso, uma empresa que já tenha sofrido uma violação pode ser um chamariz para futuros invasores, pois pressupõe um baixo nível de segurança. - Danos a carreiras
A questão da reputação vai além da entidade da organização, se estende aos executivos que a lideram. Ações judiciais movidas por acionistas, clientes, parceiros ou terceiros são possíveis e até comuns em casos de grandes violações. A negligência em relação à segurança cibernética pode custar a um CIO ou CTO seu trabalho, mas pode custar a um CEO sua carreira, caso seja associado a uma violação. A razão por trás disso é simples: os clientes não se importam com as lacunas internas que existem entre gestão e TI, entre líderes empresariais e técnicos.
As causas dos incidentes de segurança cibernética podem até ser de natureza tecnológica, mas seus efeitos são puramente comerciais, e como tal o negócio é medido e julgado apenas através destas perspectivas. É fundamental que os executivos incorporem o risco cibernético em suas estratégias de negócios, inclusive com parceiros externos através de avaliações de risco de fornecedores, e comecem a abordar essa gestão de risco digital com a devida importância que ela tem e que representa. Para isso, é necessário um nível de visibilidade sem precedentes, estratégico, de dentro para fora.
Os profissionais de TI precisam de visibilidade para saber o que acontece em seus sistemas, para assim saber das configurações corretas, quais sistemas estão em conformidade e quais necessitam remediação. A gestão executiva requer uma visibilidade para entender a postura de segurança digital da organização, mas sem ter de ser um tecnólogo. Assim é a verdadeira resiliência cibernética, com uma visão holística, que mitiga os riscos.
