Todos já passamos por isso: criar planos de curto ou longo prazo para alcançar determinados objetivos pessoais. No entanto, o planejamento empresarial geralmente envolve riscos maiores, e as consequências de um plano mal elaborado podem ser significativas, incluindo perdas financeiras e prejuízos à reputação. À medida que as empresas avançam em uma era de requisitos regulatórios cada vez mais rigorosos para fortalecer as cadeias de suprimentos e a resiliência operacional, os desafios vão além das dinâmicas do mercado.

No campo da cibersegurança, com regulamentações como a LGPD no Brasil, a GDPR na União Europeia, a CCPA e a CPRA nos EUA, ou a estrutura de cibersegurança do NIST, a proteção dos dados dos usuários nunca foi tão crucial para a gestão de riscos. De fato, à medida que avançamos em uma era de inovação impulsionada pela IA e pela proliferação de dados públicos, surgirão mais regulamentações destinadas a proteger os consumidores e responsabilizar as organizações pela salvaguarda de informações sensíveis. Para cumprir essas normas, as empresas terão que adotar medidas de proteção de dados mais rigorosas, juntamente com maior supervisão e relatórios detalhados.

Conformidade: uma exigência razoável

Cada estrutura de regulamentação cibernética tem seus próprios requisitos específicos, mas todas compartilham um objetivo comum: proteger os dados contra acesso não autorizado, vazamentos e uso indevido. Os riscos são especialmente altos quando se trata de informações bancárias e de saúde das pessoas ou da propriedade intelectual das empresas.

Devido à natureza bastante complexa das regulamentações, cada empresa deve garantir que compreende e sabe como cumprir suas obrigações. No entanto, esses requisitos podem variar significativamente dependendo do setor de atuação, dos clientes e parceiros da organização, bem como do alcance de suas operações e de sua localização geográfica.

Cumprir as regulamentações pode parecer uma tarefa desafiadora. No entanto, não se trata apenas de cumprir uma exigência legal: é um investimento crucial para a saúde a longo prazo de uma empresa. Ainda assim, muitas organizações, especialmente pequenas e médias empresas, não estão suficientemente preparadas para lidar com os riscos de cibersegurança e atender aos requisitos regulatórios.

Quando as ciberameaças estão à espreita, as consequências de uma preparação inadequada ou a falsa sensação de segurança podem ser devastadoras. Os números confirmam essa realidade: de acordo com o relatório Cost of a Data Breach Report 2024 da IBM, o custo médio de um vazamento de dados no mundo é de 4,88 milhões de dólares.

Perder o rumo

Para enfatizar por que a conformidade é essencial, vamos analisar alguns incidentes importantes que poderiam ter sido significativamente mitigados se as partes afetadas tivessem agido de acordo com os marcos básicos.

O Intercontinental Exchange

Em 2024, o Intercontinental Exchange (ICE), uma instituição financeira mais conhecida por suas subsidiárias, como a Bolsa de Valores de Nova York (NYSE), foi multada em 10 milhões de dólares por não informar à Comissão de Valores Mobiliários dos Estados Unidos (SEC) sobre uma ciberintrusão dentro do prazo estipulado, violando assim o Regulamento SCI.

O incidente envolvia uma vulnerabilidade desconhecida no dispositivo de rede privada virtual (VPN) do ICE, que permitia que cibercriminosos acessassem redes corporativas internas. A SEC descobriu que, apesar de saber da intrusão, os funcionários do ICE não notificaram os responsáveis jurídicos e de conformidade de suas subsidiárias por vários dias. Dessa forma, o ICE violou seus próprios procedimentos internos de notificação de ciberincidentes, permitindo que as subsidiárias avaliando inadequadamente a intrusão, o que resultou no descumprimento das obrigações de divulgação regulatória independente da organização.

SolarWinds

SolarWinds é uma empresa americana que desenvolve software para gerenciar a infraestrutura de TI das empresas. Em 2020, foi informado que vários órgãos governamentais e grandes empresas haviam sofrido um vazamento de dados através do software Orion da SolarWinds. O incidente "SUNBURST" se tornou um dos ataques mais relevantes à cadeia de suprimentos, com impacto global: a lista de vítimas incluía grandes corporações e governos, incluindo os Departamentos de Saúde, Tesouro e Estado dos EUA. A denúncia da Comissão de Valores Mobiliários dos Estados Unidos (SEC) alega que a empresa de software havia enganado os investidores sobre suas práticas de cibersegurança e os riscos conhecidos.

Para esclarecer, antes de que a SEC introduzisse suas normas sobre a gestão de riscos de cibersegurança para incidentes "materiais" em 2023, a notificação oportuna e precisa não era uma consideração estratégica importante para muitas organizações nos Estados Unidos. Isso, a menos que se tratasse de relatórios periódicos de avaliação de riscos que devem ser feitos como parte de uma estratégia de cibersegurança robusta (ou para fins de conformidade com normas específicas). Depende em grande medida das empresas como elas estruturam sua hierarquia de relatórios de segurança, com diferentes níveis de competência e responsabilidade (o que o SolarWinds descumpriu, segundo a SEC).

As consequências financeiras e de reputação da violação foram impressionantes. Com mais de 18 mil vítimas e custos que podem chegar a milhões de dólares por empresa afetada, este caso destaca que negligenciar a segurança e a conformidade não é uma estratégia de economia de custos, mas sim uma responsabilidade.

Yahoo

Em outro caso, o Yahoo foi criticado por não revelar um vazamento de dados de 2014, o que custou à empresa uma multa de 35 milhões de dólares da SEC. No entanto, a história não termina aí, já que a posterior ação coletiva adicionou 117,5 milhões de dólares à conta do Yahoo, cobrindo os custos de liquidação pagos às vítimas. Isso ocorreu após o descobrimento de credenciais vazadas pertencentes a 500 milhões de usuários do Yahoo. Pior ainda, a empresa ocultou a violação, enganando os investidores e adiando sua divulgação por dois anos.

Para complicar ainda o cenário, o Yahoo sofreu um segundo vazamento de dados um ano antes, que afetou outros 3 bilhões de contas de usuários. Mais uma vez, a empresa não revelou o segundo incidente até 2016, antes de revisar a divulgação em 2017 para refletir toda a magnitude do ocorrido.

A divulgação transparente e oportuna dos vazamentos pode ajudar a mitigar os prejuízos e prevenir incidentes semelhantes no futuro. As vítimas podem, por exemplo, alterar suas credenciais de login a tempo, evitando que qualquer possível criminoso acesse suas contas.

5 passos para a conformidade

Vamos analisar algumas medidas simples que qualquer empresa pode adotar para cumprir algum tipo de regulamentação – no caso do brasil, a Lei Geral de Proteção de Dados (LGPD). Considere isso como uma linha de base de ação, com melhorias adicionais baseadas nas normas e requisitos específicos que devem ser estabelecidos conforme as questões concretas.

  1. Compreenda seu negócio: Como já mencionado, as empresas enfrentam requisitos de conformidade diferentes, dependendo do setor em que atuam, dos clientes/ parceiros com os quais trabalham, dos dados que manipulam e das localidades em que operam. Todos esses fatores podem ter requisitos distintos, por isso é fundamental prestar atenção aos detalhes.
  2. Pesquise e estabeleça prioridades: Determine quais normas sua empresa precisa cumprir, identifique as lacunas que precisam ser preenchidas e defina as medidas para solucioná-las, com base nas regulamentações e normas mais importantes que a empresa deve seguir para evitar infrações ou multas.
  3. Crie um sistema de relatórios: Desenvolva um sistema de informações robusto que defina as funções e responsabilidades de todos os envolvidos, desde os executivos até os colaboradores responsáveis pela comunicação, incluindo a equipe de segurança que gerencia e supervisiona as medidas de proteção. Certifique-se de que há um processo claro para notificar incidentes de segurança e que a informação possa fluir sem problemas para as partes interessadas pertinentes, incluindo reguladores ou seguradoras, quando necessário.
  4. Supervisione: A conformidade não é um esforço pontual, mas um processo contínuo. Como parte do acompanhamento contínuo, supervise regularmente as medidas de conformidade e trate as áreas que exigem atenção. Isso inclui verificar as vulnerabilidades dos sistemas, realizar avaliações de riscos periódicas e revisar os protocolos de segurança para garantir que sua empresa esteja em conformidade com as normas regulatórias em constante evolução.
  5. Seja transparente: Se um vazamento de dados for descoberto, avalie imediatamente os prejuízos e informe a autoridade competente - o fornecedor de seguros, o regulador e, claro, as vítimas. Como mostrado anteriormente, a divulgação oportuna pode ajudar a mitigar os prejuízos, reduzir o risco de novos vazamentos e demonstrar seu compromisso com a conformidade, o que, em última instância, ajudará a manter a confiança de seus clientes, parceiros e partes interessadas.

Esses cinco passos fornecem uma base para alcançar a conformidade em cibersegurança. Embora essas diretrizes sejam amplamente aplicáveis, lembre-se de que cada empresa pode enfrentar desafios únicos. Entre em contato com as autoridades pertinentes para conhecer os requisitos mais recentes e garantir que seus esforços de conformidade estejam alinhados com as expectativas em constante mudança de governos, parceiros e organismos reguladores. Ao entender os requisitos específicos de sua organização e setor, você pode dar o primeiro passo para navegar por essas complexidades de forma mais eficaz e garantir que sua empresa continue segura, conforme e resiliente frente às ciberameaças.

Leia mais: LGPD: um desafio para as empresas.