Um ano comum, com ou sem pandemia, é pontuado por pelo menos um grande ou até mesmo megavazamento de dados – pessoais, financeiros e corporativos. Não que eles sejam mais comuns, mas com todas as legislações de proteção em voga, por todo o mundo, esse tipo de descuido ou crime, deve ser notificado.
O CFO, como líder do departamento financeiro, tem de se preocupar com esse tipo de evento, por diversos motivos: seja com o tipo de dados vazado; seja pelos gastos com multas e penalidade; seja, por fim, para modificar o orçamento; e até no seu trabalho em momentos como aquisições e fusões.
Mas vamos destrinchar os elementos dessa equação, a começar pelo mais recente vazamento de dados no Brasil.
Megavazamento de dados chama atenção dos CFOs
O mais recente evento reportado foi um “megavazamento” de mais de 230 milhões de informações de brasileiros, cujas fontes são desconhecidas, mesmo que algumas delas façam referências a empresas específicas.
Esses dados foram divulgados por um hacker em um fórum online, e logo despertou o desespero de milhões de brasileiros. Entre as informações divulgadas estão:
- Dados básicos relativos ao CPF (nome, data de nascimento e endereço).
- Endereços.
- Fotos de rosto.
- Score de crédito (que diz se é bom pagador), renda, cheques sem fundo e outras informações financeiras.
- Imposto de renda de pessoa física.
- Dados cadastrais de serviços de telefonia.
- Escolaridade.
- Benefícios do INSS.
- Dados relativos a servidores públicos.
- Informações do LinkedIn.
E por que esse tipo de evento deve interessar o CFO? Primeiro, pelos danos financeiros que pode causar a uma empresa, sem contar aqueles de imagem e reputação. No Brasil, a Lei Geral de Proteção de Dados (LGPD), que entrou em vigor em 2020, tem como objetivo garantir mais segurança e transparência às informações pessoais coletadas por empresas públicas e privadas.
Segundo reportagem do G1, a Autoridade Nacional de Proteção de Dados, que cuida de casos como esse, ainda não tinha revelado um plano de ação para descobrir quem cometeu o crime. Enquanto isso, um CFO que passa por uma notícia como essa pode se perguntar qual o seu papel em crises como essas.
Segurança da informação é prioridade para CFOs
Em um estudo recente da consultoria global Protiviti, Prioridades de Finanças na Era da Covid, 80% dos 1.057 CFOs (e outros grandes cargos de finanças) responderam que segurança e privacidade de dados é a principal prioridade para 2021, primeiro lugar entre as 10 listadas.
O estudo tirou um insight muito importante sobre os CFOs mais resilientes do mercado e o tema cibersegurança. Eles se engajam, falam e são exemplos a serem seguidos. Grupos financeiros de alto desempenho são capacitadores integrais quando o tema é segurança cibernética organizacional. Eles concentram sua experiência em finanças em como os gastos com segurança e privacidade de dados são avaliados, como esses investimentos são alocados e como os riscos cibernéticos são quantificados em dólares e articulados em termos de negócios.
Os principais CFOs também estão engajados em como a organização identifica e monitora os riscos de segurança cibernética de terceiros, principalmente em casos tão perigosos quanto os dos megavazamentos. Em um mundo de dados compartilhados e cibercrimes, os melhores CFOs entendem seu papel a longo prazo na cibersegurança da sua companhia.
Vazamentos de dados e aquisição e fusão de empresas
Hoje, a aquisição e fusão de empresas é um processo comum, mas que envolve várias etapas e exige uma auditoria estrutural, contábil e jurídica, para analisar os possíveis riscos de realizar uma movimentação importante como essas. Nesse processo, até pouco tempo atrás, não se considerava possíveis problemas e gastos com vazamento de dados.
Até que casos como o do Yahoo foram noticiados. A Verizon comprou a empresa em 2016 e, só depois, foi divulgado um grande vazamento de dados da Yahoo durante o período de 2013-2014. Quem pagou a multa? A empresa adquirente teve que arcar com o valor de US$ 3 bilhões para os clientes atingidos, além de uma redução do valor do Yahoo em US$ 350 milhões.
Em processos de aquisição e fusão, o histórico de cibersegurança das empresas deve ser auditado de forma a gerar menos dos de cabeça para o CFO.
O papel do CFO na cibersegurança e vazamento de dados
O Cost of a Data Breach Report do Ponemon Institute, de 2020, caculou que o custo médio global de uma violação de dados é de US$ 3,86 milhões. Além desses custos, um CFO precisa levar em consideração outras consequências, como queda nos valores de ações, honorários advocatícios, pagamentos de horas extras durante todo o processo de controle de danos à imagem da empresa. Por isso, muitos especialistas indicam e avaliam que os CFOs precisam desempenhar um papel ativo na redução do risco cibernético de sua empresa.
Esse executivo não deve ser apenas responsável por aprovar o investimento em medidas de segurança e conscientização da empresa, mas preparar um plano de continuidade de negócios durante casos de vazamento, os custos de uma violação de dados para a empresa, apresentar esforços de segurança aos investidores, por exemplo.
Ainda por cima, com um contexto mais amplo de trabalho remoto durante a pandemia da Covid-19, ampliou-se as fragilidades na transmissão de informações e as possibilidades de ataques cibernéticos. “Os CFOs precisam especialmente colaborar com os gerentes de TI e de risco para garantir que os novos riscos de segurança cibernética decorrentes da adoção de trabalho remoto não ultrapassem as políticas projetadas para proteger dados vulneráveis”, afirma Alexander Bant, vice-presidente de prática da empresa de pesquisa Gartner.
A própria Gartner propõe um guia rápido de 3 passos para que o CFO garanta a cibersegurança dos processos e dados financeiros de uma empresa:
Passo 1: Analisar
Desenvolva políticas e diretrizes que identifiquem as áreas nos processos financeiros mais vulneráveis a ataques ou aquelas que mais atrairiam possíveis criminosos. O objetivo principal é minimizar a possibilidade de um ataque cibernético bem-sucedido. Um exemplo de tática de mitigação seria identificar os principais ativos de dados financeiros e aplicativos de software (por exemplo, soluções de finanças em nuvem) e sua vulnerabilidade relativa.
Passo 2: Responder
Esclareça o plano de ação destacando funções e responsabilidades no caso de uma violação bem-sucedida de dados financeiros, destacando as resoluções mais rápidas possíveis. Um objetivo do plano pode ser designar um ponto de contato para o qual todos os funcionários de finanças possam relatar quaisquer instâncias de ataque cibernético e alguém que seja o primeiro a responder e fazer algo no departamento de finanças, como, por exemplo, o diretor de contabilidade, para analisar o impacto financeiro exato do ataque.
Etapa 3: Revisar
Defina políticas de governança que incentivem verificações regulares sobre a integridade das medidas de segurança cibernética em vigor para os processos financeiros. Isso garante que a organização continue preparada para as ameaças aos seus dados financeiros e para as novas realidades do local de trabalho. Um objetivo do plano pode ser criar uma equipe multifuncional de finanças, TI e risco/auditoria que apresente relatórios regulares sobre o estado da segurança dos dados financeiros.
Segurança de dados no Accountfy
Nossa plataforma lida com dados sensíveis de diversas empresas, portanto a cibersegurança é uma das nossas prioridades. Além de oferecer controle individual de acesso, registramos todas as ações dos usuários na plataforma e seguimos padrões globais de segurança, que incluem: criptografia dos dados e controle de acesso por meio da Google Cloud Platform e armazenamento de dados e ambiente de produção com backups diários.
Quer saber mais sobre nossa plataforma, converse com um dos nossos especialistas.
